Autor: Marijan Bračić, Data Privacy Director @ Poslovna inteligencija

Uspješna implementacija bilo kojeg GDPR projekta kao rezultat treba povećati razinu zaštite osobnih podataka koje Banka obrađuje. Povećana zaštita osobnih podataka uključuje veću sigurnost podataka koji se obrađuju i višu razinu zaštite privatnosti.

Praksa pokazuje da Banke usklađivanje sa Zakonom o zaštiti podataka o ličnosti provode kroz više projekata, a cilj i opseg tih projekata definiraju se analizom rezultata GAP analize.

Gap analiza obično se provodi na početku procesa usklađivanja. Koji će se projekti provoditi nakon završetka GAP analize, i u kojem opsegu određuje se prema procijenjenim rizicima. Bitno je još napomenuti da se projekti uobičajeno dijele na projekte usklađivanja primjenom organizacijskih ili tehničkih mjera.

Organizacijske i tehničke mjere usklađivanja

Prva grupa predstavlja kompleksan projekt koji se generalno može opisati kao uvođenje organizacijskih mjera u svrhu usklađivanja sa Zakonom o zaštiti podataka o ličnosti i uključuje:

  • Usklađivanje politika privatnosti,
  • procjenu rizika obrade podatakaprema pojedinim aktivnostima obrade,
  • usklađivanje ugovora s partnerimaugovora s klijentima,
  • usklađivanje ugovora sa zaposlenicima,
  • izdvajanje privola iz ugovora,
  • uvođenje programa kontinuirane edukacije,
  • reorganizacija uloga zaposlenikai njihovih odgovornosti u postupanju s podacima i sl.

Druga grupa projekata predstavlja uvođenje tehničkih mjera i uključuje:

  • kategorizaciju podataka,
  • mapiranje podataka,
  • zaštitu podataka,
  • minimizacijupodataka,
  • pseudonimizaciju i anonimizaciju podataka u IT sustavima,
  • uvođenje sustava za centralizirano upravljanje privolama,
  • automatizaciju politika zadržavanja i uništavanja podataka,
  • automatizaciju ispuna pravafizičkih osoba i
  • uvođenje self-service portalaza upravljanje privolama i postavkama privatnosti fizičkim osobama

Bitno je napomenuti da su obje grupe mjera neizostavni dio usklađivanja i da su međusobno ovisne, te je bitno definirati redoslijed izvedbe projekata uvažavajući analizu rizika i ispunu potrebnih preduvjeta za izvedbu.

Primjerice, prije uvođenja tehničkih mjera anonimizacije i pseudonimizacije potrebno je mapirati i klasificirati podatke, ali i vrlojasno definirati u koju se svrhu tehničke mjere provode za što je potrebno prethodno završiti dio organizacijskih mjera i pri tome kreirati evidenciju obrada osobnih podataka i politike zadržavanja i uništavanja podataka, te napraviti potrebne procjene obrada.

Banke su kompleksne organizacije koje podržavaju brojne procese obrada osobnih podataka pri čemu je potrebno orkestrirati velik broj organizacijskih jedinica i zaposlenika i osigurati da sve promjene koordinirano pridonose zajedničkom cilju usklađivanja Banke sa Zakonom o zaštiti podataka o ličnosti.

Izazovi usklađivanja sa Zakonom o zaštiti podataka o ličnosti

Najčešći izazovi koji se pojavljuju prilikom izvedbe projekata su međusobna neusklađenost i/ili nerazumijevanje Službenika za zaštitu podataka, pravne službe, IT-a i marketinga. Ovo je i razumljivo imajući u vidu kompleksnost regulative i različite funkcije službi čiji zaposlenici imaju različita znanja.

U pravilu su Službenici za zaštitu podataka pravnici ili dolaze iz IT struke, ali bez obzira na struku jednoj osobi je gotovo nemoguće istovremeno imati kontinuirani uvid u pravni segment regulative i podatkovni segment svih poslovnih procesa Banke.

