Blog

TRI, ČETIRI, SAD: UBRZAJTE PUT KA GDPR UZ CONTENT MANAGEMENT I BPMN

OBJAVLJENO: 22. marta 2018.

Najveća promena u istoriji privatnosti podataka

The General Data Protection Regulation (GDPR) ili Regulativa o zaštiti podataka je jedna od najdalekosežnijih promena u domenu privatnosti podataka, koja građanima Evropske unije pruža veću kontrolu na svojim ličnim podacima koje organizacije i kompanije koriste. U pitanju je novi zakon o privatnosti koji se odnosi na vladine organizacije, kompanije i neprofitne organizacije koje pružaju usluge građanima ili sakupljaju i obrađuju njihove lične podatke. Regulativa zahteva sprovođenje veće kontrole i sigurnosti nad podacima.

Odobrena je i usvojena u aprilu 2016. i počinje da se primenjuje od 25. maja 2018. godine.

Propisi o zaštiti podataka, kao i pravima građana koje donosi Evropska unija pokazali su se kao standard prema kome se upravlja većina država sveta, pa je s toga za očekivati da će GDPR biti osnova za druge slične zakone koji će se doneti i i sprovoditi van Evrposke unije, naročito u zemljama koje su kandidati za članstvo.

Šta sve spada u lične podatke?  

Pod ovim pojmom GDPR podrazumeva svaki podatak koji se odnosi na ili se može povezati sa konkretnom osobom. Prema tome, pod ličnim podacima se podrazumevaju: svi lični identifikacioni podaci osobe (ime, adresa, brojevi telefona, poslovne i privatne email adrese, brojevi identifikacionih dokumenata), medicinska i zdravstvena dokumentacija, podaci o etničkoj i verskoj pripadnosti, podaci o kompaniji u kojoj je lice zaposleno, online identifikatori (IP adrese, postovi na društvenim mrežama, GPS ili lokacijski podaci, cookies), informacije o zaposlenima, prodajne baze podataka, baze o korisnicima usluga, biometrijski podaci, CCTV video snimci. Pod ličnim podacima se mogu čak podrazumevati i oni za koje bi na prvi pogled rekli da to nisu, npr. fotografija pejzaža sa identifikacionim kodom koji može da se poveže sa osobom ili čak i pseudonimi koji mogu da se povežu sa određenom sobom.

Softverski kec u rukavu : Content management i BPMN

S obzirom na gore navedeno, jasno je da usklađivenje sa GDPR zahteva napredna softverska rešenja koja pružaju mehanizme skladištenja, zaštite i kontrole na jednom mestu.

Vendorska Content management rešenja su po prirodi svoje namene predodređena za ostvarivanje ovakvog cilja. Uz funkcionalnosti koje su u njih već ugrađene dobijaju se preduslovi za potpuno zadovoljenje GDPR regulative.

Kao dokaze za to razmotrićemo kako ozbiljna vendorska rešenja odgovore na šest osnovnih principa zaštite podataka koje kompanija ili organizacija mora da zadovolji.

 

 

1.    Transparentnost, pravednost i zakonitost

Korisniku se mora pružiti jasna informacija u koje svrhe i od strane kojih osoba su podaci korišćeni. Zakonsku osnovu za korišćenje organizacija dobija na osnovu pravnih normi i saglasnosti pojedinca.

Kroz mehanizme skladištenja, organizovanja i povezivanja dokumenata platforma obezbeđuje jasan uvid u dokumentaciju koja je u tu svrhu prikupljena i dokumente saglasnosti koje je korisnik potpisao.

Uz audit funkcionalnosti platforme, obezbeđuje se beleženje informacija o svim akcijama sprovedenim  nad dokumentima i podacima. Audit funkcionalnost se podešava tako da se svaka akcija nad podacima i dokumentima beleži u bazi podataka same platforme. Informacija obavezno uključuje datum i vreme izvršenja akcije, podatke o licu koje je akciju izvršilo, kao i informaciju o tipu izvršene akcije. Audit se postavlja na platformskom nivou, tako da je nezavistan od aplikacije koja je korišćena za izvršenja akcije. Pristup i akcija sprovedena na podatku/dokumentu je evidentirana bez obzira da li se pristup vrši iz interne aplikacije, eksterne aplikacije, web/rest servisa. Informacija o pristupu je uskladišena na nivou platforme i njoj se može pristupiti samo preko funkcionanosti platforme. Na ovaj način se korisniku u svakom trenutku mogu dostaviti podaci o tome kako se njegovi lični podaci/dokumenti koriste.

 

2.    Svrha obrade podataka

Svakom podatku/dokumentu smeštenom u content management sistemu pridružuje se takozvana Access Control lista (ACL), kojom se jasno definiše koje grupe korisnika i pojedinci mogu da pristupe objektu,  kao i koje operacija nad njim mogu da izvedu. Skup prava koji se kroz ACL može dodeliti objektu se razlikuje od platforme do platforme, ali u opštem slučaju može da se podeli na sledeće grupe:

Ako korisnik nema definisan nijedan navedeni nivo prava, onda to podrazumevano znači da nema nikakvo pravo nad objektom. Objekat za njega praktično ne postoji.

