Opća uredba o zaštiti osobnih podataka, odnosno GDPR (General Data Protection Regulative) stupila je na snagu 25. svibnja 2018., s obvezom primjene na sve države članice EU, i obuhvaća sve organizacije koje obrađuju osobne podatke građana EU. Uredba je usvojena od strane Europske Komisije i Europskog Parlamenta, i primjenjuje se obvezno u cijelosti, neposredno i bez odgode. Pojam osobnih podataka unutar Uredbe je proširen, te ona osobnim podatkom smatra osobna imena, lokacijske podatke, on-line identifikatore kao što su MAC i IP adresa te web-kolačići (eng. cookies), kao i genetičke i biometrijske podatke pojedinca. Obuhvat Uredbe je veći nego što ga imaju dosadašnji certifikati informacijske sigurnosti, te ona nije samo sigurnosno ili tehničko pitanje, već joj treba pristupiti multidisciplinarno pod pokroviteljstvom vrha organizacije. Propisane maksimalne kazne za nepridržavanje regulative su 4% ukupnog godišnjeg prometa ili 20 milijuna EUR.

Poslovni subjekti u Republici Hrvatskoj suočavaju se s izazovom usklađenosti s GDPR uredbom, za što im trebaju multidisciplinarni timovi s posebnim znanjima počevši od suštinskog razumijevanja podataka do upravljanja informacijskim sustavima, preko analize i upravljanja poslovnim procesima i informacijama, pa sve do prodajnih, marketinških i ostalih poslovnih strategija povezanih s pravnom ekspertizom.

GDPR je najvažnija regulativa koja na svjetskoj razini vodi računa o osobnim podacima pojedinaca. Činjenica je da podaci predstavljaju garanciju uspješnog poslovanja, a GDPR postavlja organizacijske temelje načina na koji organizacije štite i stvaraju vrijednost na osnovu osjetljivih podataka o svojim klijentima. Stjecanjem veće kontrole nad podacima o klijentima koja se bazira na načelima GDPR-a, organizacije osim usklađenja sa zakonskim aktima mogu dobiti bolji uvid u potrebe kupaca i poboljšati ukupnu produktivnost.

Upravo iz navedenih razloga BCC Services je analizirajući proizvode i usluge iz vlastitog portfelja dizajnirao, razvio, a zatim i implementirao optimalno rješenje za upravljanje strukturiranim i nestrukturiranim podacima. Rješenje je bazirano na MicroFocus grupi proizvoda za upravljanje strukturiranim i nestrukturiranim podacima u Records Management sustavu.

Scheme

OpenText pruža robusnu skupinu tehnologija mapiranih na specifične slučajeve uporabe GDPR-a kako bi pomogli u usklađivanju. Jedinstvena kombinacija modularnih rješenja, potkrijepljena dubokim informacijskim uvidom, pomaže organizacijama usklađenje sa GDPR-om, povećavajući povjerenje njihovih kupaca i čineći GDPR kao pozitivnu razliku za svoje poslovanje.

Redoslijed obrade podataka opisan je rednim brojevima na shemi:

  1. Alati za otkrivanje osobnih podataka analiziraju sve podatke u izvorišnim sustavima i utvrđuju gdje se nalaze osobni podaci. Ovaj postupak zovemo Discovery.
  2. Rezultati Discovery-a se predaju Ekstraktorima podataka.
  3. Ekstraktori podataka prikupljaju osobne podatke i podatke o poslovnim zapisima za osobe pronađene u izvorišnim sustavima.
  4. Ekstraktori podataka spremaju prikupljene podatke u Sustav za pohranu osobnih podataka i indeksa poslovnih zapisa.
  5. Aplikacija omogućuje ovlaštenim korisnicima pregled i analizu prikupljenih podataka o osobama i njihovim poslovnim zapisima. Aplikacija je jedina komponenta Rješenja koja je vidljiva krajnjim korisnicima Rješenja.

Važno je napomenuti da Rješenje ne mijenja, niti na bilo koji drugi način ugrožava podatke pohranjene u izvorišnim sustavima, a također niti ne utječe na performanse rada izvorišnih sustava.

Podaci koji se prikupljaju

Tijekom ekstrakcije podataka iz izvorišnih sustava u GDPR bazu se pohranjuju dvije grupe podataka:

  • Popis osoba: puno ime (ime i prezime kao jedan podatak), OIB i JMBG
  • Popis poslovnih zapisa: vrsta zapisa, identifikator zapisa u izvorišnom sustavu, datum zapisa, osoba na koju se zapis odnosi, te identifikator izvorišnog sustava

Kvaliteta podataka

Kvaliteta prikupljenih podataka izravno je ovisna o kvaliteti i fondu podataka u izvorišnim sustavima. U različitim izvorišnim sustavima se podaci o osobama u pravilu ne vode na identičan način, već postoje varijacije koje se odnose ili na fond podataka, ili na kvalitetu podataka. Primjeri varijacija fonda podataka:

  • Ime i prezime su razdvojeni kao dva podatka i postoji OIB, ali ne postoji JMBG
  • Ime i prezime su spojeni u jednom podatku i ne postoje niti OIB niti JMBG. Ovo je čest slučaj u nestrukturiranim dokumentima koji nisu financijski ili porezno relevantni (dopisi, e-mailovi)
  • Postoji samo OIB
  • Postoje sva tri podatka, itd

Primjeri varijacija u kvaliteti podataka o osobama, ovisno o načinu na koji izvorišni sustav dozvoljava unos podataka:

