Izkušnje različnih slovenskih podjetij boste prebrali v 12 minutah.
V podjetju Bisnode so se morali s splošno uredbo o varstvu osebnih podatkov zares podrobno ukvarjati. Glavna dejavnost podjetja je namreč upravljanje s podatki, zato so po sprejetju GDPR-ja v vseh državah, v katerih deluje podjetje, začeli z implementacijo in vzpostavili funkcijo DPO-ja (pooblaščene osebe za varstvo podatkov). V Bisnode Slovenija je bila na ta položaj imenovana Sandra Pjanić, ki opiše nekatere osrednje izzive, s katerimi so se soočili v podjetju: "Bisnode je mednarodno podjetje, ki ima sedež na Švedskem. GDPR je tako za nas pomenil sprožitev ogromnega procesa, saj ima vsaka država svoje posebnosti. V Sloveniji je situacija še posebej specifična, saj ZVOP-2, ki naj bi urejal še dodatna prehodna obdobja in ostale posebnosti, ni bil sprejet. Tako se pri nas neposredno uporabljajo določila uredbe in nekatere določbe iz do sedaj veljavnega Zakona o varovanju osebnih podatkov. Stvari so tako precej zapletene, je pa to zmedo vsaj nekoliko zmanjšalo Ministrstvo za pravosodje, ki je izdalo sistemsko pojasnilo o rabi GDPR in ZVOP-1."
Uredba je začela veljati, kaj pa sedaj? "Najbolj pereče vprašanje je zagotovo, ali smo lahko kaznovani? Uredba namreč določa izjemno stroge denarne kazni za kršitelje. Informacijski pooblaščenec je z nastopom uredbe ostal inšpekcijski organ, njegove naloge so izvajanje nadzora in inšpekcijski ukrepi. V tem trenutku pa prekrškovnega organa, za določila Uredbe, še vedno nimamo, saj še vedno čakamo na izvedbeni predpis, ki bo urad informacijskega pooblaščenca imenoval za prekrškovni organ. To vmesno obdobje, ki bo trajalo do sprejetja ZVOP-2, ne pomeni, da lahko po mili volji kršimo pravila. Določbe uredbe so namreč materialnopravno kaznive, a bodo podjetja za prekrške v vmesnem obdobju kaznovana po nastopu ZVOP-2. Rigorozne kazmi, o katerih se toliko govori, pa se bodo zagotovo izrekale na način, da bodo sorazmerne glede na težo kršitve. Najprej lahko pričakujemo opozorila in opomine, šele ob neupoštevanju le teh pa bo verjetno prišlo do izrekanja kazni," opisuje Sandra Pjanić (Bisnode).
Podjetja bodo za kršitve GDPR do nastopa ZVOP-2 kaznovana po sprejemu zakona. - Sandra Pjanić (Bisnode)
Kako so se na prihod GDPR-ja pripravili v podjetju Bisnode? "Ključno je izobraževanje zaposlenih. Proces izobraževanja je pri nas potekal kontinuirano. Glavni namen je bil dvig zavesti pomenu o varovanja osebnih podatkov, organizacija izobraževanj je potekala iz samega vrha podjetja, sedaj pa jih izvajamo DPO-ji. Pripravili smo dve spletni izobraževanji - zaposleni so si morali ogledati kratek filmček o varovanju osebnih podatkov, nato pa pravilno odgovoriti na zastavljena vprašanja. Pripravili smo tudi webinarje, nekatere za vse zaposlene, druge za posamezne oddelke. Skupaj z oddelkom marketinga smo pripravili poseben priročnik za interno rabo in za naše stranke, ki je bil izjemno dobro sprejet. Začeli smo uporabljati tudi "chatbot", ki je uporaben še posebej za prodajalca, ko je ta v neposrednem stiku s stranko - izredno hiter odgovor na vprašanje, ki ne prekine komunikacije s stranko," opisuje pooblaščena oseba za varstvo podatkov v podjetju Bisnode Slovenija.
