GDPR: Babaroga za plašenje uprave?

GDPR: Babaroga za plašenje uprave?

Foto: Dražen Tomić

Nadolazeća EU regulativa za zaštitu osobnih podataka za cilj si postavlja uvođenje reda u sve češću zloupotrebu osobnih podataka. Najveći njen doprinos je davanje kontrole nad osobnim podacima njihovom vlasniku, odnosno primjena u praksi osnovnog ljudskog prava na privatnost. Odličan i plemeniti cilj. Kako bi ga postigli EU parlament i Vijeće EU usvojili su GDPR (General Data Protection Regulation). Radi se o EU uredbi koja je zbog očekivanog učinka na gospodarstvo izazvala ogroman interes na globalnoj razini.

Ogromne kazne za prekršitelje

GDPR donosi prilično jasno definirane zahtjeve  poput “prava na zaborav”, te niz konkretnih zahtjeva za osiguranje kvalitete i sigurnosti osobnih podataka. “Jurisdikcija” za kršenje je proširena van granica EU, pa ovu regulativu moraju poštivati sve organizacije koje imaju podatke građana EU, bez obzira na svoje sjedište. Snaga za primjenu regulative osigurana je kroz mogućnost izricanja enormno visokih kazni prekršiteljima, a koje sežu do 20 milijuna eura ili 4% ukupnog globalnog prihoda tvrtke (što je veće). Uz ovakve kazne, uspješnost masovne primjene regulative je gotovo zagarantirana.

Klima oklijevanja i nesigurnosti

Mnoge IT tvrtke, poslovni i pravni konzultanti prepoznali su svoju priliku u pružanju palete proizvoda i usluga za postizanje GDPR sukladnosti. Ogromne kazne za prekršitelja to dodatno potiču. Nema sumnje da svaka organizacija koja rukuje osobnim podacima nešto mora učiniti, no prijeti li baš svakoj i ovako drastična kazna? U nekim slučajevima promjene u IT sustavima mogu biti toliko kompleksne da će prilagodba trajati godinama. Zadani rok u 2018. godini je za većinu organizacija nedostižan.

Brza Google pretraga pojma “GDPR” trenutno pronalazi preko milijun web stranica, većinu kojih čine ponuđači proizvoda i usluga iz ovog područja. Marketinška sila uposlena u prodaji ovih usluga u kombinaciji sa strahom od ogromnih kazni stvorila je klimu oklijevanja i nesigurnosti (izbjegavam napisati, panike). Zadnji put smo nečem sličnom svjedočili 1999. kada su organizacije bile prestravljene potencijalnim učinkom Millennium buga, za koji se predviđalo da će imati katastrofični učinak na rad računala kod prelaska iz 1999. u 2000. godinu.

Tko će platiti kaznu?

Kazne su predviđene za one koji se ne usklade sa GDPR zahtjevima, no postavlja se pitanje što to organizacija mora učiniti da se suoči s kaznom od 20 milijuna eura? Prava je istina da regulativa za zaštitu osobnih podataka već postoji i većina organizacija je već i sada uzima prilično ozbiljno. Ima doduše i onih koji svoj poslovni model grade upravo na prodaji osobnih podataka, krađi povjerljivih informacija i raznoraznim ružnim aktivnostima, no oni su već i sada s one strane zakona, ili u nekoj tamno sivoj zoni. Velike kazne su predviđene za takve, a složit ćemo se, drugo nisu ni zaslužili.

Prema neformalnim informacijama koje pristižu od strane regulatora, prekršitelje će se prije kažnjavanja upozoravati, davati im rokove za usklađivanje i tek ako ništa drugo ne pomaže, kažnjavati, a kazna će biti u skladu sa veličinom prekršaja.

Ukratko, da bi dobila maksimalnu kaznu organizacija bi trebala sustavno zanemarivati GDPR zahtjeve i sve ostale dobre prakse usmjerene ka zaštiti osobnih podataka, zanemarivati sva upozorenja i teškim zanemarivanjem izazvati masivno curenje osobnih podataka i pri tome prouzročiti građanima EU ozbiljnu štetu.

