Odgovornost podjetij in zahteve, ki jih določa GDPR
Vsako podjetje mora vedeti, katere podatke zbira in zakaj. Pomembno je načelo najmanjšega obsega obdelave podatkov. To pomeni zbiranje le nujno potrebnih informacij. Zbiranje podatkov »za vsak primer« ni dovoljeno. GDPR določa, da mora biti obdelava zakonita in pregledna. Posamezniki morajo razumeti, kako organizacija uporablja njihove podatke. Informacije morajo biti kratke, jasne in razumljive vsakomur.
Veliko podjetij ima težave z neurejenimi evidencami obdelave. Evidence morajo biti ažurne in dostopne ob morebitnem nadzoru. Brez njih podjetje težko dokazuje skladnost poslovanja. Pogosta težava so tudi nejasne odgovornosti zaposlenih. Vodstvo pogosto meni, da je za skladnost odgovoren samo IT-oddelek. Takšno razumevanje je napačno in predstavlja dodatno tveganje. Za skladnost je vedno odgovorna organizacija sama.
Pomembno vlogo imajo tudi pogodbe z zunanjimi izvajalci. Podjetja morajo jasno določiti obveznosti obdelovalcev podatkov. Pogodbe morajo vsebovati ustrezne varnostne ukrepe in odgovornosti. Nepravilno pripravljene pogodbe pomenijo večje tveganje za kršitve.
GDPR zahteva tudi ustrezne tehnične in organizacijske ukrepe. To vključuje nadzor dostopa, varne sisteme in šifriranje podatkov. Pomembno je tudi redno preverjanje informacijskih rešitev. Vsaka organizacija mora ocenjevati tveganja pri obdelavi podatkov. Le tako lahko pravočasno odkrije morebitne pomanjkljivosti.
Najbolj pogoste napake podjetij
Veliko podjetij uporablja predolge politike zasebnosti. Takšni dokumenti pogosto vsebujejo zapleten pravni jezik. Uporabniki zato težko razumejo način obdelave svojih podatkov. GDPR pa zahteva pregledno in razumljivo komunikacijo.
Pogosta napaka je tudi nepravilno ravnanje ob incidentih. Mnoga podjetja nimajo jasnega načrta ukrepanja. Zaposleni pogosto ne vedo, komu morajo prijaviti incident. To povzroča zamude pri odzivanju in dodatna tveganja. Kršitve varnosti podatkov je treba prijaviti v 72 urah. Zamuda lahko pomeni dodatne sankcije in izgubo zaupanja. Veliko težav nastane zaradi pomanjkanja izobraževanja zaposlenih. Zaposleni vsakodnevno uporabljajo osebne podatke pri svojem delu. Neznanje pogosto povzroči več incidentov kot namerne kršitve. Redna usposabljanja zato pomembno zmanjšujejo varnostna tveganja. Vsak zaposleni mora poznati osnovna pravila ravnanja s podatki.
Podjetja pogosto hranijo podatke predolgo. Osebni podatki se lahko hranijo le omejen čas. Po izpolnitvi namena jih mora organizacija izbrisati. Neurejena hramba pomeni večje tveganje za zlorabe podatkov. Pomembne so tudi redne notranje presoje postopkov. Organizacije morajo stalno preverjati svojo skladnost poslovanja. Na ta način lahko pravočasno odkrijejo šibke točke. GDPR namreč ni enkratna naloga, ampak stalen proces izboljševanja.
Več informacij o zakonodaji lahko najdete na https://infocenter.si/gdpr/
FAQ – GDPR v praksi
- Zakaj je razumevanje direktive pomembno za zaposlene?
Zaposleni vsakodnevno obdelujejo osebne podatke. Neznanje lahko povzroči kršitve, globe in izgubo zaupanja.
- Katere so najbolj pogoste napake podjetij?
Pogoste napake so slabe evidence in nejasne odgovornosti. Težave povzroča tudi zbiranje prevelike količine podatkov.
- Kako podjetje izboljša skladnost?
Pomembni so izobraževanje zaposlenih in redne notranje presoje. Ključna sta tudi posodobitev postopkov in spremljanje zakonodaje.