Upravo iz tog razloga uvođenjem GDPR-a nastao je Data Privacy Manager – softverska platforma koja povezuje regulativu i podatke, pružajući Službenicima za zaštitu podataka jednostavan način da upravljaju compliance pravilima na razini Banke i povezuju ih s bančinim IT sustavima i podacima.

S druge strane Data Privacy Manager oslobađa IT obaveze dubinskog razumijevanja regulative i orkestrira jasna pravila za ispravno izvršavanje tehničkih mjere i automatizacije provođenja compliance pravila nad podacima koje Banka obrađuje.

Ova podjela odgovornosti je ključan dio brze i ispravne provedbe projekata usklađivanja. Svaka organizacijska jedinica mora imati jasno definirane odgovornosti koje su realne i usklađene s kompetencijama službe.

Iskustva pokazuju da usklađivanje najlakše provode Banke koje uvedu decentralizirani model upravljanja privatnošću podataka u kojem Službenik za zaštitu podataka ostaje u nadzornoj i savjetodavnoj ulozi, a IT, marketing, ljudski resursi i ostale uključene službe preuzimaju realne odgovornosti za usklađenost. Konkretan primjer je upravljanje Evidencijama obrada korištenjem Data Privacy Manager alata.

Upravljanje Evidencijama obrada korištenjem Data Privacy Managera

Prilikom kreiranja Evidencije obrade podataka najčešća pogreška je oslanjanje na ispunu Evidencija obrada korištenjem Excel tablica. Nema ništa pogrešno u korištenju Excel tablica, a i tekst Zakona propisuje samo informacije koje je potrebno voditi u Evidenciji a ne i način na koje se te evidencije održavaju.

Ali Zakon propisuje i provođenje definiranih politika u skladu s načelima zaštite podataka što znači da sve informacije u evidenciji trebaju biti usklađene s poslovnim procesima i IT sustavima i sve politike treba primjenjivati nad samim podacima koji se nalaze u tim IT sustavima.

Data Privacy Manager omogućava centralizirano evidentiranje obrada podataka putem korisničkog sučelja uz efikasnu kolaboraciju svih relevantnih organizacijskih jedinica.

U praksi Banke imaju stotinjak i više evidencija obrada osobnih podataka i 30 i više zaposlenika koji imaju odgovornost redovnog održavanja aktivnosti obrada.

Kako bi kolaboracija bila efikasna Data Privacy Manager podržava decentraliziranu politiku upravljanja tako da rola Službenika za zaštitu podataka ima uvid u sve aktivnosti obrade i sve promjene nad njima, a ostale role ovisno o definiranim pravima mogu kreirati i uređivati i (de)aktivirati aktivnosti obrade.

Također, svaka aktivnost obrade u aplikaciji ima svog vlasnika, zaposlenika Banke koji je odgovoran za ažuriranje informacija vezanih za samu obradu. Štoviše, neke Banke imaju definirane politike ažuriranja evidencija obrada koje propisuju da je definirani vlasnik dužan dva puta godišnje ažurirati aktivnosti obrade za koje je nadležan.

Kako bi se uistinu i držali tih obaveza Data Privacy Manager omogućava roli Službenika za zaštitu podatka da kreira zadatke i nadzire njihovo ispunjavanje. 

Najveća razlika između Excela i Data Privacy Managera je u mogućnosti povezivanja evidencije obrada s ostalim procesima i IT sustavima.

Primjerice, evidencija obrada sadrži informacije o politikama zadržavanja podataka koje propisuju pravila za izračun vremenskog trajanja arhiviranja osobnih podataka.

U procesu usklađivanja Banke sa Zakonom o zaštiti podataka o ličnosti jedan od zadataka pravne službe i Lica za zaštitu podataka o ličnosti je uzeti u obzir i druge zakonske obaveze, primjerice zakon o arhiviranju, te definirati pravila vremenskog čuvanja prema kategorijama podataka. Njihovo evidentiranje u Excel tablici ne omogućava i njihovu primjenu nad pravim podacima.

