Zagotavljanje skladnosti s splošno uredbo (EU) o varstvu podatkov (GDPR)

Digitalizacija je dvorezen meč, ko pride do vprašanja varnosti osebnih podatkov. Udobje spletnih storitev in “dobro misleča” personalizacija poslovnih komunikacij prinašata tudi možnost, da naše podatke uporabijo in zlorabijo organizacije s katerimi nočemo poslovati oziroma da se ti podatki uporabijo za namene za katere nimamo potrebe ali nas ne zanimajo. Poleg nadležnih nezaželenih stikov seveda obstaja tudi resna nevarnost zlorabe osebne identitete za kriminalne dejavnosti in politične agende.

V aprilu 2016 je EU sprejela splošno uredbo o varstvu podatkov, ki bo stopila v veljavo 25. maja 2018. S tem naj bi zagotovila, da organizacije in institucije začnejo varovanje osebnih podatkov jemati resno. Eden izmed ciljev uredbe je zagotoviti uniformnost in standardizacijo trenutno obstoječih nacionalnih zakonodaj, katere danes na precej različne načine zagotavljajo varnost podatkov.

Z novo uredbo osnovni principi varstva osebnih podatkov ostajajo nespremenjeni: uporaba osebnih podatkov ni dovoljena razen, če to eksplicitno ne dovoljuje zakon ali če je subjekt podal privoljenje za obdelavo osebnih podatkov. Osnovna načela ostajajo  preglednost,  omejevanje namena in zmanjšanje količine podatkov. Vendar uredba določa več pravic posamezniku, več obveznosti obdelovalcem podatkov, večje kazni za kršitve in certificiranje kot dokaz skladnosti z uredbo.

Uredba prinaša velike posledice za večje organizacije. Kar se v jeziku uredbe sliši enostavno, prinaša s seboj kompleksnost zagotavljanja skladnosti. Različna podatkovna skladišča, povezani sistemi, poslovni ekosistemi in tehnologije, ki omogočajo organizacijam, da služijo trgom in svojim strankam z različnim proizvodi in storitvami, so v luči varstva osebnih podatkov gigant, ki ga je potrebno ujeti in ukrotiti.

Kaj je potrebno narediti za skladnost z uredbo?

Četudi je organizacija že skladna z nacionalno uredbo za varstvo osebnih podatkov in že ima evidence o dejavnostih obdelave ter vodila za zbiranje podatkov, je zelo priporočljivo, da  izvede polno presojo obstoječih politik varstva podatkov, procedur in praks ter jih primerja z zahtevami uredbe:

Natančno poznavanje podatkov, ki jih organizacija hrani in obdeluje:

  • sestava podatkov — osebni, prepovedani, povezani s stranko, povezani z zaposlenimi,
  • lokacija podatkov — geografsko, organizacija, ki obdeluje podatke in naprave s katerimi obdeluje podatke,
  • uporaba podatkov — za kateri namen, kako dolgo, kdo, v katerih aplikacijah, so količine podatkov in natančnost podatkov primerni uporabi?
  • varnost podatkov — so uporabljeni pravi ukrepi za preprečitev neavtorizirane uporabe?
  • način zajemanja podatkov— zakonsko dovoljen, s privoljenjem subjekta in v skladu s pravicami, ki jih subjekt ima glede svojih podatkov.

Zmožnost obvladovanje osebnih podatkov na način, ki je skladen z uredbo:

  • zagotavljanje dostopa do shranjenih podatkov na zahtevo subjekta vključno z informacijami o uporabi,
  • izbris vseh instanc podatkov subjekta v skladu s pravico biti pozabljen,
  • shranjevanje ali pretvorba podatkov v format, ki omogoča prenos k drugim obdelovalcem podatkov.

Načrtovanje IT ter obvladovanja tveganj, upravljanja in skladnosti z zakonodajo (GRC), ki zagotavlja skladnost z uredbo:

  • trajnostne politike in procesi obvladovanja tveganj, upravljanja in skladnosti z zakonodajo (GRC),
  • učinkovite interne kontrole in zmanjševanje tveganj,
  • načrtovanje novih procesov, aplikacij in tehnologij, ki vključujejo zahteve uredbe,
  • jasna navodila kako ravnati v primeru kršitev.

Osnova uredbe so obstoječe pravice in obveznosti, katerim so dodane nekatere nove

Izzivi

Odgovornost, da ugotovi kaj je potrebno storiti, da bo organizacija pravočasno skladna z uredbo, je na strani osebe, ki je odgovorna za varnost podatkov v organizaciji (Data Protection Officer – DPO). Informacije, politike, prakse, ki jih bo potrebno zbrati in analizirati se nahajajo na različnih področij v organizaciji od IT, obvladovanja poslovnih procesov do obvladovanja tveganj in med drugim obsegajo:

  • kateri podatki so osebni podatki, kako so bili zajeti in kje ter kako se obdelujejo in shranjujejo?
  • zbiranje potrebnih informacij s strani lastnikov aplikacij in skrbnikov podatkov,
  • identifikacijo povezav med procesi in IT sistemi, ki jih podpirajo, s ciljem bolje razumeti kje so stične točke med strankami in zaposlenimi,
  • identifikacijo povezav med shranjenimi podatki in aplikacijami, ki jih obdelujejo s ciljem določiti točnost, minimalno količino podatkov in čas hranjenja podatkov,
  • preverjanje ali aplikacija zadovoljuje zahtevano stopnjo varnosti za podatke, ki jih obdeluje,
  • hiter dostop do informacij o namenu obdelovanja podatkov, prejemnikih, namenu prenosa, času hranjenja podatkov in avtomatiziranemu odločanju (profiliranje),
  • upravljanje načrtovanja procesov, ki bodo skladni z zahtevami uredbe,
  • presojanje dejavnosti obdelovanja,
  • vzpostavitev učinkovitih kontrol in zmožnosti hitrega prilagajanja bodočim spremembam uredbe,
  • razumevanje prenašanja podatkov s ciljem pravilno razumeti obseg kršitev.

