Možda izgleda malo neobično da ovaj članak izlazi tek sada, manje od 3 mjeseca od početka primjene opće uredbe, no stanje na terenu pokazuje kako je situacija poprilično šarena, pa s jedne strane imamo osiguravajuća društva koja su duboko u projektu, završila GAP analizu, napravila procjenu rizika, analizirala stanje u IT-u te već rade na implementaciji adekvatnih mjera, a s druge strane imamo ona društva koja su ili samo definirala projektni tim bez značajnijih pomaka ka realizaciji ili uopće nemaju projektni tim jer na GDPR ne gledaju kao na projekt već mu pristupaju ad-hoc. Prilično sam siguran da u osiguravajućim društvima bilo koji pristup osim projektnom može donijeti dodatne poteškoće, isto kao što sam u prethodnom članku naglašavao važnost izbora GDPR konzultanta. Gledajući na taj način, ovaj članak može dati dobre smjernice osiguravajućim društvima, ali i svim onim tvrtkama koje se moraju uskladiti s GDPR-om.
Usklađenje s GDPR regulativom u osiguranju nije nimalo jednostavan posao, i idealno bi bilo kada bi postojao centralni projektni pristup koji će adekvatno agregirati sve akcije koje društvo namjerava poduzeti ka usklađenju. Jedan od razloga zašto to nije tako kod dijela osiguravajućih društava u RH je naravno i želja društava ka smanjenju troškova koji proizlaze iz GDPR-a, pa se pri tome oslanjaju isključivo na interne snage. To u osnovi nije loše, no kako se osiguravajuća društva u posljednje vrijeme sve više i više moraju baviti regulativom, a što je proces kroz koji su banke u RH već prošle, polako postaju svjesna opterećenja koja im regulative nalažu te se još uvijek bore s odlukom o zapošljavanju novih djelatnika u compliance i legal odjelima kao i konzultanata. Sve te „nove djelatnike“ Uprave osiguravajućih društava uglavnom smatraju opterećenjem, ponajviše s troškovne strane, pa upravo zbog takvog pristupa nisu u stanju sagledati poslovni aspekt i koristi od GDPR-a i ostalih regulativa koje svakako postoje i moguće ih je u velikoj mjeri iskoristiti. Kako to napraviti, svako osiguravajuće društvo mora samostalno odrediti jer ovisi o njegovoj organizaciji i poslovnim ciljevima.
Kako bi projekt usklađenja s GDPR-om u osiguravajućem društvu mogao izgledati? Metodologija koja će se iznijeti u ovom članku primjenjiva je i za druge tvrtke, no svaka branša ima svoje specifičnosti koje treba posebno sagledati i onda odlučiti kako krenuti u projekt.
1. Kao prvo, potrebno je na nivou društva donijeti odluku kojom se usklađenju s GDPR-om pristupa na projektni način. To u osnovi znači da Uprave društva moraju donijeti Odluku o formiranju projektnog tima koji će voditi projekt usklađenje od početka do kraja. Ovo je bitno iz više razloga. Prvi razlog je definiranje organizacijske svijesti o potrebi ulaska u ovakav projekt te jasna i nedvosmislena podrška Uprave tijekom projekta. Obično je osoba koja je nadležna za compliance u osiguravajućem društva nadležna za GDPR. Drugi razlog je dokaz regulatoru o svijesti osiguravajućeg društva i sljednosti postupaka ka GDPR usklađenju. Društvo će u slučaju dokazivanja usklađenosti s regulativom morati prikazati dokumentaciju o tome da je svjesno regulative i da je Uprava pokrenula mjere koje vode ka usklađenju.
2. Posljedica ove odluke je formiranje projektnog tima koji ima voditelja projekta, a obično je isti i službenik za zaštitu osobnih podataka (DPO), te ostale dionike koji dolaze iz svih sektora i odjela društva. Projektni tim donosi projektni plan kojim se definiraju aktivnosti s krajnjim ciljem usklađenja s GDPR regulativom, a također i terminski plan. Projektni tim može donijeti i odluku o angažiranju savjetnika ili konzultanta iz pravne i/ili IT struke.
