5 razlika koje čine dobrog GDPR konsultanta

Svest o potrebi za zaštitom ličnih podataka raste brzo, ne samo zahvaljujući GDPR-u. Nekoliko incidenata nas je više puta naučilo da je strah od ometanja njihove bezbednosti potpuno opravdan. Intenzivna Digitalizacija društva povećava eksponencijalno rizik kojima smo izloženi. Mi više ne možemo da ga ignorišemo, a posebno ne oni koji prikupljaju i obrađuju velike količine osetljivih ličnih podataka. Upravo je to sazrevanje svesti o potrebi sistematske zaštite ličnih podataka razlog za stvaranje GDPR-a. Ako svedemo zahteve GDPR-a za jednu rečenicu, možemo da kažemo sledeće:
GDPR zahteva da organizacija koristi transparentno, etičko i bezbedno rukovanje ličnim podacima. Kao posledica toga, posao GDPR konsultanta je da savetuje klijenta o organizacionim, pravnim i tehnološkim pitanjima dizajna poslovnih procesa koji će osigurati transparentnost, etičnost i sigurnost obrade ličnih podataka, ne narušavajući pri tom postizanje poslovnih ciljeva organizacije.
1. Razumevanje ukupne slike
Lični podaci su zaštićeni sveobuhvatnim sistemom za zaštitu podataka koji se sastoji od osoba, procesa i tehnologija. Pravo razumevanje, često visoko digitalizovanih poslovnih procesa i uloga ličnih podataka u ostvarivanju poslovnih ciljeva organizacije predstavlja preduslov za savetovanje o zaštiti ličnih podataka, ali nije jedina.Konsultant mora da razume specifičnosti korporativne kulture klijenta kako bi je uskladili sa njihovim preporukama. Pored prava iz oblasti privatnosti, neophodno je razumeti kompletan spektar regulatornih i specifičnih industrijskih zahteva u vezi sa upravljanjem podacima u određenoj organizaciji. Tek kada savladamo ove prvobitne korake, on može da se posveti svojim “pravim” zadacima.
2. Uspostavljanje procesa upravljanja aktivnostima obrade
Evidencija obrade ličnih podataka je vrlo pametno dizajnirani obavezni dokument koji je u stvari mnogo više od samo dokumenta. Njegovo će popunjavanje naterati organizacije da razume suštinu sistematskog upravljanja podacima. Iako je upravljanje podacima dugo poznata disciplina, samo uvođenje GDPR-a pokazalo je u kojoj meri menadžment organizacije nije svesna obrade podataka koje rade. Identifikacija pravne osnove za pojedinačnu obradu je daleko jednostavnije od identifikacije i razumevanja same obrade, stvarne potrebe za njegovom primenom i rizika koje ona predstavlja za predmet obrade podataka. Doneti primer popunjene evidencije je jedno, a uspostaviti proces koji će osigurati da organizacija efikasno upravlja obradama ličnih podataka, potpuno drugo.
3. Upravljanje rizikom
Razumevanje rizika nije samo identifikovanje mogućih posledica kršenja zaštite podataka, već i razumevanja verovatnoća da se to dešava. GDPR konsultant treba da razume slabosti u procesima, slabosti u IT sistemima i efektivnost zaštitnih mera. On mora biti u stanju da organizuje radionice o analizi rizika u obradi ličnih podataka, i kompetentno da razgovara sa pravnim, poslovnim i tehničkim stručnjacima. Minimizacija rizika se često postiže upotrebom promena u poslovnim procesima i tehnologijama koje podržavaju njihov rad. GDPR konsultant mora da proaktivno predloži poboljšanja čijom primenom će organizacija stepen rizika od prekršaja Zaštite ličnih podataka smanjiti na prihvatljivi nivo ne ugrožavajući njenu produktivnost. Mora se znati prilagoditi postojećim metodologijama upravljanja rizikom ili uspostaviti nove gde je to potrebno.
4. Komunikacija i podizanja svesti
Temelj na kojoj se gradi uspešna organizacija, uključujući organizaciju koja brine o zaštiti ličnih podataka su njeni zaposleni. Obrazovan i svestan svojih odgovornosti, oni su najbolja zaštita prava ispitanika. GDPR konsultant mora biti odličan komunikator i promoter vrednosti zaštite i privatnosti ličnih podataka, a ne samo da zna da razvija programe obrazovanja i podizanja svesti. Radnike mora motivisati da etičnost u upravljanju ličnim podacima i njihovu zaštitu dožive kao svoje vlastite ciljeve, a menadžment da ih uključi u strateške ciljeve poslovanja. Komunikacija prema ispitanicima koju priprema dobar konsultant ne mora biti samo tačna. Ona mora biti jasna, upravo na pravim mestima, u pravom trenutku, zanimljiva i dizajnirana u cilju postizanja poslovnih ciljeva organizacije.
5. Merenje i kontinuirano poboljšavanje
Pogrešno je reći da organizacije moraju da se pridržavaju GDPR-a. Organizacije moraju da obezbede kontinuiranu usklađenost sa GDPR i drugim regulatornim zahtevima. Organizacija koja je koncipirala proces harmonizacije kao jednokratnu aktivnost nije shvatila suštinu samog propisa. Usaglašenost sa GDPR-om podrazumeva uspostavljanje i kontinuirano unapređenje procesa upravljanja zaštitom podataka i usaglašenosti. Da bi se poboljšali njihova efektivnost ona se mora izmeriti. Dobar konsultant će definisati načine za merenje usaglašenosti i pomoći u definisanju ciljeva koji će biti ostvareni.
Tekst preuzet sa www.ictbusiness.info