Što tvrtke moraju učiniti?

Pozicionirajte se – Većina je tvrtki djelomično usklađena sa GDPR zahtjevima. Shvatite u kojoj ste mjeri primijenili mjere zaštite osobnih podataka, te koje su vam jake, a koje slabe strane u upravljanju osobnim podacima.

Pripremite GDPR program – Saznajete koje vrste osobnih podataka imate, kako ih prikupljate, gdje ih držite, kako ih štitite, a posebno zašto vam uopće trebaju i kako ih obrađujete. Uspostavite interni registar osobnih podataka. Procijenite potencijalni učinak narušavanja njihove sigurnosti, te ustanovite razliku između zatečenog stanja i zahtjeva GDPR regulative. Kad jednom pokrenete projekt, brzo ćete shvatiti da su i naizgled jednostavni zadaci poput određivanja što je u kojim uvjetima osobni podatak, prilično kompleksni. Dodajmo tome i kompleksnost promjena u procesima i IT sustavima koje prilagodba zahtjevima regulative može izazvati i suočit ćemo se sa izuzetno zahtjevnim projektom za čiji će nam dizajn i provedbu trebati iskusni stručnjaci iz područja upravljanja informacijskom sigurnošću, pravni stručnjaci specijalizirani za zaštitu osobnih podataka i IT eksperti. Uočite slične projekte koje ste već pokrenuli (upravljanje podacima, sigurnošću i sl.) i pobrinite se da timovi usko surađuju kako bi izradili detaljan plan usklađivanja – GDPR program.

I onda ga izvršite.

Umjesto zaključka

Organizacije će već primijenjene prakse u upravljanju osobnim podacima na kraju uskladiti i sa zahtjevima nove regulative. Taj će postupak trajati godinama, a brzina provedbe će značajno ovisiti o razini svijesti o važnosti osobnih podataka koju izgradimo u javnosti i ugradimo je u organizacijske kulture. Sazrijevanje u pogledu zaštite osobnih podataka uključivat će stjecanje znanja o pravima pojedinca i obvezama organizacija, načinima sigurnog postupanja s vlastitim osobnim podacima, odgoja generacija u korištenju društvenih mreža. GDPR je dobar za sve nas.

 

Stanko Cerin, http://www.ostendogroup.com/

Još iz kategorije

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

22.08.2017. komentiraj

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme.

INOVACIJA …  i pesimizam u javnom sektoru

INOVACIJA … i pesimizam u javnom sektoru

21.08.2017. komentiraj

Pretjerano pesimistički pristup inovativnim idejama ima jasne učinke u realnom sektoru: ne ostvaruje je „market pull“. Konkretno to znači da tvrtke odbijaju inovacije koje tržište traži. Krajnji učinak je jasan: konkurencija prigrli inovaciju koju najčešće nudi „technology push“ i ide naprijed s tržišnim udjelom, prihodom i dobiti. U krajnjim slučajevima to završava s propašću tvrtki koje su se prema inovaciji odnosile pretjerano pesimistički – kao kod notornog Kodak – primjera.

INOVACIJA …  i pesimizam koji je „ubija“

INOVACIJA … i pesimizam koji je „ubija“

16.08.2017. komentiraj

U prethodnoj kolumni smo prikazali kako „optimizam“ može štetiti inovaciji: Grešku tipa I – odbijanje dobre inovacije, blokira neutemeljeno optimistična procjena sadašnjeg stanja. „Dobro nam ide s klasičnom fotografijom, što će nam digitalna?“ – reče uprava Kodaka i propadne. Obratno, „Naš video format Beta je tehnološki superioran VHS-u, pobijedit ćemo i bez marketinga!“, zaključila je optimistički  uprava Sonyja i nestade Beta-e s tržišta – Greška tipa II!