"Izobraženi zaposleni precej lažje prepoznajo situacije, na katere morajo biti pozorni," nadalje razmišlja Sandra Pjanić in poudarja, da je po 25. maju izjemno pomembno, da so vzpostavljeni procesi za hitro zaznavanje in poročanje o kršitvah varstva osebnih podatkov. "Intenzivnost rabe podatkov se povečuje, baze se pošiljajo na dnevni ravni in seveda se pri tem dogajajo napake. Pomembno je, da se napak zavedamo in se znamo nanje odzvati. Roki za poročanje o kršitvah so izjemno kratki in če v podjetju nimamo vzpostavljenih procesov, kaj moramo poročati in kdo je za to zadolžen, roke zlahka zamudimo. Poročati moramo takrat, ko je vsaj verjetno, da so ogrožene pravice in svoboščine posameznikov. V primerih, ko je potrebno o kršitvah varstva osebnih podatkov obvestiti tudi posameznike, je zelo pomembno, da se odzovemo hitro in tako ohranimo ugled podjetja. V našem podjetju smo pripravili dokument, kjer so zapisani kritični incidenti, ki se morajo prijaviti informacijskemu pooblaščencu, beležiti pa nameravamo vse kršitve. Vzpostavili smo spletni portal za vnos kršitev, dostop do katerega imajo vsi zaposleni, kjerkoli in kadarkoli. Namen portala je enostavno beleženje kršitev varstva osebnih podatkov in hitro obveščanje o vnesenih kršitvah Incident managerju, ki je seznanjen kako ravnati v posameznih primerih."
Poročati moramo takrat, ko je vsaj verjetno, da so ogrožene pravice in svoboščine posameznikov. - Sandra Pjanić (Bisnode)
Ko govorimo o GDPR-ju, se vedno pojavi tudi vprašanje o soglasjih. V podjetju Bisnode je bilo pridobivanje soglasij celovit proces, v katerega so bili vključeni marketing, IT in pravna služba. "Pripravili smo marketinške akcije s privlačno vsebino. Marketing je bil ob začetku zbiranja soglasij zelo skeptičen, ko pa smo dobili 54 % novih soglasij, smo bili zelo zadovoljni. Ugotovili smo, da smo dobili tudi veliko bolj čisto bazo," zanimivo dejstvo predstavi Sandra Pjanić.
V podjetju Bisnode so organizirali tudi spomladansko čiščenje elektronskih poštnih predalov. "Počistili smo baze osebnih podatkov v različnih tabelah in priponkah, ki jih ne potrebujemo več. S tem smo želeli storiti korak v pravo smer, preko čiščenja pa smo na podlagi vprašanj zaposlenih, razjasnili še marsikatero vprašanje, ki se je zaposlenim pojavilo in se je nanašalo na vsebino uredbe. Zavedamo se, da naša prizadevanja še niso končana, a učimo se iz dneva v dan - pregledujemo podatke in ugotavljamo, kaj imamo, kaj lahko obdržimo in kaj lahko posredujemo drugim."
Zavedamo se, da naša prizadevanja še niso končana - učimo se iz dneva v dan. - Sandra Pjanić (Bisnode)
Tudi v podjetju Mercator so se ob prihodu GDPR-ja soočili z nekaterimi novimi izzivi. Funkcijo uradne osebe za varstvo podatkov v podjetju je prevzela Bojana Pleterski. Ena njenih glavnih nalog je določitev pravnih temeljev za posamezne obdelave podatkov. "O pravnih temeljih za posamezne obdelave oziroma njihovi izbiri smo veliko govorili, saj je pomembno, da postavimo prave temelje in enoten koncept. Poseben izziv je uporaba pravnega temelja legitimni interes, ki je nov temelj in se bo praksa šele izoblikovala. Zato je pomembno, da temeljito evalviramo uporabo tega temelja preden pričnemo z obdelavami. V praktičnem smislu legitimni interes za obdelavo podatkov o strankah uporabljamo na primer pri analizi psevdonimiziranih podatkov za potrebe poslovnega odločanja oziroma za določene targetirane ponudbe, kjer ne analiziramo košarice nakupa. Slednje izvajamo le za stranke, katerih imamo privolitev. Posledično so kupci brez podanega soglasja deležni manj ugodnosti."
