RE-BRIEF #2: GDPR je lahko tudi priložnost
Barbara Krajnc
V tokratnem RE-BRIEFu moja razmišljanja o Splošni uredbi o varstvu osebnih podatkov (GDPR). Prijetno branje!
Ko sem danes, 13. novembra 2017, v Google iskalnik vpisala kratico GDPR, se je pojavilo skoraj 6,8 milijona zadetkov. Brez dvoma je GDPR postala beseda leta (#buzzword2017), ne samo v Sloveniji, tudi v Evropi in celo izven njenih meja.
Drži, da Splošna uredba o varstvu osebnih podatkov velja že od maja 2016, v celoti pa se bo pricela uporabljati maja 2018. Priče smo celo odštevanju do dneva D – 25. maja 2018, podobno, kot odštevamo tudi dneve do začetka zimskih olimpijskih iger v Pjongčangu!
Za zacetek je potrebno postaviti GDPR v širši kontekst, kot ga je postavila sedanja Evropska komisija. Enotni digitalni trg (EDT) (orig. Digital Single Market – DSM) je ena od njenih ključnih prioritet in strategija temelji na dostopu, podpornem okolju ter ekonomiji in družbi. GDPR je zato le eden od elementov celovitega regulatornega okvira za digitalizacijo družbe, države in ekonomije. Kot vemo, se v EU trenutno oblikujejo še nova pravila o e-zasebnosti v elektronskih komunikacijah (e-Privacy), v Sloveniji pa bomo dobili še čisto nov zakon o varstvu osebnih podatkov.
O GDPR ste, verjamem, prebrali že zelo veliko, tudi jaz. A ne morem se znebiti občutka, da je spet zavladala vsesplošna mrzlica, negodovanje, strašenje z visokimi stroški in še višjimi kaznimi. Nova pravila GDPR so obsežna in zahtevna, v ospredje postavljajo posameznika in ni se jim mogoče prilagoditi čez noč. GDPR tudi ni zgolj in samo vprašanje za pravni oddelek in IT strokovnjake, da najdejo odgovore in rešitve na številna vprašanja.
GDPR je mnogo več, seveda v odvisnosti, ali gre za storitveno ali proizvodno podjetje in ali gre za podjetje, ki prodaja svoje izdelke oz. storitve končnim kupcem – posameznikom. Podatki so “nova nafta” pogosto slišimo, a si zagotovo vsi želimo, da ne bi kotirali na borzi in da se z njimi ne bi prosto trgovalo.
Se morda še spomnite svetovne mrzlice ob prilagajanju informacijskih sistemov, programskih rešitev in poslovanja kot celote? Seveda, prehod v leto 2000 ali bolj znano pod imenom milenijski hrošč (#MilleniumBug ali Y2K). Na koncu se je izkazalo, da zapletov ni bilo, svet se je še naprej vrtel, tudi računalniki so delovali. Drži pa tudi, da je bila to po eni strani lepa priložnost za zaslužek, po drugi – in tej se nagibam jaz, pa priložnost, da so se podjetja resneje lotila upravljanja z informacijskimi sistemi in varnostjo.
In zakaj mislim, da je tudi GDPR lahko priložnost?
- Zato, ker to ni in ne sme biti zgolj eden od izzivov pravnega oddelka in oddelka za informacijsko tehnologijo, podporo, varnost. Zavedanje o pomembnosti tega področja mora prihajati od zgoraj navzdol in od vseh ključnih funkcij, področij v podjetju. Poizkusite narisati pot osebnega podatka v vašem podjetju, slika je lahko zelo zanimiva in zgovorna.
- Zato, ker v podjetju pogosto ni dovolj časa, da bi samoiniciativno preverili in prevetrili obvladovanje posameznega področja, ga izboljšali, spremenili, posodobili. GDPR naj bo v podjetju zato priložnost, da se ponovno bolj podrobno in celostno pregleda področje varstva osebnih podatkov in da si odgovorimo na osnovna vprašanja: kaj – osebni podatki (OP), kako – postopki, pravila, poslovni procesi (P), kje – informacijska struktura, podpora in varnost (I) in kdo – organizacijska struktura (O). Glede na napredek digitalnih tehnologij in rešitev bomo na primer ugotovili, da so naši poslovni procesi zastareli, da nam ne omogočajo hitre prilagodljivosti, sledenja trendom, da niso učinkoviti in da morda tudi zaradi tega izgubljamo konkurenčni položaj.
- Zato, ker je pomembno, da sami sebe in vse zaposlene redno opomnimo in podučimo o tem, kako obvladujemo področje varovanja osebnih podatkov, zakaj je to pomembno in kakšna je njihova vloga in naloga.
- Zato, ker se ob uvajanju lahko tudi zabavamo. Analiza stanja, kot prva in najpomembnejša faza pri tej nalogi, je lahko zabavna v toliko, da s simuliranjem različnih vlog in situacij hitro ugotovimo naše prednosti in slabosti ter ocenimo tveganja. Po mojih izkušnjah je ravno temeljita in celovita analiza stanja predpogoj za ustrezno oceno tveganj kot druge faze, ki ji sledita fazi določitve prioritet in priprave podrobnega akcijskega načrta.
- Zato, ker bomo skozi proces prilagajanja novim pravilom GDPR lahko (še) bolje spoznali svoje partnerje, s katerimi sodelujemo pri upravljanju in obdelovanju osebnih podatkov. “Know your customer” (KYC) ali “poznajte svojo stranko” je ključno načelo v bančnem in finančnem sektorju za kontinuirano preverjanje identitete strank in je prvenstveno namenjeno preprečevanju dejanj pranja denarja in odkrivanju sumljivih transakcij. V primeru GDPR pa načelo ‘poznajte vašo stranko’ pomeni, da si vzamemo dovolj časa in podrobno preverimo poznavanje in razumevanje njenega delovanja, s tem (iz)gradimo medsebojno zaupanje, predvsem pa opredelimo, kako bomo skupno ravnali v primerih morebitnih kršitev ali zlorab osebnih podatkov.
Za konec pa v razmislek še tole:
“Fines are not your biggest fear – your biggest fear is breaking consumer trust and brand transparency.” @wfamarketers on #GDPR #dmexco (Dentsu Aegis Twitter, objavljeno 13. 9. 2017)
@Stephan_Lo “GDPR is NOT something we can hand to a lawyer to fix, it’s about whole businesses coming together” @Acxiom @Acxiom_Deu (Acxiom Twitter, objavljeno 13. 9. 2017)