Nejasno razumevanje odgovornosti po GDPR
Ena najbolj pogostih napak v praksi je, da podjetja ne vedo, kdo je dejansko odgovoren za skladnost z GDPR. Vodstvo odgovornost pogosto prenese na IT-oddelek ali na zunanjega izvajalca, vendar zgolj to ne zadošča. Po uredbi je odgovornost za varstvo osebnih podatkov vedno na upravljavcu, torej na podjetju samem. Druga pogosta napaka je pomanjkanje jasne razmejitve vlog med upravljavcem in obdelovalcem podatkov. Podjetja pogosto ne določijo, kdo sprejema odločitve o namenu in sredstvih obdelave. Posledica so nepopolne ali napačne pogodbe, ki ne vsebujejo obveznih določil, kot jih zahteva GDPR. Tudi evidenca dejavnosti obdelave pogosto ni urejena. Številne organizacije evidence nimajo ali pa so zastarele. Brez teh podatkov podjetje ne more dokazati skladnosti, kar pomeni veliko tveganje v primeru nadzora.
Podjetja morajo razumeti, da skladnost z GDPR ni enkratna naloga. Gre za stalen proces, ki zahteva redno preverjanje in posodabljanje. Priporočljivo je izvajanje notranjih presoj ali sodelovanje z zunanjimi strokovnjaki, ki lahko odkrijejo šibke točke v sistemu varstva podatkov.
Pomanjkljivo obveščanje in nepravilno ravnanje s podatki
Podjetja pogosto ne izpolnjujejo osnovne zahteve po transparentnosti. Politike zasebnosti so dolge, zapletene in napisane v ”pravnem” jeziku, ki ga povprečen uporabnik pogosto ne razume. GDPR zahteva, da so informacije o obdelavi osebnih podatkov jasne, jedrnate in vsakomur razumljive.
Veliko podjetij v praksi zbira več podatkov, kot jih za opravljanje storitev dejansko potrebuje. To je neposredna kršitev načela najmanjšega obsega obdelave. Osebni podatki morajo biti ustrezni, relevantni in omejeni na tisto, kar je nujno potrebno. Druga napaka, ki je zelo pogosta pa je predvsem pomanjkanje pravilnega postopka pri obravnavi incidentov. Mnoga podjetja nimajo izdelanega načrta, kako ukrepati v primeru kršitve varnosti podatkov. V veliko primerih se zamudi zakonski rok za prijavo incidenta nadzornemu organu, ki je v takem primeru 72 ur. Takšne zamude lahko povzročijo tudi dodatne kazni in globe.
Pomembno je usposabljanje zaposlenih. Večina kršitev se zgodi zaradi neznanja in ne zaradi malomarnosti. Redno izobraževanje o GDPR, varnosti podatkov in prepoznavanju tveganj je ključno za preprečevanje incidentov. Vsak zaposleni mora biti del varnosti podatkov in razumeti, kako pravilno ravnati z le-temi, na koga se lahko obrne v primeru dvoma in podobno.
FAQ: Najbolj pogosta vprašanja o GDPR v praksi
- Ali vsako podjetje potrebuje pooblaščenca za varstvo podatkov (DPO)?
Ne. Pooblaščenec je potreben le, če podjetje obdeluje velike količine osebnih podatkov ali obdeluje občutljive podatke (določila so v 37. členu Splošne uredbe).
- Kako dolgo lahko hranimo osebne podatke?
Osebne podatke lahko hranimo samo toliko časa, kolikor je potrebno za namen, zaradi katerega so bili zbrani. Po preteku tega roka jih mora podjetje izbrisati.
- Kaj moramo storiti v primeru kršitve varnosti podatkov?
Najprej ocenite tveganje za posameznike. Če obstaja verjetnost škode, morate incident prijaviti Informacijskemu pooblaščencu v 72 urah in obvestiti prizadete posameznike.