3. Jedan od prvih zadataka projektnog tima je definiranje plana o podizanju svijesti, pa se u tu svrhu osobe iz projektnog tima i one koje projektni tim odredi šalju na edukacije ili se organiziraju interne radionice. Projektni tim također mora izraditi plan edukacije za sve djelatnike i buduće djelatnike, kako bi ih se upoznalo sa samom regulativom, kao i njihovim obavezama i odgovornostima vezanim uz regulativu. Ovo je jako važno jer se ovakvim pristupom Uprava i management može riješiti brojnih neugodnosti u slučaju eventualnog proboja podataka.
4. Idući korak koji je potrebno poduzeti je analiza svih poslovnih procesa te pronalaženje osobnih podataka koje društvo obrađuje. Iz ove analize društvo će definirati što je osobni podatak. Ova definicija će se protezati kroz sve buduće akte društva i biti će temelj za implementaciju odgovarajućih IT rješenja.
5. Nakon definiranje podatka tvrtka radi inicijalni dokument evidencije obrada osobnih podataka. Ovaj dokument je prvi dokument koji će regulator zatražiti u slučaju nadzora, a društvo ga je potrebno napraviti u skladu sa člankom 30 Opće uredbe. Sličan dokument je onaj koji se izrađuje na zahtjev ispitanika, a kad društvo mora dostaviti u roku 30 dana podatke o obradi osobnih podataka ispitanika. Također, društvo treba razmisliti o potrebi bilježenja (logiranja) svih akcija u svom informacijskom sustavu kako bi se mogao pratiti slijed u slučaju eventualnih povreda podataka. Sa stanovišta IT-a ovo može zahtijevati ozbiljne poteškoće i znatne preinake u sustavu, no sa stanovišta Uprava ova informacija može biti krucijalna u pogledu dokazivanja upravljanja obradom osobnih podataka i odgovornosti pri obradi osobnog podatka.
6. Projektni tim tada radi GAP analizu odnosno, snimku razlika između postojećeg i budućeg željenog stanja sa određenim definiranim datumima postignuća. Ova snimka bi trebala uključiti i dokument analize rizika s posebno navedenim GDPR rizicima. Također, GAP analiza može uključiti prioritizaciju tj. određivanje prioriteta rješavanja. U okviru GAP analize radi se analiza poslovnih procesa i potreba za provođenjem PIA (Privacy Impact Assesment) analize, što je u skladu sa GDPR uredbom.
7. Rezultati GAP analize su osnova za određivanje IT zahtjeva, kao i određivanje resursa potrebnih za implementaciju mjera. Iako je uvriježeno mišljenje kako je GDPR posao IT-a, ipak je evidentno kako je potrebno obaviti puno koraka dok se uopće dođe do IT-a. Činjenica kako implementacija adekvatnih IT rješenja omogućuje usklađenje s GDPR-om i kako to zahtijeva s jedne strane određene investicije a s druge strane i pažljiv odabir rješenja, dovoljno govori kako je IT najznačajnija karika u ovom procesu, ali nikako nije jedina.