Uz mehanizme ACL-a, postiže se potpuna kontrola pristupa objektima za korisnike platforme. Kao i svi drugi mehanizmi, kontrola pristupa se obezbeđuje na baznom, platformskom nivou. Bez obzira koji kanal komunikacije se koristi, prava su kontrolisana od strane platforme i ne mogu biti nadjačana na aplikativnom nivou.

Dodatnim uključivanje BPMN funkionalnosti postiže se kontrola toka obrade podatka. Jasno definisan poslovni proces pretočen u aplikativni radni tok, obezbeđuje mehanizme kojima se tačno određenim korisnicima u tačno definisanim tačkama poslovnog procesa daje minimalni skup prava za rad sa objektom.  Na ovaj način se obezbeđuje kontrola, odnosno postiže se da učesnik u poslovnom procesu izvršava isključivo one aktivnosti koje konkretna situacija od njega zahteva, samo u trenutku kada proces to od njega traži. Recimo, izmena podatka se ne može obaviti ako se ne vrši u procesu kojim je ažuriranje podataka pokriveno.

Centralizovano upravljanje pravima i dizajnom poslovnog procesa kroz BPMN alate, daje jedinstvenu tačku kontrole pristupa objektu i upravljanju njegovim životnim vekom.

 

3.    Svrha čuvanja podataka

Content management sistem predstavlja jedinstveno, centralizovano mesto za skladištenje podataka. Na taj način se i podaci o korisnicima čuvaju na jednom mestu. Poslovna pravila i zakonska regulativa definišu minimalan skup podataka/dokumenata koji se u sistemu čuvaju. Međutim, ukoliko je skup podataka/dokumenata potrebno proširiti, jer drugi poslovni procesi to zahtevaju, onda je ispravno njegovo proširivanje uraditi na ovom centralnom mestu. Skladištenje podatka/dokumenta o istom korisniku na nekom drugom mestu, samo zbog toga što podatke treba dopuniti, može da dovede i do dupliranja istog podatka na više mesta što dodatno komplikuje administraciju i kontrolu. Dopunom podataka, eventualnom dopunom ACL-ova ili redizajnom poslovnog procesa kroz BPMN mogu se zadovoljiti novi zahtevi, bez gubitka kontrole i dupliranja podataka.

4.    Tačnost podataka i mogućnost brisanja/ispravljanja

U Content management sistemu podaci/dokumenti korisnika se nalaze na jednom centralizovanom mestu, bez dupliranja i redundanse podataka. Samim tim, sve  izmene koje korisnik zahteva se rade na jednom mestu. Izmenjen podatak je odmah vidljiv svim drugim aplikacijama i sistemima. Takođe, BPMN funkcionalnost može da se uključi u proces izmene podatka. Recimo, na zahtev korisnika za dopunu/izmenu podatka registrovan na ulazu se automatski pokreće implementirani radni tok koji od ovlašćenih lica traži da izvrše zahtevane izmene. Nakon što to urade, dobro dizajnirani radni tok može da traži od drugih lica da te izmene verifikuju i potvrde. Na ovaj način se obezbeđuje dvostruka provere (four-eyes principle) izmenjenog podatka. Time se stvara dodatna vrednost – da se sve akcije u procesu izmene evidentiraju i pamte na platformskom nivou. Ove informacije mogu da se pruže korisniku, čime se lako zadovoljava GDPR zahtev za transparentnost i validnost.

 

5.    Koliko dugo mogu da se čuvaju podaci

GDPR propisuje da lični podaci mogu da se zadrže samo dok se ne postignu ciljevi zbog kojih su podaci prikupljeni. Korišćenjem Retention servisa, na platformskom nivou se obezbeđuje mehanizam uklanjanja podataka. Retention polise omogućavaju definisanje pravila kojim se vrši brisanje zapisa. U definisanju pravila kojima se definiše brisanje zapisa mogu da se koriste skoro sve informacije o objektu koje postoje u sistemu.

 

6.    Sigurnost, integritet i poverljivost

Obezbeđivanje sigurnosti, integriteta i poverljivosti, poslednji princip koji mora biti zadovoljen u okviru GDPR-a ,  zapravo predstavlja suštinu postojanja i funkcionalnosti Content management rešenja. Čitava platforma preko svojih mehanizama upravljanja pravima pristupa, implementacijom radnih tokova, retention polisama, audit mehanizmom, postoji da bi se omogućilo ostvarenje ovog cilja. Platforma deteltuje svako narušavanje ovog zahteva (breach). Podaci o tome mogu da se proslede odgovornim licima, a korisnik, prema zahtevu GDPR regulative, može o tome da bude odmah obavešten.

Brzo i lako do GDPR usaglašenosti? Moguće je!

Napredna vendorska Content management rešenja u kombinaciji sa BPMN alatima po prirodi svog postojanja i namene obezbeđuju mehanizme potrebne da se ispune GDPR zahtevi. Pravilnom upotrebom njihovih funkcionalnosti organizacije i kompanije mogu brzo, lako i ekonomično da se usklade sa novom regulativom, ali i da značajno unaprede poslovanje. Jer, ove platforme ne samo da ubrzavaju put ka GDPR, već donose i razne druge poslovne prednosti.

Želite da saznate još o primeni Content Management i BPMN rešenja? Imate pitanja? Javite nam se u komentaru ispod ili me direktno kontaktirajte.

 

 

OSTAVI KOMENTAR

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *