Odnos do osebnih podatkov postaja konkurenčna
prednost organizacije



  
Nervoza, ki jo je povzročil GDPR, se je nekoliko polegla. Kaj je ostalo in zakaj se orgnizacijam splača prevzeti skrb za osebne podatke? O tem smo se pogovarjali z dr. Andrejem Baričičem, višjim svetovalcem v družbi BDO d.o.o., ki verjame, da bo ugled organizacije odvisen prav od odnosa do varovanja osebnih podatkov. 



Varovanje osebnih podatkov je tema, o kateri se danes vse več govori. Ali smo posamezniki postali bolj občutljivi na to, kaj se z našimi osebnimi podatki dogaja? Kakšen vpliv je imel GDPR na to? 
 
Dejstvo je, da je varstvo osebnih podatkov v trenutnem globalnem razpoloženju pomembna tema. Ljudje smo postali zelo občutljivi na svoje podatke in spremljamo, kdo jih zbira, kje jih shranjuje, kaj se z njimi dogaja in zakaj. Večina organizacij je zaznala povečano občutljivost posameznikov in se je resno spoprijela s tem izzivom, saj vedo, da veliko poslovnih modelov temelji ravno na obdelovanju osebnih podatkov posameznikov. Nervoza ob začetku veljavnosti Uredbe EU 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (kratko: Splošne uredbe) je imela vpliv tako na posameznike kot tudi na podjetja. Vsekakor je bistveno prispevala k boljši ozaveščenosti o tem, komu in zakaj dajemo svoje podatke.
    

  "Organizacije, ki imajo to področje dobro urejeno, že danes uživajo večje zaupanje."
 
  
Kaj to pomeni za podjetja in javne ustanove?

Prepričan sem, da bo prav odnos do varovanja osebnih podatkov posameznikov ključna konkurenčna prednost v prihodnosti tako podjetij kot javnih institucij. Organizacije, ki imajo to področje dobro urejeno, že danes uživajo večje zaupanje. S tem izkazujejo, da so odgovorni tako do svojih strank, zaposlenih, poslovnih partnerjev in ne nazadnje tudi do okolja in da so z vso skrbnostjo pristopili k urejanju vseh vidikov varovanja osebnih podatkov. V mislih imam tehnične in organizacijske varnostne ukrepe. Verjamem, da bodo odgovorne in podatkovno varne organizacije imele boljšo prihodnost.

 
Torej lahko pride do tega, da se bomo uporabniki najprej vprašali, kako v organizaciji ravnajo z osebnimi podatki, preden se bomo odločili za nakup ali poslovno partnerstvo? 

Da, lahko. Trdno verjamem, da bo ugled organizacije v veliki meri odvisen od tega, kako ravna z osebnimi podatki. Tukaj ne gre le za to, ali imajo v podjetjih vse zapisano "pravilno" oziroma skladno z zakonom. Že danes gre za to, kako v organizaciji to dejansko živijo, kako k temu pristopijo zaposleni, kako vodstvo naslavlja problematiko osebnih podatkov. Na primer, ali organizacija dovoljuje shranjevanje in prenose podatkov na USB-ključkih in ali organizacija izgubo ključka obravnava kot varnostni incident ali ne. Ter seveda, ali posledično opravi ustrezno prijavo incidenta regulatorju ali ne. Že ob takih, na prvi pogled malih situacijah, se izkaže, kako je organizacija zavezana k spoštovanju osebnih podatkov in kako odgovorni so zaposleni. Izgubo USB-ključka je v resnici enostavno zamolčati, še posebej, če obstajajo druge kopije in na prvi pogled ni prišlo do motenja poslovnega procesa in večje škode.

  "Pogosta kršitev, ki se v računovodstvih pojavlja, pa je pri nepravilni uporabi pooblastil."
 

Katere so najpogostejše kršitve?

Kršitve se lahko nanašajo na različna področja delovanja. Vendar, če se omejimo na tri, ki jih boste nagovarjali tudi na vaši konferenci, bi poudaril računovodjo, kadrovika in poslovnega sekretarja.

Računovodja in kadrovik zbirata večino podatkov na podlagi zakonskih določb, pri katerih je namen popolnoma jasen in tu ni večjih težav. Pogosta kršitev, ki se v računovodstvih pojavlja, pa je pri nepravilni uporabi pooblastil. Informacijska varnost predvideva, da organizacije uvedejo sistem pooblastil, na podlagi katerih je jasno, v katere podatke in dokumente sta konkretnemu zaposlenemu dovoljena vpogled in obdelava. Torej, vsak zaposleni mora imeti svoje uporabniško ime in geslo ter omejene dostope, ki so skladni z njegovim delom. In ena hujših kršitev je, če tega v organizacijah ni. Velikokrat se dogaja, da prav v računovodstvu do osebnih podatkov posameznikov dostopa več ljudi z istim uporabniškim imenom in geslom.

