Uroš Valant (Valicon) je na januarskem mesečnem srečanju DMS predstavil nekaj korakov, kako se pripraviti na mesec maj in prihod GDPR-ja.

1. Praktični vodnik skozi labirint
GDPR
Valant Uroš, Valicon d.o.o.

2. 1
Seznanite se z uredbo!
Vodilni in tisti, ki sprejemajo odločitve v podjetju ali delajo s podatki
• Preberite povzetek in najpomembnejše točke za orientacijo
• Preberite celotno direktivo
• Udeležite se vsaj enega seminarja
• Odgovornost leži na plečih vodilnih!

3. 2
Ugotovite katere podatke imate!
Popoln pregled podatkov v podjetju
• Baze podatkov v informacijskem sistemu
• Pregled osebnih računalnikov
• Pregled podatkovnih hramb v oblaku
• Podatki, ki se dajejo v obdelave pogodbenim podjetjem
• Zastarele in odvečne podatke, ki jih ne potrebujete, POBRIŠITE!!!
• Rezultat analize mora odgovoriti na naslednja vprašanja:
• Kako smo prišli do podatkov?
• Kaj od teh podatkov sodi v kategorijo „osebni podatki“?
• Kako in kam se shranjujejo?
• Evidenca vseh podatkovnih virov
• Kako se uporabljajo, kdo ima vpogled?

4. 3
Poskrbite za varnost podatkov
• „Data protection by design“
• Samoocena trenutnega stanja – naj jo naredi IT
• Dokumenti in baze, ki vsebujejo osebnime podatke, ne smejo biti prosto dostopni vsem:
• Omejen dostop do podatkovnih baz
• Anonimizacija ali psevdonimizacija podatkov
• Pobrišite dokumente in dodatoteke z osebnimi podatki, ki so zastarele ali jih ne potrebujete več
• Preostale dokumente prenesite v varno shrambo:
o Dokumentni sistemi
o Strežniki z omejenim dostopom
o Spletne shrambe z nadzorovanim dostopom•
• Enkripcija – kriptirana polja v bazah, dodatna gesla na dokumentih
• Nadzor nad gesli, redna menjava
• Prevetritev pravilnika o varovanju osebnih podatkov ( prehod iz ZVOP-1 na ZVOP-2)

5. 4
Nadzor nad dostopi do informacijskega sistema
• Zaščitite se pred zunanjimi vdori:
• Kvaliteten požarni zid in usmerjevalnik
• Protivirusni in anti-spyware programi – ne uporabljajte hišnih verzij
• Anti-spam, spletni filtri...
• Dodaten nivo zaščite (MAC filtri … ), zaščita preko ISP
• Poseben sistem preprečevanja vdorov (IPS)
• Samo izbrane notranje osebe imajo dostop do osebnih podatkov
• Posebna oseba, ki je zadolžena za nadzor varnosti – DPO oziroma pooblaščenec za varstvo
osebnih podatkov:
• Vsa podjetja, ki imajo nad 250 zaposlenih
• Vsi javni in vladni zavodi
• Podjetja, ki hranijo in obdelujejo velike količine osebnih podatkov
• Lahko so to osebe iz drugih podjetij

6. 5
Vdori v osebne podatke
• Priprava postopkov in procedur v primeru nepooblaščenega vdora v osebne podatke:
• Zaznavanje vdorov
• Poročanje
• Raziskava
• Vdori so lahko zunanji (hekerji) in notranji (nepooblaščeni zaposleni)
• GDPR določa, da je treba določene tipe prijaviti informacijskemu pooblaščencu,
nekatere pa tudi posameznikom
• Prijava vdorov, ki vplivajo na pravice in svoboščine posameznika (možnost
diskriminacije, vpliva na ugled, finančne posledice, ekonomski in socialni vplivi…)
• Kaj je potrebno storiti:
• Določiti podatke, ki vplivajo na zgoraj naštete nevarnosti
• Spisati postopkovnik ali procedure za zaznavanje vdorov in poročanje – informacijski
požarni red!

