Panel diskusija: Implementacija organizacijskih i tehničkih mjera za usklađivanje s GDPR-om Istaknuto
Panel diskusija na konferenciji GDPR Adriatic minuta do 12 koju je moderirala direktorica ZIH-a dr.Sc. Silvana Tomić Rotim imala je temu Kako implementirati organizacijske i tehničke mjere u procesu usklađivanja s GDPR-om.
Mnoge organizacije su i do sada vodile računa o zaštiti osobnih podataka te implementirale različite mjere informacijske sigurnosti, osiguravajući povjerljivost, integritet i raspoloživost svoje informacijske imovine.
Dr. Sc. Silvana Tomić Rotim na panel diskusiji je od sugovornika željela dobiti odgovore na pitaanje je li dolaskom GDPR-a najveći fokus na implementaciju organizacijskih mjera kojima se reguliraju prava ispitanika, upravljanje privolama, osiguranje na ispravak i zaborav osobnih podataka itd., ili na implementaciju različitih tehničkih rješenja za maskiranje podataka, nadzor pristupa, osiguranje DR lokacije itd.
Dobra početna točka su pitanja zašto, gdje, čije i kakve podatke obrađujemo. Tek nakon toga idu kvalitetne preporuke. Postupak traži interdisciplinarnu usklađenost pravne i tehničke strane“ rekao je Tomislav Pedišić, voditelj odjela zaštite podataka odvjetničkog društva Vukmir i suradnici.
Dragan Petković: „Tvrtke imaju probleme jer imaju podatke posvuda. Prvo bi trebale znati gdje im se nalaze podaci“
„Ne postoji jedno sveobuhvatno tehničko rješenje. Potrebno je dobro mapirati osobne podatke u sustavima, koji mogu biti i heterogeni te znati s kojim se sustavima dijele podaci. Tek nakon te temeljne analize mogu se implementirati tehnička rješenja, koja nisu sveobuhvatna, već se moraju prilagoditi i onda na rješenje konkretnog problema primijeniti konkretne aplikacije“, izjavio je Marin Luetić iz Bissa.
„Tvrtke imaju probleme jer imaju podatke posvuda. Prvo bi trebali znati gdje im se nalaze podaci. Što se tiče tehničke zaštite, trebali biste za svaki podatak koji procesirate znati zašto ga procesirate i implementirati zaštitu za taj proces, rekao je Dragan Petković iz Oraclea.
Tomislav Pedišić: „Dobra početna točka su pitanja zašto, gdje, čije i kakve podatke obrađujemo“
„S pravne strane, upravljanje privolama samo je jedna od pravnih osnova za obradu podataka. Češće su legitimni interes i ugovorne obveze. Privola se ne bi trebala donositi u kombinaciji s drugim osnovama za obradu podataka jer ih se tada ne može tretirati kao dobrovoljne“, rekao je Tomislav Pedišić.
„Ako ste prikupili podatak s privolama, za postojeće privole treba provjeriti jesu li usklađene s propisima, a ako neka to nije, morate ju uskladiti u nekom vremenskom roku“, dodao je Dragan Petković.
Marin Luetić : Potrebno je dobro mapirati osobne podatke u sustavima, koji mogu biti i heterogeni te znati s kojim se sustavima dijele
„Upravljanje privolama prema korisniku je administrativna mjera da na transparentan način gledate što se događa s privolama. Na taj način vaš DPO uvijek ima dobar uvid u privole uz zapise o promjeni privola.
Ono što je kompleksnije, je integracija s vašim drugim sustavima gdje se potom obrađuju podatci. Privole se mogu i ukinuti, a to zapravo znači da u realnom vremenu morate prestati obrađivati ili potpuno anonimizirati te podatke, zaključio je Marin Luetić iz Bissa.