Pri določanju novih obdelav in namenov je izjemno pomembno, da je uradna oseba za varstvo podatkov v proces vključena od samega začetka. Če boste namreč njeno mnenje poiskali šele sredi določene akcije, se lahko zgodi, da bo prekinila proces, če bo ugotovila, da nimate ustreznih pravnih temeljev za obdelavo podatkov. "Vzpostavite sistem, koncept, ki se ga držite. Odločajte se vedno na isti način, tudi ko ste na meji. Ob obisku inšpekcije boste tako veliko lažje dokazali, da ste natančno preučili in razmislili, kaj je vaša podlaga. V našem podjetju imamo različne skupine obdelav v tabeli razvrščene glede na pravne temelje - za vsako obdelavo je natančno zapisano, kaj je njen pravni temelj. To tabelo marketing nenehno usklajuje in posodablja v pogovorih z uradno osebno za varstvo podatkov v podjetju," razlaga Bojana Pleterski.
GDPR posameznikom pripisuje nove pravice, ki za podjetja pomenijo nove izzive. "Eden velikih izzivov je informiranost. Navodila uredbe se slišijo precej enostavna - uporabnik mora dobiti jasne, enostavne informacije na čim krajši način. To pa je lahko za podjetje huda zagata. Pri nas imamo zelo velike, različne baze in težko je biti za vse kratek in enostaven. Veliko bolečino predstavlja tudi prenosljivost podatkov. Upravljalci smo si podatke težko prislužili, zgradili baze in določeno znanje, zato jih le s težkim srcem posredujemo naprej. Določiti moramo, katere baze bomo delili in na kakšen način. Bomo te baze objavili na našem portalu ali bomo morda šli v proces priprave podatkov in pošiljanja na določene naslove? Izzive prinaša tudi pravica do izbrisa - katere podatke sploh lahko izbrišemo in na kakšen način. Izbris podatkov ni avtomatsko upravičen, nekaterih podatkov zaradi samega poslovanja ne moramo kar izbrisati," opozarja predavateljica.
Veliko bolečino za upravljalce predstavlja prenosljivost podatkov. - Bojana Pleterski (Mercator)
V podjetju Mercator se je kot učinkovito orodje izkazala skupna evidenca obdelav, ki pomaga pri tem, da znotraj ekipe poznamo vse obdelave. V podjetju Mercator so s tega vidika pregledali obstoječe zbirke in jih obnovili oziroma posodobili. "Eno izmed odprtih vprašanj ostaja, kdo so odgovorne osebe za obdelovanje podatkov in zapis postopkov, kje se podatki nahajajo, kdo jih obdeluje in kam odhajajo. Pri sodelovanju z drugimi podjetji pogosto naletimo na različne težave, v nekaterih primerih se podjetja niti ne opredelijo kot obdelovalec. Ta razmerja je vsekakor potrebno rešiti s pogodbo. Mnogi nam očitajo, da včasih preveč zapletamo procese, vendar smo kot upravljalec odgovorni za podatke svojih strank in enako zahtevamo od naših obdelovalcev, kar moramo definirati v pogodbi"
Zadali smo si cilj, da enkrat letno pregledamo vsakega obdelovalca naših podatkov. - Bojana Pleterski (Mercator)
Kako v podjetju sploh vzpostaviti funkcijo DPO-ja? "Pri nas smo se tega lotili nekoliko prepozno. Že na začetku GDPR projekta bi morali določiti, kdo bo DPO, tako pa smo bili skoraj vsi člani projekta v konfliktu interesov in smo to nalogo pustili za kasneje. Ključno je sodelovanje in povezovanje DPO-ja z osebami, ki obdelujejo podatke. Z njimi moramo zgraditi dober odnos, čeprav smo neke vrste notranji revizorji. Sodelavcem moramo dopovedati, da je naš cilj pomagati poiskati rešitev. Hkrati s skrbnostjo do podatkov dvigujemo tudi ugled v javnosti, pomembno pa se mi zdi tudi, da pridobljeno znanje in izkušnje delimo v stroki. Še posebej si moramo pomagati na področjih, kjer so določila informacijskega pooblaščenca zelo stroga ali smernic na primer še ni," zaključi Bojana Pleterski.
Jurij Žurej (Droga Kolinska / Atlantic Grupa) se z varstvom podatkom ukvarja že vrsto let. Izkušnje je med drugim nabiral kot eden izmed prvih svetovalcev v uradu informacijskega pooblaščenca, doktor prava pa je skozi svojo kariero deloval tudi kot svetovalec različnih podjetij po vsem svetu. "Res je, GDPR prinaša veliko dilem. Kako se v Sloveniji obnašamo ob dilemah? Hitro iz majhnih stvari naredimo slona. A zavedati se moramo, da danes na trgu ne konkurirate s slovenskimi podjetji, ampak s celo Evropo in njenim načinom razmišljanja. Drugačnim načinom razmišljanja in različnimi praksami v posameznih državah."