7. 6
Poslovni procesi in pravilniki – pravice strank
• Pravice posameznika
• Pravica do obveščanja o rabi osebnih podatkov
• Pravica do dostopa do svojih podatkih
• Pravica do popravka osebnih podatkov
• Pravica do izbrisa podatkov
• Pravica do prenosa podatkov
• Pravica do ugovora
• Pravica, da stranka ni vključena v ADM ali profiliranje
• Izdelava postopkovnika ali protokola za servisiranje zahtev strank – zakonski rok je 30 dni
• Procesi in predloge za poročanje ter izvoze podatkov
• Pokrivanje večjega števila zahtevkov, servisiranje znotraj rokov!
• Za izvedbo naj poskrbi IT, za nadzor in poročila pa pravni oddelek!
• Podatki morajo biti v razumljivi ter berljivi obliki, posredovanje pa brezplačno

8. 7
Obveščanje strank postaja pomembno
Ob zbiranju podatkov:
• Pojasniti moramo kdo smo, katere podatke zbiramo in kako to počnemo
• Stranke morajo biti nedvoumno seznanjene, zakaj zbiramo podatke in s kakšnim namenom
oziroma kako bomo te podatke uporabili
• Razložena mora biti zakonska osnova za zbiranje
• Pojasniti boste morali čas hranjenja podatkov in ali jih boste še s kom delili
• Podatki, ki se dajejo v obdelave pogodbenim podjetjem
• Obvestila na spletni strani – lahko so dolga in zapletena
• Pojasnila v dopisih – razlaga piškotkov, sledenje povezavam, razlaga soglasij, možnosti odjave
• Sodelujte s pravniki in informacijskim pooblaščencem, saj so pojasnila najbolj na očeh!

9. 8
Soglasja
• Soglasja so ključni element pri zbiranju IN hranjenju osebnih podatkov
• Soglasja, ki jih imate zbrana zdaj so večinoma neustrezna in se ne morejo „dedovati“ – zbrati
jih bo treba ponovno!
• Stranke morajo do soglasij imeti dostop in jih lahko spreminjajo
• Soglasje za različne namene zbiranja – ni dovolj samo neko generalno soglasje!
• Na formah ne sme biti predizpolnjenih polj, tiha privolitev se ne priznava
• Besedilo soglasja mora biti vidno in ločeno od ostalih pravnih podukov
• Revizijska sled – kdo, kdaj, za kaj, način oddaje soglasja, veljavnost
• Besedila soglasij naj vam spišejo pravniki!
• Zapise, kjer ne soglasja ne bodo ustrezna, bo potrebno pobrisati!

10. 9
Nekaj praktičnih nasvetov
• Beležite svoje marketinške kampanje in baze, ki jih v njih uporabljate
• Še enkrat preglejte NDA pogodbe in pogodbe o obdelavi podatkov ter jih prilagodite GDPR
• Preglejte pravilnike o varovanju podatkov – vsak novi zaposleni naj dobi kopijo!
• CRM ni sporen, ravno tako ne vizitke, ki jih dobite od partnerjev
• Še vedno je treba voditi evidence podatkov in dejavnosti obdelave, ni jih več treba prijavljati
• Ob novih podatkovnih zbirkah bo še vedno treba narediti študijo učinkov
• Kadrovske evidence so v redu, dokler se podatkov ne obdeluje ali je zaposlenih več od 250!
• Računovodski servisi – pazite na varnost podatkov!
• Pojdite po nasvete k strokovnjakom in redno sprašujte informacijskega pooblaščenca!
• Ne domnevajte, PREVERITE!!

11. 10
Povzetek – kaj storiti, če še niste začeli?
• Preberite povzetek in si izpišite glavna opravila
• Do 25.5.2018 poberite čimveč soglasij strank
• Aktivno – elektronska in klasična pošta
• Pasivno – spletna stran
• Preglejte računalnike in:
• Pobrišite datoteke in dokumente, ki jih ne boste potrebovali ali zanje nimate soglasij
• Kar potrebujete, oklestite nepotrebnih osebnih podatkov
• Poskrbite za popis in varno hrambo zbirk podatkov
• Poiščite svetovalca, ki ve kaj počne:
• Skupaj pripravite pravilnike o varovanju podatkov
• Določite besedila obvestil o zbiranju podatkov
• Pripravite postopke za poročanje in ukrepanje
• Časa je malo!!