Zahteve uredbe odkrivajo pomanjkanje osnov

Orodja, ki podpirajo rešitev

Orodja ARIS (BPA, RCM) in Alfabet platforme imajo vrsto zmožnosti, ki podpirajo napore za dosego skladnosti z uredbo.

Okvir rešitve za podporo skladnosti z uredbo

Vpogled, analiziranje in načrtovanje:

  • centralni repozitorij, ki opisuje vse aplikacije, podatke, ki jih obdelujejo, tehnologije na katerih se izvajajo, poslovne procese, ki jih podpirajo, povezana tveganja in kontrole ter vse relacije med prej omenjenimi elementi,
  • prožna konfiguracija rešitve, ki omogoča neomejeno število atributov za natančen opis vseh elementov arhitekture,
  • določanje življenskega cikla podatkovnih objektov in aplikacij za določitev časa hranjenja podatkov,
  • dokumentiranje toka informacij s ciljem razumeti izmenjavo podatkov med sistemi in obseg možnih kršitev,
  • določanje lastnikov aplikacij in skrbnikov podatkov,
  • vgrajeno ocenjevanje vplivov pri načrtovanju novih tehnologij in aplikacij,
  • analiziranje procesov in poti strank za določanje stikov s stranko,
  • načrtovanje procesov, ki bodo skladni z uredbo.

Zmanjševanje tveganj in upravljanje:

  • hierarhija zakonodaje in uredb, ki razbije zakonodajo in uredbe v obvladljive kontrolne zahteve in ki omogočajo hitro prilagajanje možnim bodočim spremembam,
  • integracija vseh regulatornih zahtev s pomočjo enotnega uniformnega pristopa v sistem internih kontrol,
  • sledenje identificiranim problemom in slabostim ter delovni tokovi, ki podpirajo njihovo reševanje,
  • ocenjevanje tveganj na osnovi tipa vpliva, ter kvantitativnih in kvalitativnih parametrov,
  • enostavno kreiranje dokumentacije na osnovi zajetih podatkov o incidentih in izgubah,
  • objavljanje korporativnih vodil in delovni tokovi za sledenje potrjevanju vpeljanih politik.

Poročilo prikazuje število aplikacij, ki obdeluje občutljive podatke. Občutljivost podatkov je ocenjena glede na tip (npr. podatki o zdravju, finančni podatki) Prikazan je procent aplikacij, ki so ranljive zaradi tega ker njihova raven varnosti ni dovolj visoka za podatke, ki jih obdelujejo. Sledi lista aplikacij,in njihove varnostne ocene, ki nam pomagajo določiti kandidate za podrobnejše analize in ukrepanje.

ter:

  • prilagodljive zmožnosti poročanja, ki različnim deležnikom kadarkoli omogočajo dostop do natančnih informacij, ki jih potrebujejo,
  • platforma za sodelovanje, ki deležnikom omogoča komunikacijo in obveščanje o različnih vidikih pri načrtovanju in odločanju o najboljših načinih kako doseči skladnost z uredbo,
  • periodične ali enkratne ankete za hitro zajemanje informacij o naravi aplikacij in podatkov, spremljanje statusa projekta, identifikacijo tveganj, presoje dobaviteljev in vplivov na poslovanje.

S pomočjo orodij ARIS in Alfabet platforme lahko hitro vzpostavite repozitorij znanja in procesni okvir, ki ju potrebujete za vzpostavitev skladnosti s splošno uredbo (EU) o varstvu podatkov. Rešitev omogoča analiziranje poslovnih procesov, obvladovanje poslovno informacijske arhitekture, obvladovanje in načrtovanje ter podporo obvladovanju tveganj in skladnosti z zakonodajo. Organizacijam, ki že uporabljajo platformo, je potrebno le nadgraditi obstoječe informacije, ki so že zajete v skupnem repozitoriju.

Interoperabilnost med analiziranjem in načrtovanjem poslovnih procesov, načrtovanjem in obvladovanjem IT ter obvladovanjem tveganj in skladnosti z zakonodajo spodbuja večje razumevanje in učinkovito izmenjavo informacij med procesi in njihovo IT podporo kot tudi vključitev vidikov obvladovanja tveganj, ki se nanašajo na poslovanje ter načrtovanje in obvladovanje transformacije. Sodelovanje vseh zainteresiranih deležnikov zagotavlja razumevanje zahtev uredbe in aktivnosti, ki se jih izvaja za dosego skladnosti ter pomaga zgraditi informacijsko osnovo za doseganje  skladnosti trenutnih in bodočih poslovnih ter IT operacij.

Objavljeno v Enoten sistem upravljanja organizacije, GDPR, Obvladovanje tveganj. Oznake: .