GDPR koraci koje ne treba preskakati

Implementacija GDPR regulative pokrenula je najobimnije „veliko spremanje“ kompletnog poslovanja kompanija i podseća na pomalo zaboravljenu euforiju koja je vladala oko rešavanja Y2K baga početkom milenijuma. Privatnost korisnika u virtuelnom prostoru, koja je godinama bila ugrožena usled podređenosti „brže‑jeftinije‑bolje“ principu, novom regulativom sistemski je vraćena tamo gde je trebalo da bude od samog početka – na vrh liste prioriteta. Najveći broj nedoumica i sumnji vezanih za GDPR u svojoj osnovi sadrže element koji nije samo poslovni pa čak ni tehnički – suštinski zaokret u smeru izgradnje virtuelnih okruženja koja će postojeće principe efikasnosti staviti najmanje „rame uz rame“ s principom nepovredivosti ličnih podataka.

Upravljanje rizicima
Usklađenost sa stavkama GDPR regulative u najvećem broju slučajeva biće realizovana kroz klasične, dobro poznate projektne faze, korake i aktivnosti među kojima je upravljanje rizicima jedna od nezaobilaznih. Rizici projekta, poput onog uobičajenog da se ne postigne potpuna usklađenost, u slučaju implementacije GDPR‑a više nego u drugim oblastima, povezani su s nedovoljnim razumevanjem novih odredbi.

Jedan od najboljih primera jeste ne baš jednostavna razlika između termina „biti obrisan“ i „biti zaboravljen“, koji uvođenjem novih obaveza imaju naoko slično, ali suštinski različito značenje. U sledu koraka, tehnološka i organizaciona rešenja koja treba da obezbede mogućnost da klijent „bude zaboravljen“, nose veoma visok rizik da klijentski podaci „budu obrisani“, direktno izlažući kompaniju riziku da prekrši neke druge zakone koji takvu mogućnost eksplicitno zabranjuju.

Inventar podataka
Jedna od obaveza koju GDPR uvodi jeste registar svih baza i fajlova u kojima se nalaze lični podaci, kako bi se primenile adekvatne mere zaštite tih informacija. Inventar privatnih podataka treba oformiti veoma temeljno kako bi se sve kasnije promene lakše i potpuno transparentno registrovale.

Prepoznavši kompleksnost formiranja inventara podataka, mnoge kompanije iskoristiće automatizovane alate za pretragu kako bi vreme neophodno za pronalaženje svakog polja ili kolone u bazi sveli na minimum. Ipak, snagu tehničkih rešenja neophodno je dopuniti i detaljnom manuelnom pretragom kako bi se eventualni „skriveni“ podaci o ličnosti pravovremeno identifikovali i uneli u registar.

Ne treba zaboraviti ni da je GDPR ekspanzivna regulativa, koja se odnosi na sve IT sisteme, mrežu i mrežne uređaje, uključujuc´i i mobilne telefone. Upravo su u poslednjoj grupi najčešći nenamerni propusti u kreiranju inventara podataka, imajući u vidu da je BYOD u mnogim kompanijama (parcijalno) dozvoljen, kao i pristup cloud sajtovima, i to prvenstveno e‑mail i storage servisima.

Ceo tekst pročitajte na sajtu PC Press.

Autor: Kristijan Lazić


Oceni tekst

3,00 od 5
Loading...

Komentari