Papirni obračun z uredbo GDPR
Vem, mesec dni je tega, kar ste si grizli nohte ob omembi uredbe GDPR. Identificirali ste vsak drobec osebnih podatkov v svojih sistemih in datotekah ter analizirali z njim povezano tveganje. Morebiti ste omenjeno uredbo izkoristili še za ureditev drugih vidikov poslovanja, npr. uvedbo identifikacijskih kartic ter nadzora dostopa ali pa celo prenovo procesov in pod drobnogled vzeli vsako z dokumenti povezano aktivnost ter poskrbeli za njeno skladnost z novo evropsko zakonodajo. Marsikatero podjetje je v svoje digitalno drobovje spustilo tudi pravnike in za nagrado poleg potrditve o digitalni dokumentni higieni prejelo še precej masten račun.
Žal so številna podjetja pozabila na ključni del zagotavljanja skladnosti – ljudi, zaposlene. Ko sem se tako ob obisku podjetij v zadnjem mesecu sprehodil skozi prenekatero pisarniško okolje, mi je hitro postalo jasno, da bodo (slabe) navade zaposlenih daleč najtrši oreh. V bližnjem košu za smeti je bil na meni vidnem mestu odvržen izpis strank z več ključnimi postavkami, seveda tudi osebnimi podatki.
Vsi informatiki, pravniki in drugi samooklicani GDPR-strokovnjaki namreč vedno znova pozabijo, da ima uredba GDPR opraviti več kot zgolj s tehnologijo in pravili. Zgolj ravnanje s papirnimi dokumenti z najrazličnejšimi osebnimi podatki v poslovnih okoljih je v nebo vpijoči dokaz, da podjetja ne razumejo, kako bi morala ravnati z njimi. Združljivost z GDPR se v tem primeru razblini kot milni mehurček, saj so podjetja v prizadevanjih po digitalni skladnosti povsem pozabila na zasebnost na področjih tiskanja in skeniranja dokumentov.
Scenarijev vsakdanjih kršitev uredbe GDPR ne manjka, naj jih naštejem le par, mogoče se boste hitro prepoznali v njih:
- Po sestanku na mizi ostanejo dokumenti z osebnimi podatki, vidi jih lahko katerikoli prišlek, saj čakajo, da jih bo pospravila tajnica ali pa študent na poletni praksi.
- Vsi uničevalniki dokumentov so zasedeni, zato zaposleni pustijo občutljive dokumente ob njih.
- Metka praznuje rojstni dan, zato se ob 16. uri vsi zberejo v bližnji restavraciji. Na mizah nekaterih zaposlenih ostanejo dokumenti z osebnimi podatki.
Urediti bo treba osnove - zgornje vrstice, ki so nič drugega kot nedolžni primeri vedenjskih vzorcev ljudi, dokazujejo, da se za padec na »GDPR-izpitu« ni treba soočiti z res naprednimi kibernetskimi kriminalci. A to inšpektorjev, ko bodo ti enkrat začeli obiskovati podjetja, ne bo niti najmanj zanimalo, veselo bodo pisali kazni.
Res ne gre drugače? Seveda gre. Vlagati je treba tudi v izobraževanje in usposabljanje zaposlenih. Konec dneva so ljudje tisti, ki lahko postanejo najboljša obramba pred grožnjami, ko prežijo na osebne podatke in zasebnost, ali pa najšibkejši člen te verige. Zaposleni se morajo zavedati, da je zasebnost posameznika resna stvar. Močno pa si podjetja skladnost z uredbo GDPR poenostavijo s prehodom na brezpapirno poslovanje. Sodobni dokumentni sistemi so bržkone najelegantnejša rešitev, kako ubiti več muh z enim zamahom. A jih danes uporablja le vsako deseto srednje oziroma veliko podjetje.