GDPR: Babaroga za plašenje uprave?

GDPR: Babaroga za plašenje uprave?

Foto: Dražen Tomić

Nadolazeća EU regulativa za zaštitu osobnih podataka za cilj si postavlja uvođenje reda u sve češću zloupotrebu osobnih podataka. Najveći njen doprinos je davanje kontrole nad osobnim podacima njihovom vlasniku, odnosno primjena u praksi osnovnog ljudskog prava na privatnost. Odličan i plemeniti cilj. Kako bi ga postigli EU parlament i Vijeće EU usvojili su GDPR (General Data Protection Regulation). Radi se o EU uredbi koja je zbog očekivanog učinka na gospodarstvo izazvala ogroman interes na globalnoj razini.

Ogromne kazne za prekršitelje

GDPR donosi prilično jasno definirane zahtjeve  poput “prava na zaborav”, te niz konkretnih zahtjeva za osiguranje kvalitete i sigurnosti osobnih podataka. “Jurisdikcija” za kršenje je proširena van granica EU, pa ovu regulativu moraju poštivati sve organizacije koje imaju podatke građana EU, bez obzira na svoje sjedište. Snaga za primjenu regulative osigurana je kroz mogućnost izricanja enormno visokih kazni prekršiteljima, a koje sežu do 20 milijuna eura ili 4% ukupnog globalnog prihoda tvrtke (što je veće). Uz ovakve kazne, uspješnost masovne primjene regulative je gotovo zagarantirana.

Klima oklijevanja i nesigurnosti

Mnoge IT tvrtke, poslovni i pravni konzultanti prepoznali su svoju priliku u pružanju palete proizvoda i usluga za postizanje GDPR sukladnosti. Ogromne kazne za prekršitelja to dodatno potiču. Nema sumnje da svaka organizacija koja rukuje osobnim podacima nešto mora učiniti, no prijeti li baš svakoj i ovako drastična kazna? U nekim slučajevima promjene u IT sustavima mogu biti toliko kompleksne da će prilagodba trajati godinama. Zadani rok u 2018. godini je za većinu organizacija nedostižan.

Brza Google pretraga pojma “GDPR” trenutno pronalazi preko milijun web stranica, većinu kojih čine ponuđači proizvoda i usluga iz ovog područja. Marketinška sila uposlena u prodaji ovih usluga u kombinaciji sa strahom od ogromnih kazni stvorila je klimu oklijevanja i nesigurnosti (izbjegavam napisati, panike). Zadnji put smo nečem sličnom svjedočili 1999. kada su organizacije bile prestravljene potencijalnim učinkom Millennium buga, za koji se predviđalo da će imati katastrofični učinak na rad računala kod prelaska iz 1999. u 2000. godinu.

Tko će platiti kaznu?

Kazne su predviđene za one koji se ne usklade sa GDPR zahtjevima, no postavlja se pitanje što to organizacija mora učiniti da se suoči s kaznom od 20 milijuna eura? Prava je istina da regulativa za zaštitu osobnih podataka već postoji i većina organizacija je već i sada uzima prilično ozbiljno. Ima doduše i onih koji svoj poslovni model grade upravo na prodaji osobnih podataka, krađi povjerljivih informacija i raznoraznim ružnim aktivnostima, no oni su već i sada s one strane zakona, ili u nekoj tamno sivoj zoni. Velike kazne su predviđene za takve, a složit ćemo se, drugo nisu ni zaslužili.

Prema neformalnim informacijama koje pristižu od strane regulatora, prekršitelje će se prije kažnjavanja upozoravati, davati im rokove za usklađivanje i tek ako ništa drugo ne pomaže, kažnjavati, a kazna će biti u skladu sa veličinom prekršaja.

Ukratko, da bi dobila maksimalnu kaznu organizacija bi trebala sustavno zanemarivati GDPR zahtjeve i sve ostale dobre prakse usmjerene ka zaštiti osobnih podataka, zanemarivati sva upozorenja i teškim zanemarivanjem izazvati masivno curenje osobnih podataka i pri tome prouzročiti građanima EU ozbiljnu štetu.

Što tvrtke moraju učiniti?

