Združenje za informatiko in telekomunikacije

Novice


IZZIVI vezani na Uvedbo GDPR v poslovanje podjetij

Sekcija Ponudnikov poslovnih programov S3P je pripravila pojasnila k izzivom pri uvajanju GDPR uredbe v poslovanje podjetij in k usmeritvam za poslovno programsko opremo (sisteme ERP) kot orodje za podporo poslovanja, skladnega z GDPR uredbo.

 

V zvezi s splošno uredbo o varstvu podatkov (GDPR), ki začne veljati 25. maja 2018 in posledično s predlogom izvedbenega zakona ZVOP-2, je še veliko nejasnosti in odprtih vprašanj.

Uvedba uredbe GDPR in ZVOP-2 ni zgolj izziv za IT tehnologijo, še manj samo za ERP programsko opremo.

 

Podjetja se morajo lotiti uvedbe GDPR širše, večplastno po posameznih procesih poslovanja organizacije, ki se dotikajo zbiranja, vodenja in obdelave osebnih podatkov. GDPR in predlog novega zakona ZVOP-2 predstavljata dobro izhodišče, da pregledamo in prevetrimo svoj odnos do osebnih podatkov,  tako s stališča podjetja (kaj vse zbirajo in obdelujejo), kot s stališča uporabnika (kaj vse zbirajo o nas).

 

Povsem zmotno je prepričanje, da bo poslovna programska oprema (sistemi ERP) sama po sebi rešila izzive, ki jih prinaša uredba GDPR in izvedbeni zakon ZVOP-2.  Vlada je 5. 4. 2018 na seji sprejela predlog ZVOP-2 in ga poslala v sprejem v DZ zato je vprašanje, ali bo do 25.5.2018, ko stopi v veljavo uredba GDPR, sprejet oz. veljaven. V praksi to pomeni, da bomo imeli veljavno GDPR uredbo in čakali na izvedbeni zakon.

 

Uvedba in ravnanje organizacije v skladu z GDPR uredbo je proces in se dotika: izobraževanja in zavedanja vseh deležnikov, internih postopkov dela s pripadajočimi navodili in pravilniki ter na koncu programske opreme, kot orodja, ki omogoča poslovanje, skladno s temi pravili.

 

Glavna področja aktivnosti pri uvajanju skladnosti z GDPR so:

 

1.       PREGLED STANJA

a.       Popis poslovnih procesov, ki se dotikajo osebnih podatkov

b.      ČIGAVI OP se vodijo po posameznih poslovnih procesih, potencialne stranke, obstoječe stranke, bivše stranke, ….

c.       KATERI OP se vodijo po posameznih procesih; pri tem ne gre samo za podatke v digitalizirani obliki, še manj za podatke, ki so vodeni samo v ERP 

i.      Tip podatkov (ime priimek, e-pošta, telefonska številka, EMŠ

ii.      Zakonski in drugi viri, na osnovi katerih so OP pridobljeni (javno dostopne baze, OP podatki zbrani prek raznih marketinških aktivnosti, pravne podlage kot so: privolitev                      posameznika, izvajanje pogodb, področni zakoni, …)

d.      KDAJ so OP zbrani, izbrisani, razkriti, posodabljani, obdobja hrambe in na osnovi česa

e.      KJE so podatki obdelovani (IT infrastruktura, posamezne baze podatkov, fizična hramba …), 

f.        KDO ima dostop do osebnih podatkov  in na kateri podlagi (interni pravilniki po posameznih poslovnih procesih, kadrovska, marketing in prodaja, podpora uporabnikom…),

g.       SLEDLJIVOST - beleženje revizijske sledi obdelave in vpogledov, ..)

h.      VARNOST obdelave OP (psevdonimizacija, minimizacija, zaupnost, celovitost in odpornost sistemov in storitev za obdelavo, Povrnitev razpoložljivosti in dostopa do OP v primeru incidenta, testiranje ukrepov, celovita varnostna politika podjetja …)

2.       PREVERJANJE VELJAVNOSTI (jasnost, razumljivost, dokazljivost, ..) privolitev in pregled zakonskih podlag za obdelavo OP

 

3.       OCENA USTREZNOSTI IN DOLOČITEV POTREBNIH SPREMEMB

a.       Internih postopkov in predpisov (pravilniki, postopki, navodila, …)

b.      Podpora procesov informatizacije in obvladovanja privolitev in namenov obdelave OP

4.       IZVEDBA DOPOLNITEV IN SPREMEMB po posameznih procesih, pravilnikih, ..

 

Glavne usmeritve za poslovno programsko opremo (sisteme ERP) kot orodje za podporo poslovanja, skladnega z GDPR uredbo

 

1.       TRENUTNO STANJE GLEDE NA OBSTOJEČE ZAHTEVE

1.1.    SISTEM KONTROLE DOSTOPOV je obstoječa funkcionalnost ERP programske opreme. Nastavitev ustrezne politike dostopanja in pravic uporabnikov je odgovornost odgovorne osebe naročnika.

1.2.    VODENJE SISTEMSKIH DNEVNIKOV o uporabi ERP aplikacije in o dostopu je obstoječa funkcionalnost ERP programske opreme. V sistemske dnevnike se ob ustrezni nastavitvi avtomatsko zapisujejo naziv uporabnika, računalniška delovna postaja, datum in čas prijave ter odjave. V sistemski dnevnik se vpiše tudi vsak poskus nedovoljenega dostopa do programa.

1.3.    Vodenje sistemskih dnevnikov o vnosu, spreminjanju in brisanju OP.

 

2.       PREDVIDENE DOPOLNITVE

2.1.    dopolnitve sledenja glede vpogledov

2.2.    ureditve poročil za prikaz revizijskih sledi

2.3.    Dopolnitve anonimizacije in brisanja podatkov, glede na definirane roke hrambe. Anonimizacija v primerih, ko sistem potrebuje anonimiziran podatek za izvajanje analiz oz. statistik za nazaj, brisanje v vseh ostalih primerih.

 

3.       NAMEN IN AKTIVNOSTI ZA IZVEDBO DOPOLNITEV

3.1.    Namen predvidenih dopolnitev je odprava morebitnih neskladij z zgoraj omenjeno zakonodajo in smernicami ter predvsem priprava uporabnikom prijaznejšega okolja.

3.2.    Podrobnejša definicija predvidenih dopolnitev je pogojena s sprejemom zakona ZVOP-2 (32. Člen Varnost osebnih podatkov) in predvsem s Smernicami za izvajanje obveznosti po tem členu, ki jih je dolžan izdati Informacijski pooblaščenec.

3.3.    Ponudniki ERP programske opreme ocenjujemo, da bomo lahko omenjene dopolnitve vključili v dveh do treh mesecih, ko bodo znane vse podrobnosti, ki jih bo Informacijski pooblaščenec pripravil v okviru omenjenih smernic.

Fotogalerija