  • Ime i prezime kao jedan podatak

    • Za neke osobe je uneseno ime, razmak i prezime
    • Za neke osobe je uneseno prezime, razmak i ime
    • Za neke osobe sa dva prezimena uneseno je ime, razmak, prezime1, crtica, prezime2
    • Za neke osobe sa dva prezimena uneseno je ime, razmak, prezime1, razmak, prezime2
    • Dio zapisa se odnosi na žensku osobu s djevojačkim prezimenom, a dio s prezimenom nakon udaje, ili s dva prezimena. Neki zapisi imaju OIB, a neki nemaju.
    • Tijekom unosa imena i prezimena došlo je do pogreške (tipfeler)
  • Ime i prezime kao dva podatka
    • Za neke osobe je u podatak o imenu uneseno i ime i prezime, kao da su jedan podatak, a prezime je ostalo prazno, dok je za neke osobe ispravno uneseno kao dva podatka
    • Za neke osobe je u podatak o imenu uneseno prezime, a pod prezime je uneseno ime

      • OIB
    • Neki izvorišni sustavi imaju kontrolu unosa OIB-a, pa je unos uvijek ispravan
    • Neki izvorišni sustavi nemaju kontrolu unosa OIB-a, pa se ista osoba može pojaviti sa više OIB-a, ovisno o pogreškama (tipfelerima) kod unosa

      • JMBG
    • Neki izvorišni sustavi imaju JMBG, a nemaju OIB, što se u pravilu odnosi na starije sustave iz vremena dok je JMBG bio jedini identifikator osobe
    • Kontrola unosa JMBG nije implementirana, pa ista osoba može imati više JMBG-a
    • Neki izvorišni sustavi nemaju JMBG, a imaju OIB, što se u pravilu odnosi na novije sustave nakon uvođenja OIB-a. Spajanje osobe evidentirane u takvom sustavu, sa osobom iz sustava koji ima samo JMBG moguće je samo preko punog imena, ali naravno nije pouzdano ukoliko se doista radi o dvije različite osobe s istim punim imenom.

Primjeri podataka ekstrahiranih iz izvorišnih sustava (crveno označene pogreške):

table

Varijante osobe:

Za korištenje Aplikacije nužno je razumjeti pojam „varijanta osobe“. Zbog prethodno spomenutog variranja kvalitete i fonda podataka u izvorišnim sustavima, nije uvijek moguće jednoznačno odrediti fizičku osobu o kojoj se radi, te su stoga potrebne varijante osobe.

Varijante osobe se odnose na više stavka u popisu osoba u GDPR bazi, koje se odnose na istu fizičku osobu, ali imaju različite podatke. Npr. jedna varijanta ima puno ime i OIB, druga ima puno ime ali obrnutim redoslijedom (prezime ime) i JMBG, treća varijanta ima puno ime sa tipfelerom i OIB i JMBG, itd.

Rješenje sadrži algoritme kojima, tijekom ekstrakcije podataka iz izvorišnih sustava, nastoji jednoznačno utvrditi o kojoj osobi se radi u pojedinom poslovnom zapisu. Ukoliko to ne može jednoznačno utvrditi, u GDPR bazi kreira novu varijantu osobe. Najčešći primjeri su:

  • Zapis sadrži samo ime i prezime, nema OIB i JMBG
    • Ako u GDPR bazi već postoji osoba s tim imenom, ne kreira se nova varijanta osobe i zapis se dodjeljuje postojećoj varijanti osobe, iako postoji mogućnost da se radi o dvije osobe s istim imenom i prezimenom. Ovo je nužno kako se broj varijanti ne bi značajno povećao, posebice zbog nestrukturiranih dokumenata u kojima najčešće postoji samo ime i prezime.
    • Ako u GDPR bazi ne postoji osoba s tim imenom, kreira se nova varijanta osobe. Postoji mogućnost da je ta osoba već evidentirana, ali zbog tipfelera puno ime nije ispravno.
  • Zapis sadrži ime i prezime i OIB, ne i JMBG
    • Ako u GDPR bazi ne postoji osoba s tim OIB-om, kreira se nova varijanta osobe, bez obzira da li već postoji osoba s upravo ekstrahiranim punim imenom
    • Ako u GDPR bazi već postoji osoba s tim OIB-om, ne kreira se nova varijanta, a puno ime i JMBG (ako su ekstrahirani) se ažuriraju s upravo ekstrahiranim podacima
  • Zapis sadrži ime i prezime i JMBG, ne i OIB – isto kao prethodni slučaj, ali provjere su po JMBG
  • Zapis sadrži ime i prezime i OIB i JMBG – isto kao kad sadrži ime i prezime i OIB (bez JMBG)

Stoga se, kao rezultat ekstrakcije, u GDPR bazi može (i u pravilu hoće) pojaviti više varijanti jedne osobe.

Pokretanje i pristup Aplikaciji:

Pristup aplikaciji dozvoljen je samo zaposlenicima Tvrtke. Da bi zaposlenik Tvrtke mogao koristiti Aplikaciju, prvo mora zatražiti administratora Aplikacije da mu omogući pristup Aplikaciji.

Nakon dobivanja pristupa, korisnik pokreće Aplikaciju sa svog osobnog računala na način da prvo pokrene Internet preglednik i unese potrebnu web adresu. Nakon toga Aplikacija se pokreće i nije potrebno upisivati nikakve dodatne podatke, npr. korisničko ime i lozinku.

Aplikacija identificira korisnika prema korisničkom imenu koje je prijavljeno na osobnom računalu s kojeg se Aplikacija pokreće. Drugim riječima, Aplikacija uvijek zna koji zaposlenik se prijavio za rad.