Blog

TRI, ČETIRI, SAD: UBRZAJTE PUT KA GDPR UZ CONTENT MANAGEMENT I BPMN

PUBLISHED: 22. March 2018.

Najveća promjena u istoriji privatnosti podataka

The General Data Protection Regulation (GDPR) ili Regulativa o zaštiti podataka je jedna od najdalekosežnijih promjena u domenu privatnosti podataka, koja građanima Evropske unije pruža veću kontrolu na svojim ličnim podacima koje organizacije i kompanije koriste. U pitanju je novi zakon o privatnosti koji se odnosi na vladine organizacije, kompanije i neprofitne organizacije koje pružaju usluge građanima ili sakupljaju i obrađuju njihove lične podatke. Regulativa zahtijeva sprovođenje veće kontrole i sigurnosti nad podacima.

Odobrena je i usvojena u aprilu 2016. i počinje da se primijenjuje od 25. maja 2018. godine.

Propisi o zaštiti podataka, kao i pravima građana koje donosi Evropska unija pokazali su se kao standard prema kome se upravlja većina država sveta, pa je s toga za očekivati da će GDPR biti osnova za druge slične zakone koji će se donijeti i i sprovoditi van Evropske unije, naročito u zemljama koje su kandidati za članstvo.

Šta sve spada u lične podatke?  

Pod ovim pojmom GDPR podrazumijeva svaki podatak koji se odnosi na ili se može povezati sa konkretnom osobom. Prema tome, pod ličnim podacima se podrazumijevaju: svi lični identifikacioni podaci osobe (ime, adresa, brojevi telefona, poslovne i privatne email adrese, brojevi identifikacionih dokumenata), medicinska i zdravstvena dokumentacija, podaci o etničkoj i vjerskoj pripadnosti, podaci o kompaniji u kojoj je lice zaposleno, online identifikatori (IP adrese, postovi na društvenim mrežama, GPS ili lokacijski podaci, cookies), informacije o zaposlenima, prodajne baze podataka, baze o korisnicima usluga, biometrijski podaci, CCTV video snimci. Pod ličnim podacima se mogu čak podrazumijevati i oni za koje bi na prvi pogled rekli da to nisu, npr. fotografija pejzaža sa identifikacionim kodom koji može da se poveže sa osobom ili čak i pseudonimi koji mogu da se povežu sa određenom sobom.

Softverski kec u rukavu : Content management i BPMN

S obzirom na gore navedeno, jasno je da usklađivenje sa GDPR zahteva napredna softverska rešenja koja pružaju mehanizme skladištenja, zaštite i kontrole na jednom mestu.

Vendorska Content management rješenja su po prirodi svoje namjene predodređena za ostvarivanje ovakvog cilja. Uz funkcionalnosti koje su u njih već ugrađene dobijaju se preduslovi za potpuno zadovoljenje GDPR regulative.

Kao dokaze za to razmotrićemo kako ozbiljna vendorska rješenja odgovore na šest osnovnih principa zaštite podataka koje kompanija ili organizacija mora da zadovolji.

 

 

1.    Transparentnost, pravednost i zakonitost

Korisniku se mora pružiti jasna informacija u koje svrhe i od strane kojih osoba su podaci korišćeni. Zakonsku osnovu za korišćenje organizacija dobija na osnovu pravnih normi i saglasnosti pojedinca.

Kroz mehanizme skladištenja, organizovanja i povezivanja dokumenata platforma obezbjeđuje jasan uvid u dokumentaciju koja je u tu svrhu prikupljena i dokumente saglasnosti koje je korisnik potpisao.

Uz audit funkcionalnosti platforme, obezbjeđuje se bilježenje informacija o svim akcijama sprovedenim nad dokumentima i podacima. Audit funkcionalnost se podešava tako da se svaka akcija nad podacima i dokumentima bilježi u bazi podataka same platforme. Informacija obavezno uključuje datum i vrijeme izvršenja akcije, podatke o licu koje je akciju izvršilo, kao i informaciju o tipu izvršene akcije. Audit se postavlja na platformskom nivou, tako da je nezavistan od aplikacije koja je korišćena za izvršenja akcije. Pristup i akcija sprovedena na podatku/dokumentu je evidentirana bez obzira da li se pristup vrši iz interne aplikacije, eksterne aplikacije, web/rest servisa. Informacija o pristupu je uskladišena na nivou platforme i njoj se može pristupiti samo preko funkcionanosti platforme. Na ovaj način se korisniku u svakom trenutku mogu dostaviti podaci o tome kako se njegovi lični podaci/dokumenti koriste.

 

2.    Svrha obrade podataka

Svakom podatku/dokumentu smještenom u content management sistemu pridružuje se takozvana Access Control lista (ACL), kojom se jasno definiše koje grupe korisnika i pojedinci mogu da pristupe objektu, kao i koje operacija nad njim mogu da izvedu. Skup prava koji se kroz ACL može dodijeliti objektu se razlikuje od platforme do platforme, ali u opštem slučaju može da se podijeli na sljedeće grupe:

Ako korisnik nema definisan nijedan navedeni nivo prava, onda to podrazumijevano znači da nema nikakvo pravo nad objektom. Objekat za njega praktično ne postoji.

