Splošna uredba o varstvu podatkov (GDPR) je letos razburkala poslovno javnost in odprla mnoga vprašanja o varnosti osebnih podatkov. Danes se podjetja z osebnimi podatki srečujejo tako rekoč v vseh glavnih procesih poslovanja. Osebni podatki so v papirnih dokumentih, informacijskih sistemih, podatkovnih bazah, skupnih mapah, oblačnih shrambah in na drugih medijih.
Ker celosten pregled nad osebnimi podatki, ki jih podjetje obdeluje, pomeni korenito prilagoditev ustreznih procesov ravnanja z osebnimi podatki, so nekatera podjetja pred 25. majem 2018 zadostila le določenim vidikom zagotavljanja skladnosti.
Ne čakajte do zadnjega na novi zakon
Čeprav GDPR predvideva visoke kazni za kršitve pravil v uredbi, je informacijska pooblaščenka napovedala, da bodo do sprejetja novega zakona o varstvu osebnih podatkov (ZVOP-2) ravnali svetovalno, podjetja izobraževali in ozaveščali z namenom, da nova pravila čim lažje vpeljejo v prakso. Vendar naj vas to ne zavede. Na sprejetje novega zakona ne gre čakati, saj bo ta v celoti sledil uredbi GDPR, nekatere določbe pa še podrobneje opredelil. Takrat bodo lahko v uradu Informacijskega pooblaščenca v primeru kršitev izrekli tudi prve kazni.
Težave, s katerimi se slovenska podjetja še vedno srečujejo
Mnoge težave, ki se pojavljajo pri operativni vpeljavi pravil uredbe GDPR v slovenskih podjetjih, še vedno ostajajo nerešene. Izzivov, s katerimi se srečujejo, ni mogoče rešiti kar čez noč, saj zahtevajo večje prilagoditve poslovnih procesov, vpeljavo potrebnih informacijskih rešitev in izobraževanja zaposlenih o pomenu varstva podatkov.
Kot glavne ovire, s katerimi se podjetja še danes srečujejo pri uvajanju GDPR, lahko poudarimo:
- neobvladljivost osebnih podatkov v dokumentih v papirni obliki: podjetja še vedno poslujejo z velikimi količinami papirnih dokumentov, ki vsebujejo občutljive informacije in osebne podatke, kot so kadrovske mape, pogodbe in podobno. Hranijo jih v predalih delovnih miz, nezaklenjenih omarah v pisarnah ali nezaščitenih arhivih. Takšna oblika dokumentov je največje tveganje z vidika zagotavljanja varnosti osebnih podatkov, saj omogoča nepooblaščene vpoglede v podatke, kar lahko vodi do njihove zlorabe, ne zagotavlja vodenja revizijske sledi ravnanja uporabnikov in pomeni tveganje, ki lahko podjetju povzroči resno poslovno škodo;
- tvegana izmenjava dokumentov, ki vsebujejo osebne podatke, po elektronski pošti, prek oblačnih shramb ali skupnih map na omrežnem pogonu: zaposleni si dnevno izmenjujejo dokumente po elektronski pošti ali jih pošljejo prek Dropboxa ali WeTransferja, marsikdo od zaposlenih pa osebne podatke hrani kar v nezaščitenih Excelovih preglednicah na skupnih mapah. Osebni podatki v takšnih primerih med prenosom niso varovani in lahko hitro postanejo predmet zlorabe ali odtujitve;
- neprimerna arhivska hramba dokumentov z osebnimi podatki: podjetja dokumente hranijo v različnih sistemih, ki ne omogočajo enotnega pregleda nad dostopom do osebnih podatkov in ne beležijo dostopa uporabnikov. Zahteve uredbe v povezavi z beleženjem revizijske sledi, roki hrambe in izbrisom osebnih podatkov, ki se lahko hranijo le toliko časa, kot je treba, podjetja brez ustreznih informacijskih rešitev postavljajo pred dodatne izzive.
O tem, kako so skladnost osebnih podatkov z GDPR podjetja zagotovila v praksi, bomo govorili tudi na 15. Mikrocop konferenci, ki bo potekala 25. oktobra 2018 v Kongresnem centru Brdo. Boris Šušmak bo predstavil, kako je v Luki Koper potekala uskladitev z zahtevami varstva osebnih podatkov. Razkril bo, s katerimi težavami in ovirami so se pri tem srečali in kakšni izzivi jih še čakajo.
