Zagotavljanje skladnosti s splošno uredbo (EU) o varstvu podatkov (GDPR)

Digitalizacija je dvorezen meč, ko pride do vprašanja varnosti osebnih podatkov. Udobje spletnih storitev in “dobro misleča” personalizacija poslovnih komunikacij prinašata tudi možnost, da naše podatke uporabijo in zlorabijo organizacije s katerimi nočemo poslovati oziroma da se ti podatki uporabijo za namene za katere nimamo potrebe ali nas ne zanimajo. Poleg nadležnih nezaželenih stikov seveda obstaja tudi resna nevarnost zlorabe osebne identitete za kriminalne dejavnosti in politične agende.

V aprilu 2016 je EU sprejela splošno uredbo o varstvu podatkov, ki bo stopila v veljavo 25. maja 2018. S tem naj bi zagotovila, da organizacije in institucije začnejo varovanje osebnih podatkov jemati resno. Eden izmed ciljev uredbe je zagotoviti uniformnost in standardizacijo trenutno obstoječih nacionalnih zakonodaj, katere danes na precej različne načine zagotavljajo varnost podatkov.

Z novo uredbo osnovni principi varstva osebnih podatkov ostajajo nespremenjeni: uporaba osebnih podatkov ni dovoljena razen, če to eksplicitno ne dovoljuje zakon ali če je subjekt podal privoljenje za obdelavo osebnih podatkov. Osnovna načela ostajajo  preglednost,  omejevanje namena in zmanjšanje količine podatkov. Vendar uredba določa več pravic posamezniku, več obveznosti obdelovalcem podatkov, večje kazni za kršitve in certificiranje kot dokaz skladnosti z uredbo.

Uredba prinaša velike posledice za večje organizacije. Kar se v jeziku uredbe sliši enostavno, prinaša s seboj kompleksnost zagotavljanja skladnosti. Različna podatkovna skladišča, povezani sistemi, poslovni ekosistemi in tehnologije, ki omogočajo organizacijam, da služijo trgom in svojim strankam z različnim proizvodi in storitvami, so v luči varstva osebnih podatkov gigant, ki ga je potrebno ujeti in ukrotiti.

Kaj je potrebno narediti za skladnost z uredbo?

Četudi je organizacija že skladna z nacionalno uredbo za varstvo osebnih podatkov in že ima evidence o dejavnostih obdelave ter vodila za zbiranje podatkov, je zelo priporočljivo, da  izvede polno presojo obstoječih politik varstva podatkov, procedur in praks ter jih primerja z zahtevami uredbe:

Več

Najboljše prakse vpeljevanja obvladovanja tveganj v organizacijo

Prime za obvladovanje tveganj in skladnosti z zakonodajo

Prime (PRocess Improvement MEthotodolgy) je vodilna metodologija za procesno usmerjeno vpeljavo rešitev.  Metodologija je zgrajena na osnovi izkušenj s projektov po vsem svetu in omogoča hitro vzpostavitev projekta vpeljave, dolgoročno uspešnost rešitve in učinkovite rezultate.

Vsebuje:

  • delovne procedure, ki nas vodijo skozi vse korake projekta,
  • predpripravljene vprašalnike, referenčne procese in predloge,
  • orodja, ki vsebujejo zahtevane standarde, vodila in primere rešitev.

Dolžina projekta vpeljave rešitve za obvladovanje tveganj in skladnosti z zakonodajo je odvisna od več faktorjev. Vpeljava rešitve z omejenim obsegom se lahko izvede že v sedmih tednih medtem, ko vpeljava rešitve, ki zajema popoln obseg zahtev za obvladovanje tveganj v organizaciji, lahko traja tudi več let. Faktorja, ki zelo vplivata na trajanje vpeljave, sta trenutna in ciljna zrelost obvladovanja tveganj v organizaciji.