S druge strane Data Privacy Manager putem integracije s podacima, uzima u obzir različite poslovne procese banke i IT sustave u kojima se podaci obrađuju, kreira i propagira raspored arhiviranja i raspored uništavanja podataka s tehničkim informacijama o lokaciji podataka.

Na taj način omogućeno je automatiziranje cjelokupnog životnog ciklusa podataka što je u praksi jedini način da Banke budu usklađene sa Zakonom imajući u vidu količine podataka i broj IT sustava u kojima se podaci obrađuju.

Upravljanje evidencijama obrada podataka je samo jedan primjer kako Data Privacy Manager pomaže Bankama u usklađivanju i obično prvi modul koji Banke implementiraju jer predstavlja osnovu za automatizaciju svih daljnjih procesa operacionalizacije GDPR-a.

Upravljanje privolama i postavkama privatnosti

Jedan od procesa koje Banke također implementiraju na samom početku usklađivanja je i uvođenje sustava za upravljanje privolama i postavkama privatnosti uz što uobičajeno ide i otvaranje self-service portala prema klijentima Banke.

Obrade koje se provode na temelju privola, za razliku od svih drugih obrada moraju biti usklađene sa željama fizičkih osoba koje se mogu mijenjati kroz vrijeme. Banke najčešće koriste privolu kao pravni temelj za marketinšku komunikaciju.

Strategija upravljanja podacima obično se razlikuje između industrija, i jedan od načina da se strategije klasificiraju je ili kao napadačke ili kao obrambene.

Pri čemu napadačke strategije znače intenzivnu obradu osobnih podataka u smislu monetizacije uključujući segmentiranje i profiliranje fizičkih osoba i agresivan marketing, dok se obrambene strategije baziraju na minimizaciji rizika i izloženosti podataka.

Napadačke strategije obično karakteriziraju manje regulirane industrije u kojima vlada velika konkurencija poput maloprodaje, a obrambene strategije visoko regulirane industrije koje obrađuju posebne kategorije podataka poput zdravstva.

Banke se nalaze negdje u sredini jer posluju u visoko konkurentnom okruženju, ali su i podložne strogo definiranim regulatornim okvirima.

Iz tog razloga Banke ne mogu bez marketinga ali ga moraju uskladiti sa Zakonom o zaštiti podataka o ličnosti. Danas je standard uvođenje centralizirane platforme za upravljanje privolama i postavkama privatnosti koja služi za automatizirano kontroliranje marketinških aktivnosti i transparentnu komunikaciju s fizičkim osobama.

Njena glavna svrha je da služi kao jedno mjesto istine za sve dane i oduzete privole pružajući sučelje za administraciju svrha obrada koje se temelje na privolama, demonstraciju danih privola i mehanizama za oduzimanje privola.

rilikom implementacije sustava za upravljanje privolama i postavkama privatnosti Banke rade integraciju front-end kanala poput web stranica, E-banking i M-banking aplikacija, ali i Core sustava. Front-end kanali služe za prikupljanje privola i podataka fizičkih osoba pri čemu se uobičajeno dijele na digitalne kanale i poslovnice gdje se privole prikupljaju u papirnatom obliku. Upravo zato Data Privacy Manager ima bogate funkcionalnosti integracije koje omogućavaju Bankama jednostavnu integraciju sa svim front-end kanalima, DMS sustavima, te uključuju sučelje za unos papirnato prikupljenih privola.

Osim front-end kanala Data Privacy Manager se integrira i s marketinškim platformama koje na temelju prikupljenih privola automatiziraju marketinške akcije i kampanje. Uvođenje platforme za upravljanje privolama i postavkama privatnosti omogućava Bankama da marketing kontinuirano komunicira s fizičkim osobama isključivo u skladu s njihovim željama, te omogućava ispravnu podjelu odgovornosti između marketinške službe i Službenika za zaštitu podataka.

