ZVOP-2 pred vrati, podjetja še niso pripravljena

V podjetju Si splet na osnovi sodelovanja z majhnimi in srednjimi podjetji v drugi polovici leta 2022 ugotavljajo, da ta po večini še niso pripravljena na zahteve novega ZVOP-2. Eden od njihovih največjih problemov je nepreglednost nad uporabo osebnih in drugih občutljivih podatkov s strani zaposlenih. Majhna in srednja podjetja namreč nimajo nadzora, kje vse se nahajajo osebni podatki, kdo do njih odstopa in kaj z njimi počne in so zato močno izpostavljena tveganjem za kršitve njihove varnosti.

»Od septembra do decembra lani smo imeli stike z več kot dvesto majhnimi in srednjimi podjetji. Velika večina jih ugotavlja, da nimajo vzvodov za uveljavljanje in spremljanje izvajanja pravil varovanja podatkov po GDPR. Največji problem je, da sploh ne vedo, kje vse se nahajajo osebni podatki njihovih zaposlenih in strank in kaj se z njimi počne,« je povedal Nenad Pavlović, vodja programa Safetica NXT v podjetju Si Splet.

Še dober teden do ZVOP-2

26. januarja bo stopil v veljavo nov Zakon o varovanju osebnih podatkov ZVOP-2, ki bo v prvi vrsti uveljavil izrekanje upravnih glob za kršitve varstva osebnih podatkov. Gre za upravne globe, ki so opredeljene v Splošni uredbi o varstvu podatkov, GDPR, a se v Sloveniji še niso izrekale.

»Ne izrekanje upravnih glob je zagotovo eden od razlogov, zakaj se številna majhna in srednja podjetja doslej niso bolj intenzivno ukvarjala z varovanjem osebnih podatkov. Pričakujemo, da bo letošnje leto prelomno, ne samo pri obravnavi osebnih podatkov v organizacijah, ampak, da bodo tudi ljudje začeli bolj odgovorno gledati na svoje osebne podatke, komu jih zaupati in kaj zahtevati od organizacij, ki bodo hranile in obdelovale njihove osebne podatke,« je izpostavila Petra Veber, direktorica organizacije v podjetju Si splet.

Kot izpostavlja Pavlović, majhna in srednja podjetja po večini nimajo ustreznih znanj in ljudi, velikokrat pa tudi ne finančnih zmožnosti, da bi ustrezno poskrbela za varnost osebnih podatkov, ki jih hranijo.

Tehnologija lahko poenostavi izpolnjevanje zakonskih obveznosti

Uporaba sodobnih programskih storitev v oblaku za preprečevanje izgub podatkov in zaščito pred notranjimi grožnjami majhnim in srednjim podjetjem močno poenostavi uresničevanje zapletenih zakonskih zahtev, ki jih zahtevata GDPR in prihajajoči ZVOP-2.

»Safetica NXT ima recimo že pred pripravljene postopke nadzorovanja in varovanja osebnih podatkov glede na zahteve GDPR. Na primer samodejno odkriva informacijske vire, spremlja uporabniške aktivnosti po celotni organizaciji, prepoznava osebne podatke in poroča o njihovih obdelavah,« je še dodal Pavlović.

S programsko storitvijo v oblaku Safetica NXT, ki deluje v Evropski Uniji, organizacije najbolj enostavno preprečijo nezavarovane in prepovedane načine shranjevanja in dela z osebnimi podatki. Pooblaščenim osebam za varstvo osebnih podatkov omogoča uveljavitev varnostne politike in želenega vedenja uporabnikov, kadar koli ti pridejo v stik z osebnimi podatki. Zagotavlja, da imajo do osebnih podatkov dostop le tisti, ki jih potrebujejo za opravljanje svojega dela, pri čemer samodejno opozori ali zaustavi tvegane dejavnosti. Poleg tega omogoča osrednje upravljanje šifriranja podatkov v mirovanju ter med njihovo uporabo in prenosom. Storitev beleži in označuje vse incidente v povezavi z varnostjo osebnih podatkov in pooblaščenim osebam za varstvo podatkov samodejno pošilja opozorila v realnem času.

Kot je zaključil Pavlović, Safetica NXT z opozorili o incidentih in podrobnimi dnevniškimi zapisi poenostavlja pripravo dokumentacije in tako omogoča pravočasno poročanje vodstvu, Informacijskemu pooblaščencu ter drugim deležnikom glede na področje dejavnosti organizacije.