Prime za obvladovanje tveganj in skladnosti z zakonodajo: Pregledni model

Prime za obvladovanje tveganj in skladnosti z zakonodajo: Pregledni model

Glavne faze projekta vpeljave in upravljanja rešitve za obvladovanje tveganj

Več

Podpora učinkovitemu obvladovanju tveganj (IV)

Spremljanje: Cilj spremljanja je neprestano zagotavljanje kakovosti sistema in izboljševanje okvirja v katerem sistem deluje. Spremljati in ocenjevati moramo nastavitve, obstoj in delovanje okvirja tveganj in kontrol. Rezultat ocenjevanja nastavitev nam pove v kolikšni meri okvir ustreza svojemu namenu in odgovori na naslednja vprašanja:

  • So vsa tveganja identificirana?
  • So vsa tveganja bila ocenjena?
  • Smo določili vse potrebne kontrolne aktivnosti?
  • Ali vse kontrolne aktivnosti ustrezno zmanjšujejo tveganja?
  • Ali so stroški kontrol manjši kot potencialne izgube?

Okolje v katerem delujejo organizacije se nenehno spreminja zato je pomembno, da preverjamo tudi v kolikšni meri sistem ustreza trenutnemu okolju. ARIS Risk&Compliance Manager nudi podporo tako neprestanemu spremljanju kontrol kot tudi polavtomatskemu spremljanju podprtemu z delovnimi tokovi.

Več

Podpora učinkovitemu obvladovanju tveganj (III)

Odgovor na tveganja: Glede na oceno tveganja se lahko odločimo med različnimi scenariji reševanja. Tveganjem se lahko izognemo, lahko jih sprejmemo, zmanjšamo ali delimo. Praviloma je za primeren odgovor na tveganje zadolžen lastnik procesa, ki mu pomaga oseba odgovorna za tveganje.

Tipi odgovorov na tveganja

Primeri štirih možnih odgovorov na tveganja:

Več

Podpora učinkovitemu obvladovanju tveganj (II)

Ocenjevanje tveganj: Da bi lahko določili kako obvladovati posamezna tveganja, jih moramo najprej oceniti. Oceno tveganj naredimo za stanje pred in po vpeljavi ukrepov. Tveganja  ocenimo  glede na verjetnost pojavljanja in vpliv, ki ga imajo na poslovanje in posledično doseganje ciljev. Ocene tveganj so lahko kvalitativne (npr. majhno, srednje, veliko) oziroma kvantitativne (v odstotkih ali denarni vrednosti).

Načrtovanje ocenjevanja tveganj: ARIS Risk&Compliance Manager avtomatično kreira delovne tokove, ki so osnovani na podatkih o tveganjih, ki smo jih določili v prejšnjem koraku (identifikacija dogodkov). To pomeni , da so lastniki tveganj avtomatsko preko elektronske pošte obveščeni kdaj jih čaka naloga ocenjevanja tveganj za katera so odgovorni.

Za vzpostavitev učinkovitega sistema obvladovanja tveganj morajo biti tveganja v organizaciji skladno ocenjena in primerljiva preko različnih poslovnih področij. Osnova za to so enotna vodila za ocenjevanje. Eden izmed primerov takih vodil je določitev kategorij s katerimi kvalititavno ocenjujemo tveganja  npr. majhno, srednje, veliko oziroma  določitev načina kvantitativnega ocenjevanja  (odstotki  vrednosti ali absolutna vrednost).

Primer kategorij za kvalitativno oceno pojavljanja tveganj

Več

Podpora učinkovitemu obvladovanju tveganj (I)

Orodja ARIS platforme so povsem usklajena z okvirjem za obvladovanje tveganj COSO II in podpirajo obvladovanje tveganj v vseh fazah procesa. Rešitev, ki jo ponujamo je kombinacijia orodij ARIS platforme, metodologije Prime (PRocess Improvement MEthotodolgy), referenčnih vsebin in svetovalnih storitev.

Povezava med obvladovanjem učinkovitosti poslovnih procesov in COSO II.

Interno okolje v veliki meri določa kako uspešna je organizacija pri vzpostavitvi učinkovitega obvladovanja tveganj. Dobro interno okolje vsebuje številne elemente, ki na jasen način sporočajo kaj je in kaj ni dovoljeno, na primer:

Več

Zahteve za učinkovito obvladovanje tveganj

Organizacije se vedno bolj zavedajo pomembnosti obvladovanja tveganj. Eden izmed razlogov so finančne katastrofe, ki nas opominjajo na nevarnosti nepravilnega in neodgovornega poslovanja. Žal kreiranje dodane vrednosti oziroma poslovanje ni mogoče brez tveganj. Zato se postavlja vprašanje koliko tveganj lahko prenese poslovanje oziroma koliko negotovosti je še sprejemljivo pri doseganju zastavljenih ciljev?

Več