Poslovni sekretarji in tajnice pa so postavljeni pred drugačen izziv. Pri svojem delu se soočajo z obdelovanjem različnih baz osebnih podatkov, za katere morajo imeti privolitev za vsak posamičen namen obdelave. Pri njih je vedno na prvem mestu vprašanje, ali imajo zakonito osnovo za obdelovanje in zbiranje podatkov. V takih primerih vedno svetujemo, da najprej pregledajo vse obstoječe baze osebnih podatkov, s katerimi ravnajo, in preverijo, ali imajo potrebna soglasja. V nasprotnem je treba ta soglasja pridobiti ali baze uničiti.

Kakšen primer zbiranja podatkov?

Zanimiv primer namenskega zbiranja podatkov so prav novoletna obdarovanja otrok zaposlenih. Skladno z zakonodajo mora podjetje za obdelovanje tovrstnih osebnih podatkov pridobiti ustrezno privolitev. Po izvedbi obdarovanja je organizacija dolžna te podatke izbrisati in jih naslednje leto ponovno zbrati. Torej baza osebnih podatkov obstaja z jasnim in edinim namenom obdarovanja otrok v tekočem letu.  


  "Tudi starši postajajo vse bolj občutljivi na to, kakšne podatke o njihovih otrocih obdeluje in shranjuje šola.


Kaj pa javni sektor? 

Varovanje osebnih podatkov je seveda tudi v javnem sektorju izrednega pomena. Šole recimo obdelujejo zelo občutljive osebne podatke (zdravstveno stanje otrok, posebni režimi prehranjevanja, socialni status, ocene, osebnostni testi …) in ti osebni podatki morajo biti skrbno varovani. Tudi starši postajajo vse bolj občutljivi na to, kakšne podatke o njihovih otrocih obdeluje in shranjuje šola. Imeli smo primer, ko se starši niso strinjali, da šola pošilja njihovega otroka na preventivne zobozdravstvene preglede … Šole morajo zato še posebej pazljivo pristopiti k varovanju osebnih podatkov in komunikaciji s starši in zakonitimi zastopniki.

             
Zakaj pride do kršitev in kaj iščejo inšpektorji?

Trenutno se večina inšpekcijskih nadzorov dogaja na podlagi prijave. Torej, če posameznik prijavi kršitev, se v uradu Informacijskega pooblaščenca tudi odzovejo. V postopkih so bili že računovodski servisi, zdravstveni domovi, šole ...

Do kršitev sicer prihaja iz zelo različnih razlogov: 

Prvi razlog je, da organizacija sploh še nima urejenega področja varovanja osebnih podatkov ali pa je to zelo površno urejeno. Drugi je, da imajo v organizaciji vse odlično formalno urejeno, vendar tega ne spoštujejo. Razlogi pa so lahko različni – lahko so samo nevestni posamezniki ali pa je sistem preveč kompleksno zastavljen.
Tretji razlog, iz katerega izhajajo kršitve, pa je ta, da imajo v organizaciji vse zapisano, tega se tudi držijo in temu sledijo, vendar pride lahko do nepredvidenih neželenih situacij in posledično do incidenta.

Inšpekcijski nadzor vedno najprej preveri, ali so bili res izvedeni vsi organizacijski in tehnični ukrepi za varovanje osebnih podatkov in ali organizacija deluje skladno z zakonodajo. Od tega je ne nazadnje odvisna tudi kazen.

 

O tem boste govorili tudi na Saopovi konferenci XXL, ki bo 22. in 23. novembra. O čem bo tekla beseda?

V praksi spoznavamo, da so organizacije dobro seznanjene z zakonodajo. V resnici je sicer pomembno, kaj piše v zakonu, vendar je še bolj pomembno, kako zapisano interpretiramo in kako to prenesemo v organizacijo. Na konferenci se bomo predvsem pogovarjali o izzivih in dilemah udeležencev in seveda, kako jih reševati. Na terenu se nam dogaja, da se podjetja želijo neživljenjsko držati črke zakona, spregledajo pa enostavnejše rešitve, ki so primerne in učinkovite za njihov način poslovanja. Zato bo predavanje usmerjeno bolj v pogovor in iskanje praktičnih rešitev.

Dr. Andrej Baričič, hvala za pogovor.

Dr. Andrej Baričič je višji svetovalec v družbi BDO poslovne rešitve d.o.o.  

      


Vabljeni, da se nam pridružite,      


                   

  
    

        Sorodne vsebine    

      


Z uporabo naše spletne strani se strinjate z našo politiko piškotkov. xVeč o piškotkih