Rok za početak primjene GDPR regulative, 25. svibnja 2018., se približava brzo. Na taj dan završava dvogodišnji rok za prilagodbu i od tog trenutka sve organizacije mogu biti kažnjene zbog nepoštivanja propisa.

Bitno je naglasiti da je GDPR trajni proces koji se ne zaustavlja 25. svibnja. Organizacije koje su se dobro pripremile u protekle dvije godine trebaju nastaviti sa svim GDPR aktivnostima kao trajnom aktivnošću u svom poslovanju. Ti napori uključuju stalne zakonske konzultacije, angažman konzultanata za pitanja regulative i internu kontrolu. Jedna stvar je sigurna, svaka organizacija je jedinstvena i zahtijeva malo drugačiju provedbu. Ovisno o tome kako vaša organizacija prikuplja osobne podatke (Personal Identifiable Information - PII), vaše trajno putovanje prema usklađenosti s GDPR regulativom razlikovat će se od drugih organizacija.

Tehnologija će to riješiti?

Nažalost, ovo je izjava koju se jako često čuje. To jednostavno nije istina.

Prethodnik GDPR-a, Direktiva o zaštiti podataka (Data Protection Directive - DPD), stvoren je 1995. U to doba nije bilo pametnih telefona, a Internet je je tek nastajao samo kao mehanizam za širenje i prikupljanje informacija. U međuvremenu je tehnologija izuzetno napredovala. No, bez obzira koliko je tehnologija naprednija danas nego 1995. godine, samo tehnologija neće donijeti usklađenost. Samo kombinacija tijekova rada (ili poslovnih procesa), interne edukacije i zajedničkog rada između različitih odjela osigurat će usklađenost. Istina je da tehnologija igra značajnu ulogu na ovom putovanju.

Niti jedna organizacija nema sve odgovore. Međutim, moguće je pripremiti opću smjernicu s korisnim savjetima koju organizacije mogu koristiti na svom GDPR putu:

1. Znati svoje podatke
2. Upravljajte podacima
3. Zaštitite podatke
4. Dokumentacija i sukladnost
5. Neprekidno poboljšanje

Treba biti svjestan da su vaši podaci prvi i vjerojatno jedan od najvažnijih koraka od kojeg treba krenuti. Mnoge organizacije nisu svjesne podataka koje posjeduju, širine i opsega tih podataka niti gdje se oni nalaze. Ako imate dobar uvid i razumijevanje svojih podataka, sljedeći koraci bit će lakši.

Nakon što saznate koji su vaši podaci i gdje se nalaze, morate razumjeti razloge za što se oni koriste i tko sve im može pristupati. Koristite različita tehnička rješenja i sklopite poslovna partnerstva sa specijaliziranim dobavljačima kako biste naučili kako upravljati regulativom. Shvatite da ste vi trajno odgovorni za podatke. Prilagodite rješenja u kojima možete prepoznati lokacije i dodati oznake za osobne i posebno osjetljive osobne podatke. Stvorite izvješća da možete pratiti kada netko pristupi podacima. Stvorite pouzdan plan za upravljanje obnovom podataka (znati tko ima pristup vašim poslovnim podacima nije dovoljno kada tehnički administratori sustava mogu vratiti sve što im se sviđa). I zadnje, ali ne manje važno, kako mnoge "prijetnje" mogu doći iznutra, pobrinite se da imate fizičku zaštitu vaše infrastrukture.

Zaštita podataka „po dizajnu“ i "by default" najbolji je oblik sigurnosti. To je kombinacija sigurnosnih tehnika kao što su vatrozidi, mrežna ograničenja i zaštite, zaštita od zlonamjernih programa, unutarnje obrazovanje, kontrola pristupa za različite korisničke uloge, procjene utjecaja, izrada sigurnosnih kopija i povrat podatka i još mnogo toga. Osim toga, uzimajući sve navedeno kao sastavni dio bilo kojeg novog projekta koji ćete uvoditi, trebali biste preispitati sve vaše postojeće aktivnosti i na njih primijeniti ista načela - za sve interne obrade, kao i sve koje ste dali na upravljanje vanjskim partnerima.

Put do usklađenosti s GDPR-om ne prestaje 25. svibnja 2018. To je samo početak. Postati i ostati usklađen zahtijeva kontinuirano praćenje, reviziju, pregled i poboljšanja. Danas ne postoji samo jedno tehničko rješenje za dokumentiranje i praćenje usklađenosti. Izvješća i kontrolni programi će dolaziti iz različitih izvora u vašu organizaciju. Neke aktivnosti ćete obaviti ručno, a za neke ćete koristiti različita tehnička rješenja. Pazite pri tome da istražite koje sve podatke možete isporučiti iz svakog od primijenjenih rješenja, tako da vaš djelatnik za zaštitu podataka (Data Protection Officer) može pratiti i ispraviti sve što je vezano za korištenje osobnih podataka, ako je potrebno.