Uz mehanizme ACL-a, postiže se potpuna kontrola pristupa objektima za korisnike platforme. Kao i svi drugi mehanizmi, kontrola pristupa se obezbjeđuje na baznom, platformskom nivou. Bez obzira koji kanal komunikacije se koristi, prava su kontrolisana od strane platforme i ne mogu biti nadjačana na aplikativnom nivou.

Dodatnim uključivanje BPMN funkionalnosti postiže se kontrola toka obrade podatka. Jasno definisan poslovni proces pretočen u aplikativni radni tok, obezbjeđuje mehanizme kojima se tačno određenim korisnicima u tačno definisanim tačkama poslovnog procesa daje minimalni skup prava za rad sa objektom. Na ovaj način se obezbjeđuje kontrola, odnosno postiže se da učesnik u poslovnom procesu izvršava isključivo one aktivnosti koje konkretna situacija od njega zahtijeva, samo u trenutku kada proces to od njega traži. Recimo, izmjena podatka se ne može obaviti ako se ne vrši u procesu kojim je ažuriranje podataka pokriveno.

Centralizovano upravljanje pravima i dizajnom poslovnog procesa kroz BPMN alate, daje jedinstvenu tačku kontrole pristupa objektu i upravljanju njegovim životnim vijekom.

 

3.    Svrha čuvanja podataka

Content management sistem predstavlja jedinstveno, centralizovano mjesto za skladištenje podataka. Na taj način se i podaci o korisnicima čuvaju na jednom mjestu. Poslovna pravila i zakonska regulativa definišu minimalan skup podataka/dokumenata koji se u sistemu čuvaju. Međutim, ukoliko je skup podataka/dokumenata potrebno proširiti, jer drugi poslovni procesi to zahtijevaju, onda je ispravno njegovo proširivanje uraditi na ovom centralnom mjestu. Skladištenje podatka/dokumenta o istom korisniku na nekom drugom mjestu, samo zbog toga što podatke treba dopuniti, može da dovede i do dupliranja istog podatka na više mjesta što dodatno komplikuje administraciju i kontrolu. Dopunom podataka, eventualnom dopunom ACL-ova ili redizajnom poslovnog procesa kroz BPMN mogu se zadovoljiti novi zahtjevi, bez gubitka kontrole i dupliranja podataka.

4.    Tačnost podataka i mogućnost brisanja/ispravljanja

U Content management sistemu podaci/dokumenti korisnika se nalaze na jednom centralizovanom mjestu, bez dupliranja i redundanse podataka. Samim tim, sve izmjene koje korisnik zahtijeva se rade na jednom mjestu. Izmijenjen podatak je odmah vidljiv svim drugim aplikacijama i sistemima. Također, BPMN funkcionalnost može da se uključi u proces izmjene podatka. Recimo, na zahtjev korisnika za dopunu/izmjenu podatka registrovan na ulazu se automatski pokreće implementirani radni tok koji od ovlašćenih lica traži da izvrše zahtijevane izmene. Nakon što to urade, dobro dizajnirani radni tok može da traži od drugih lica da te izmjene verifikuju i potvrde. Na ovaj način se obezbjeđuje dvostruka provjera (four-eyes principle) izmijenjenog podatka. Time se stvara dodatna vrijednost – da se sve akcije u procesu izmene evidentiraju i pamte na platformskom nivou. Ove informacije mogu da se pruže korisniku, čime se lako zadovoljava GDPR zahtjev za transparentnost i validnost.

 

5.    Koliko dugo mogu da se čuvaju podaci

GDPR propisuje da lični podaci mogu da se zadrže samo dok se ne postignu ciljevi zbog kojih su podaci prikupljeni. Korišćenjem Retention servisa, na platformskom nivou se obezbjeđuje mehanizam uklanjanja podataka. Retention polise omogućavaju definisanje pravila kojim se vrši brisanje zapisa. U definisanju pravila kojima se definiše brisanje zapisa mogu da se koriste skoro sve informacije o objektu koje postoje u sistemu.

 

6.    Sigurnost, integritet i povjerljivost

Obezbjeđivanje sigurnosti, integriteta i povjerljivosti, posljednji princip koji mora biti zadovoljen u okviru GDPR-a , zapravo predstavlja suštinu postojanja i funkcionalnosti Content management rješenja. Čitava platforma preko svojih mehanizama upravljanja pravima pristupa, implementacijom radnih tokova, retention polisama, audit mehanizmom, postoji da bi se omogućilo ostvarenje ovog cilja. Platforma detektuje svako narušavanje ovog zahtjeva (breach). Podaci o tome mogu da se proslijede odgovornim licima, a korisnik, prema zahtjevu GDPR regulative, može o tome da bude odmah obaviješten.

Brzo i lako do GDPR usaglašenosti? Moguće je!

Napredna vendorska Content management rješenja u kombinaciji sa BPMN alatima po prirodi svog postojanja i namjene obezbjeđuju mehanizme potrebne da se ispune GDPR zahtjevi. Pravilnom upotrebom njihovih funkcionalnosti organizacije i kompanije mogu brzo, lako i ekonomično da se usklade sa novom regulativom, ali i da značajno unaprijede poslovanje. Jer, ove platforme ne samo da ubrzavaju put ka GDPR, već donose i razne druge poslovne prednosti.

Želite da saznate još o primjeni Content Management i BPMN rješenja? Imate pitanja? Javite nam se u komentaru ispod ili me direktno kontaktirajte.

 

 

LEAVE A REPLY

Your email address will not be published. Required fields are marked *