Danes na trgu ne konkurirate s slovenskimi podjetji, ampak s celo Evropo in njenim načinom razmišljanja. - Jurij Žurej (Droga Kolinska / Atlantic Grupa)
Predavatelj opozarja, da se je v Sloveniji zgodil svojevrsten paradoks. "Država ni bila sposobna sprejeti zakona o varovanju osebnih podatkov, vi pa ste dolžni upoštevati nejasna pravila. Podjetja potrebujejo učinkovite rešitve in ne filozofije. Imam konkreten primer in potrebujem konkretno rešitev." Glede uredbe o varovanju osebnih podatkov je stališče Jurija Žureja jasno: "Če se ukvarjate z obdelavo podatkov, potem morate nujno prebrati uredbo. Sicer se vam lahko zgodi, da dobite interpretacijo uredbe s strani nekoga, ki je sploh ni prebral. Uredbe so napisane tako, da jih razumemo tudi navadni smrtniki. In tako mora biti napisana tudi zakonodaja."
Podjetja potrebujejo učinkovite rešitve in ne filozofije. - Jurij Žurej (Droga Kolinska / Atlantic Grupa)
Tudi Jurij Žurej se strinja s sogovornicama, da je nujno potrebno o uredbi izobraziti zaposlene v podjetju. "V osnovi moramo izobraziti tiste osebe, ki največ delajo s podatki. Direktorji marketinške, kadrovske in IT službe bi morali prebrati uredbo v celoti. Pika. Za ostale organizirajte ustrezna izobraževanja, ni potrebno, da postanejo strokovnjaki na tem področju, nujno pa je, da razumejo pravila. Predvsem, da znajo poiskati in zastaviti vprašanja najbolj zoprni osebi v podjetju - uradni osebi za varstvo podatkov. Ta naj bo vključena na samem začetku procesa obdelave podatkov, saj boste z njeno pomočjo rešili veliko zagat. V našem podjetju smo zaposlenim po končanem izobraževanju podelili tudi diplome. S tem bomo ljudi razbremenili, ker jih je pogosto strah, da nimajo pravega znanja," razmišlja predavatelj.
Podjetje Atlantic Grupa upravlja s številnimi podjetji in predstavništvi v 10 državah in prodaja izdelke v tem trenutku v 40 državah sveta. "Kako naj strankam po vsem svetu razložimo, kako upravljamo z njihovimi podatki? Potrebujemo 20 različnih dokumentov? Ali res želimo stranke zamoriti s papirji, ki jih nikoli nihče ne bo prebral, medtem ko ima lahko konkurenca na istem trgu drugačna pravila zaradi zakonodaje države, iz katere prihaja? Vedno moramo imeti v mislih, da je na prvem mestu vendarle posel. Če bomo stranko zasuli s papirji, ne bo kupila našega produkta. Včasih se je potrebno gibati po robu, ampak imejte pripravljene argumente, če se bo pri vas oglasil inšpektor. Poiščite primere konkurence. Tistih, ki postavljajo standard na trgu. In bodite v zlati sredini. Predvsem pa uporabljajte zdravo pamet ter zadev ne zapletajte bolj, kot je potrebno. Postavite se zase in vaše odločitve argumentirajte. Vprašajte se, kaj je vrednota našega podjetja. Je to kraja in zloraba podatkov? Verjetno ne, torej v 90 % ne kršite zakona. Razmislite, kako se obnašate kot potrošniki in kaj bi vas zmotilo, ko podjetje obdeluje vaše osebne podatke," iskreno mnenje deli predavatelj.
"Pri sodelovanju s partnerji bodite pozorni na to, da vam ti zagotavljajo, da so njihove storitve v skladu z zakonodajo. To določite s pogodbo in jih zavežite z odškodninsko odgovornostjo. S tem se boste rešili kopice problemov," v zaključku svetuje pravni strokovnjak.
Zapis je nastal na podlagi četrtega iz serije dogodkov GDPR v praksi: "Katera so ključna vprašanja po 25. maju."
Foto: Nejc Lasič: Celotno fotogalerijo si lahko ogledate TUKAJ.