Self-service portal za upravljanje privolama i postavkama privatnosti

Prema Gartnerovom izvještaju  do 2020. god. trećina B2C organizacija će uvesti self-service portal usmjeren fizičkim osobama – krajnjim korisnicima. Svrha je povećati transparentnost i zadovoljiti zahtjeve regulative.

Velik broj Banaka odlučuje se zajedno s platformom za upravljanje privolama i postavkama privatnosti uvesti i self-service portal kao jedan od front-end kanala za upravljanje privolama.

Uobičajeno se integrira s E-banking i M-banking platformama kako bi jednostavnom integracijom bile iskorištene sigurnosne postavke postojećih aplikacija bez potrebe za dodatnim sustavom za autentifikaciju fizičkih osoba.

Privacy portal – modul Data Privacy Managera omogućava upravo takvu funkcionalnost kroz samostalnu web aplikacijukoja omogućava deployment na web serverima Banke ili u Cloudu. Banke obično uključuju i jednostavan pristup Privacy portalu prilikom marketinške komunikacije digitalnim kanalima kako bi povećale transparentnost prema svojim klijentima i ostalim fizičkim osobama čije podatke obrađuju.

Privatnost 360°

U odnosu na privole veći broj obrada osobnih podataka koje Banka provodi oslanjaju se na druge pravne temelje, primarno ugovornu obavezu, zakonske obaveze i legitimni interes.

Kako bi se dobio uvid u sve obrade osobnih podataka potrebno je razjasniti i dokumentirati svrhe i pravne temelje obrada podataka koje se oslanjaju na prethodno uvedenu centralnu evidenciju obrada, nakon čega se integriraju i tokovi podataka.

Uobičajeno se Data Privacy Manager prvo integrira s tokovima podataka kreditnih i debitnih linija proizvoda koje se obavljaju u svakodnevnom poslovanju, a zatim s obradama podataka fizičkih osoba koje nisu klijenti.

Postoji nekoliko metoda integracije tokova podataka, a najčešće se u praksi radi jednostavnom integracijom s podacima u DWH prilikom čega se zaobilazi Core sustav banke kako bi se smanjilo opterećenje na produkcijske sustave i pojednostavila integracija.

Rezultat integracije je pogled od 360° na svaku fizičku osobu čije podatke Banka obrađuje što pruža temelj za nadzor usklađenosti, brzu reakciju na potencijalne prigovore, automatizaciju ispune prava fizičkih osoba kada ih zatraže i automatizaciju politika zadržavanja i brisanja podataka.

Ovakav pristup Bankama omogućava ispravno upravljanje životnim ciklusom podataka svih fizičkih osoba i operacionalizaciju svih načela privatnosti koje GDPR traži. Također, automatizacija omogućava ispravnu podjelu odgovornosti između organizacijskih jedinica, štedi vrijeme Službeniku za zaštitu osobnih podataka i IT službi i osigurava izostanak ljudske greške prilikom postupanja s osobnim podacima u svrhu usklađivanja s regulativom.


Provedeni projekti GAP analiza i iskustva usklađivanja pokazala su da je neophodno uvesti Data Privacy funkcionalnosti u IT okruženja Banaka i na taj način osigurati tehničku i integriranu zaštitu privatnosti (engl. Data Privacy by design and default).

Zaključak

Poslovna Inteligencija je vodeća kompanija u jugoistočnoj Europi specijalizirana za izgradnju analitičkih rješenja i upravljanje podacima, s dediciranom poslovnom jedinicom posvećenom istraživanju i razvoju inovativnih proizvoda za zaštitu podataka.

Data Privacy Manager je nagrađivan proizvod Poslovne Inteligencije prepoznat od vodeće analitičke kuće Gartner kao jedna od vodećih svjetskih platformi u području upravljanja privatnosti i koji je dokazan u mnogim implementacijama GDPR-a.

Data Privacy Manager razvijen je od strane iskusnih security, privacy i data stručnjaka koji kontinuirano usavršavaju proizvod i razvijaju nove funkcionalnosti u skladu sa zahtjevima klijenata među kojima su i mnoge Banke.