Pozicionirajte se – Većina je tvrtki djelomično usklađena sa GDPR zahtjevima. Shvatite u kojoj ste mjeri primijenili mjere zaštite osobnih podataka, te koje su vam jake, a koje slabe strane u upravljanju osobnim podacima.

Pripremite GDPR program – Saznajete koje vrste osobnih podataka imate, kako ih prikupljate, gdje ih držite, kako ih štitite, a posebno zašto vam uopće trebaju i kako ih obrađujete. Uspostavite interni registar osobnih podataka. Procijenite potencijalni učinak narušavanja njihove sigurnosti, te ustanovite razliku između zatečenog stanja i zahtjeva GDPR regulative. Kad jednom pokrenete projekt, brzo ćete shvatiti da su i naizgled jednostavni zadaci poput određivanja što je u kojim uvjetima osobni podatak, prilično kompleksni. Dodajmo tome i kompleksnost promjena u procesima i IT sustavima koje prilagodba zahtjevima regulative može izazvati i suočit ćemo se sa izuzetno zahtjevnim projektom za čiji će nam dizajn i provedbu trebati iskusni stručnjaci iz područja upravljanja informacijskom sigurnošću, pravni stručnjaci specijalizirani za zaštitu osobnih podataka i IT eksperti. Uočite slične projekte koje ste već pokrenuli (upravljanje podacima, sigurnošću i sl.) i pobrinite se da timovi usko surađuju kako bi izradili detaljan plan usklađivanja – GDPR program.

I onda ga izvršite.

Umjesto zaključka

Organizacije će već primijenjene prakse u upravljanju osobnim podacima na kraju uskladiti i sa zahtjevima nove regulative. Taj će postupak trajati godinama, a brzina provedbe će značajno ovisiti o razini svijesti o važnosti osobnih podataka koju izgradimo u javnosti i ugradimo je u organizacijske kulture. Sazrijevanje u pogledu zaštite osobnih podataka uključivat će stjecanje znanja o pravima pojedinca i obvezama organizacija, načinima sigurnog postupanja s vlastitim osobnim podacima, odgoja generacija u korištenju društvenih mreža. GDPR je dobar za sve nas.

 

Stanko Cerin, http://www.ostendogroup.com/

Još iz kategorije

KOMENTAR: Solidni rezultati HT-a

KOMENTAR: Solidni rezultati HT-a

28.04.2017. komentiraj

Napokon su nam stigli i posljednji rezultati poslovanja telekom operatera u prvom ovogodišnjem kvartalu. I dok najjači telekom i bivši monopolist pod strogim regulatornim nadzorom ostvaruje solidne prihode, vidljivo je na tržištu da je dvama najvećima dakle i HT-u i Vipnetu dobro došla konsolidacija prihoda Crnogorskog telekoma odnosno Metroneta.

Posjedujemo li tehnologiju ili tehnologija posjeduje nas?

Posjedujemo li tehnologiju ili tehnologija posjeduje nas?

26.04.2017. komentiraj

Kada ste posljednji put proveli više od par sati dnevno bez mobitela u ruci? Zvuči li vam nemoguće otići na godišnji odmor u osamljenu vikendicu bez signala? Dolaskom tehnologije i njenim ubrzanim razvojem, činilo se da će stvari za nas postati dosta jednostavnije. Procesi su postali ubrzaniji, premostili smo vremenska i prostorna ograničenja, povezali se s mnogobrojnim ljudima, a ipak, najviše vremena provodimo upravo uz tehnologiju.

INOVACIJA …  sudjelovanje javnosti

INOVACIJA … sudjelovanje javnosti

25.04.2017. komentiraj

U prošloj smo kolumni INOVACIJA … Zagreb – inovativni grad vidjeli intenciju Grada Zagreba da postane inovativniji. Prepoznate su tri skupine aktivnosti koje tome doprinose podizanje inovacijske kulture - putem edukacije zaposlenika, interni inovacijski sustav – dogradnja postojećeg sustava upravljanja promjenama, te poboljšanje komunikacije s građanima – pribavljanje ideja iz mnoštva - „crowdsourcing“