8. Paralelno s ovom fazom radi se na prilagodbi postojeće dokumentacije na temu zaštite osobnih podataka te na izradi potrebne nove dokumentacije. U osiguravajućem društvu, ovo je mukotrpan i zahtjevan posao jer ukoliko se društvo bavi npr. životnim osiguranjem, potreba za prikupljanjem zdravstvenih podataka pred osiguravatelje stavlja potrebu za značajnim angažmanom. Na žalost, regulator se nije jasno očitovao u pogledu toga kako će se ti podaci prikupljati i postaje li dosadašnja praksa s novom regulativom ilegalna te kako će uopće teći čitav tijek tog poslovnog procesa. Osiguratelji koji se bave automobilskim osiguranjem moraju jako obratiti pažnju na pristanak kod izrade police jer neće biti dozvoljeno koristiti dosadašnju praksu pozivanja ispitanika i slanja obavijesti o isteku osiguranja na adresu ispitanika koji nikada nije bio na niti jedan način korisnik usluga osiguravajućeg društva. Vrijedi istaknuti kao 3 mjeseca do dana početka primjene regulative niti jedno društvo (koliko je nama poznato) nije prilikom izdavanja polica osiguranja od automobilske odgovornosti zatražilo od osiguranika potpisanu izjavu da ih se može obavještavati o npr. životnom ili zdravstvenom osiguranju ili nekim drugim akcijama. To dovoljno govori o svijesti osiguravajućeg društva i nerazumijevanju regulative. Za razliku od osiguranja neke banke su još prije godinu dana krenule s takvim aktivnostima. Činjenica je također kako u javnosti postoji negativna slika o pojedinim osiguravajućim društvima koja su koristila sive zone u dosadašnjoj regulativi pa je realno za očekivati kako će broj onih koji će tražiti zaštitu svojih prava u slučaju bilo kakvog propusta od strane osiguravajućih društava biti značajan. Ne angažiranjem u smjeru usklađenja s ovom regulativom se pojedina osiguravajuća društva izlažu velikom riziku od kažnjavanja, a vjerujemo kako su do sada svi već upoznati s visinom propisanih kazni.
Osim dokumentacije osiguravajuće društvo mora analizirati sve ugovore koje ima s trećim stranama s kojima ima bilo kakvu interakciju glede osobnih podataka, što naravno između ostalog uključuje i IT dobavljače. Isto tako osiguravajuće društvo mora od svojih dobavljača dobiti dokaz o GDPR usklađenosti, odnosno, ukoliko je osiguravajuće društvo voditelj obrade a tvrtka s kojom imaju ugovor izvršitelj obrade, i izvršitelj obrade mora biti usklađen s regulativom jer će se u slučaju povrede podataka od strane izvršitelja, regulator usklađenje promatrati i s jedne i s druge strane.
Također, potrebno je pregledati ugovore u slučaju eventualnog transfera osobnih podataka u treće zemlje, i u sve ugovoriti uključiti standardne klauzule ili dodati anekse.
9. Implementacija IT rješenja je ključna i kritična faza projekta o kojoj će ovisiti razina usklađenosti društva. Nije dovoljno formalno definirati pravilnik ili proceduru, a ne implementirati ih u poslovni proces odnosno IT sustav. Posebnu poteškoću će predstavljati obrada osobnih podataka u papirnatom obliku i njihovo spremanje i arhiviranje. Regulator je na jednom od prošlih savjetovanja naglasio kako obrada osobnog podatka može biti automatizirana i polu-automatizirana što u stvari znači da i oni segmenti koji se u poslovnom procesu rade manualno također spadaju pod Opću uredbu. Kontrola papirnate dokumentacije posebno je kompleksna u osiguravajućem društvu i provedba informatičkih rješenja zahtijevati će donošenje mnogih teških odluka. Primjena svih specifičnosti Opće uredbe u pogledu zaštite osobnih podataka ispitanika može značajno opteretiti IT odjele društava koja će morati iznaći načine kako udovoljiti npr. Pravu na zaborav, kao i svim ostalim pravima koja ispitanik ima.
10. Rješavanje otvorenih pitanja. U ovoj fazi projekta društvo treba sagledati postoje li još neki dijelovi koji nisu pokriveni ranijim aktivnostima, kao npr. provjera edukacije svih djelatnika i potpisivanje odgovarajućih izjava, pregleda svih donesenih politika i procedura, pregleda procedura za upravljanje primjedbama i prigovorima, izrada procedura za reviziju itd.
11. Interna revizija i/ili eksterna revizija. U završnoj fazi projekta društvo sagledava potrebu za uvrštavanjem GDPR usklađenosti u poslove interne revizije, a također se može razmotriti angažiranje vanjskog IT revizora.
Ova metodologija se može smanjiti ili povećati u ovisnosti o veličini društva a isto tako je moguće određene faze raditi paralelno kako bi se dobilo na vremenu i postigao krajnji cilj. Potrebno je na kraju napomenuti kako posao sa GDPR usklađenjem nije jednokratan posao nego tvrtka mora konstantno i periodički provjeravati svoje procese i sustave, posebno prilikom uvođenja novih tehnologija.