Danes, ko to pišem, je še tri dni do uveljavitve GDPR. Kliče me ogromno ljudi in večino grabi panika. Preprosto ne vedo več, kaj res morajo storiti in česa ne. Že celo leto razlagam strankam, da panike glede GDPR (ali česarkoli) ne sme biti in enako velja tudi danes, ali pa dolgo po 25. maju 2018.
Glavni razlog za paniko je nerazumevanje. Če morate narediti eno samo stvar, si na katerikoli način v svoje možgane vnesite naslednje zrno znanja: osebni podatki pripadajo posameznikom, ki so vam jih posredovali, vi jih samo upravljate. Seveda to razumete, boste rekli, ampak iz tega načela izhaja prva zahteva in iz nje najnižji minimum tega, kar morate storiti.
Absolutno najmanj, kar morate storiti je, da ugotovite, kako intenzivno se morate lotiti GDPR. Če imate malo osebnih podatkov, če so ti zelo nenevarni, če je kristalno jasno, kako ste podatke dobili in to ni v nasprotju z namenom ne vas ne posameznikov, potem lahko GDPR zelo hitro zaključite že z ugotovitvenim dokumentom, ki vam ne bo vzel več kot 1 uro časa, pa zanj tudi ne rabite nobenega svetovalca. Ura svetovanja pri GDPR je zdaj nekje 150€, marsikje še tudi precej več.
V ta ugotovitveni dokument (poimenujte ga »evidenca dejavnosti obdelave«) v nekaj odstavkov zapišite:
- Katere podatke ima vaše podjetje
- Kako jih dobi, kaj je namen tega, da te podatke imate in kaj je pravna podlaga za to, da jih imate. Pravna podlaga je najpogosteje pogodba ali kar račun za izdelek ali storitev, to tudi pomeni, da so vsi kupci, če o njih zbirate le podatke vezane na prodajo, tudi upravičeno v vaših zbirkah podatkov.
- Kakšno je tveganje za izgubo podatkov, kako podatke varujete, kako bi jih lahko bolje varovali, kako velika bi bila škoda ob vdoru, kraji, izgubi podatkov
- Oglejte si člena 24. in 30. v GDPR, če ju omenite v vašem ugotovitvenem dokumentu, bo vse skupaj še bolj imenitno
Če tu ugotovite, da je tveganje zelo majhno, beri skoraj nično, potem je to treba zapisati v ta isti dokument in vaš GDPR je za zdaj tem končan! Kdaj pa kdaj, recimo vsakih šest mesecev se ga splača pogledati in po potrebi osvežiti, ampak to je to. Prepričan sem, da bo 90% podjetij v Sloveniji lahko tu že primerno pripravljenih.
Če še niste končali, imate kot kaže nekoliko večji izziv. Recimo, da želite strankam, pa tudi nestrankam pošiljati novice, promocijsko gradivo in podobno. Predlagam, da spišete še en dokument (ki ga poimenujete »Politika zasebnosti«), kjer na kratek in enostaven način pojasnite, kaj počnete s podatki, kako ščitite pravice posameznikov, na koga pri vas naj se obrnejo glede svojih osebnih podatkov. Obenem v to politiko zapišite, da je pošiljanje novic, s tem pa hranjenje njihovih naslovov urejeno na osnovi vašega zakonitega interesa. To vam dopušča GDPR. Nobenih soglasij ne potrebujete, razen …. če želite delati kaj več s podatki. Ta dokument potem primerno objavite, npr. na vaši spletni strani, natisnjeno kopijo pa imate nared v predalu pod vašo blagajno.
Če ste B2B podjetje, vam bo prav prišla kakšna pogodba o obdelavi podatkov. Tu je že bolje, da najamete strokovnjake. Kot tudi za večino ostalih stvari, ki sledijo. GDPR je pameten zakon, saj več dela nalaga tistim, ki imajo več podatkov ali bolj tvegane podatke.
Med strokovnjaki predlagam sodelovanje s podjetjem Ascaldera. Z njimi sodelujem leto dni in prepričan sem, da smo skupaj eno najboljših podjetij za vzpostavitev skladnosti z GDPR v regiji. Ne le zaradi referenc, ampak tudi zato, ker še nisem srečal problema, ki ga kljub temu monstrumu imenovanem GDPR ne bi mogli razumno rešiti.