Postopek izvedbe prilagoditve podjetja na GDPR

S strani podjetij velikokrat dobivamo vprašanja o tem, kako dejansko poteka prilagoditev podjetja na GDPR, kakšna je njihova vloga ter koliko časa traja izvedba celotnega projekta. Da si boste lažje predstavljali, kako izvedba prilagoditve poteka, vam v nadaljevanju na kratko predstavljamo njene ključne faze.

Prilagoditev poslovanja podjetja na splošno uredbo o varstvu podatkov ali GDPR nedvomno pomeni določene spremembe v poslovnih procesih podjetij, ki obdelujejo svoje podatke, saj jih morajo prilagoditvi tako iz tehničnega kot tudi iz procesnega vidika. Praviloma je celoten projekt sestavljen iz treh faz:

  • faze pregleda trenutnega stanja in ugotavljanja razkoraka med trenutnim stanjem v podjetju in zakonskimi zahtevami, 
  • faze sprejemanja ukrepov, ki ugotovljene nepravilnosti sanirajo in 
  • faze preverjanja učinkovitosti ukrepov

Na nas se obračajo podjetja z vprašanji o tem, kako dejansko poteka prilagoditev, kakšna je njihova vloga ter koliko časa traja izvedba celotnega projekta. V odgovor na ta vprašanja smo pripravili grafično pojasnilo izvedbe projekta prilagoditve poslovanja podjetja v skladu z zakonodajo iz področja varstva osebnih podatkov:

Ali bomo izvedli vse faze prilagoditve je odvisno od potreb, velikosti, obsega obdelave osebnih podatkov in vrst osebnih podatkov, ki se obdelujejo v podjetju. Tako bomo lahko v manjših podjetjih, ki obdelujejo le manjše količine osebnih podatkov, le sprejeli prilagojene ukrepe in torej opravili le 2. fazo prilagoditve, v večjih ali zahtevnejših podjetjih pa bo potrebno opraviti vse faze prilagoditve. Pri izvajanju prilagoditve vedno upoštevamo potrebe podjetja in sprejmemo le tiste ukrepe, ki so nujno potrebni za ureditev področja varstva osebnih podatkov v podjetju. Tehnični pregled se običajno opravlja v skladu z metodološkimi smernicami mednarodnega standarda za informacijsko varnost ISO 27001 in zajema pregled dostopov do sistema, kjer se osebni podatki obdelujejo in shranjujejo, ugotovitev ustreznosti fizičnega in tehničnega varovanja prostorov ter varovanja pred negativnimi vplivi okolja, ustreznost varovanja osebnih podatkov (npr. proti zlonamerni kodi).

Zakaj procesni pristop?

Pri presoji skladnosti in določanju morebitnih kazni s strani nadzornih organov je pomembno dokazovanje podjetja, da je z ustrezno skrbnostjo pristopilo k sprejemu tehničnih, organizacijskih in pravnih ukrepov za varnost osebnih podatkov, ter da z rednimi pregledi skrbi, da se poslovni procesi izvajajo v skladu s sprejetimi zavezami in postavljenimi zahtevami GDPR. Procesni pristop in izdelane procesne metodologije (npr. ISO 27001) gotovo predstavljajo učinkovit način za doseganje želenih učinkov v zvezi z izpolnjevanjem zahtev GDPR. 

Potrebujete pomoč pri izvedbi prilagoditve podjetja na varstvo osebnih podatkov? Z veseljem vam pri tem z našimi znanji in izkušnjami pomagamo. Kontaktirajte nas in si rezervirajte brezplačen 15 minutni uvodni razgovor preko videokonference (Skype, Zoom, Teams), v katerem bomo razjasnili vsa morebitna vprašanja, ki se vam porajajo v zvezi z varstvom osebnih podatkov v vašem podjetju. Lahko pa pišete tudi na elektronski naslov info@eudace.eu ali jaka@eudace.eu