Osebni podatki se lahko pojavljajo v različnih zapisih v informacijskih sistemih. Izpisi iz informacijskih sistemov se lahko odlagajo na skupne mape v omrežnem pogonu, se izmenjujejo preko elektronske pošte, se odlagajo v oblačne shrambe, nahajajo se lahko na papirju in tudi mikrofilmih. Nekatere pojavne oblike teh zbirk so ustrezno varovane in hranjene, spet druge ne. Zaposleni največkrat premalo pozornosti povečajo ravno osebnim podatkom, ki se izmenjujejo preko elektronske pošte. Le ti se shranijo tudi na poštnem strežniku. Vse osebne podatke je potrebno ustrezno obvladovati in brisati po poteku rokov hrambe.
Zaposleni v podjetju morajo tako razumeti in sprejemati potrebe po zagotavljanju zaupnosti in upoštevati pravice lastnikov osebnih podatkov. Varovanje podatkov tako zajema celovit pristop in sodelovanje deležnikov z različnih področij – od pravnika, oddelka za informacijske tehnologije, zaposlenih itd.
Posebno pozornost je potrebno posvetiti zavarovanju osebnih podatkov med prenosom, da njihova odtujitev ni možna. Osebni podatki morajo biti ustrezno zaščiteni v podatkovnih zbirkah in v datotečni hrambi. Vloge in pravice uporabnikov informacijskih sistemov morajo biti nastavljene na način, da lahko zgolj pooblaščene osebe dostopajo do osebnih podatkov. Velja razmisliti o izbiri ustrezno certificiranih orodij in storitev. Pozorni moramo biti ob spremembah v informacijskem sistemu podjetja, ob novih zaposlitvah in ob odhodih zaposlenih.
Mala in srednje velika podjetja so lahko zaskrbljena tudi zaradi tehničnih zahtev, saj je za izpolnjevanje zakonskih zahtev treba uporabiti širok nabor tehnoloških rešitev. Sama zakonodaja tehničnih rešitev ne predpisuje. So pa te nujne za zagotavljanje visoke stopnje zaščite in zaupnosti ter samega nadzora.
»GDPR bo prinesel dodatne stroške in potrebo po dodatnih zaposlenih oziroma znanjih v IT-oddelkih. V Sloveniji imamo na primer veliko proizvodnih podjetij z nekaj sto zaposlenimi, ki odlično poslujejo, a imajo v IT samo nekaj ljudi in si tega preprosto ne morejo privoščiti,« je povedal Uroš Majcen, svetovalec za informacijsko varnost v podjetju S & T. »Alternativa je oblak, uporaba zunanjih storitev pooblaščene osebe za varstvo osebnih podatkov ter samih varnostnih storitev, ki v okviru GDPR zagotavljajo redne preglede in analize informacijskih sistemov.«
Zagotoviti je potrebno zaščito komunikacijskih omrežij pred vdori, s požarnimi zidovi, protivirusnimi programi, potrebno je zagotoviti ustrezne rešitve za upravljanje dostopov in pooblastil ter zaznavanje varnostnih incidentov. Smiselno je razmišljati tudi o rešitvah za maskiranje in šifriranje podatkov, v podjetjih, z večjimi zbirkami osebnih podatkov. V primeru, da podjetje osebne podatke, ki jih upravlja, prenese v oblak, je zanje odgovoren tudi ponudnik oblaka. V primeru, da podjetje hrani osebne podatke na svoji informacijski infrastrukturi, pa je samo odgovorno za vse.
Vir: Finance 30.3.2018, Odštevamo zadnje minute do GDPR
