Nadolazeća EU regulativa za zaštitu osobnih podataka za cilj si postavlja uvođenje reda u sve češću zloupotrebu osobnih podataka. Najveći njen doprinos je davanje kontrole nad osobnim podacima njihovom vlasniku, odnosno primjena u praksi osnovnog ljudskog prava na privatnost. Odličan i plemeniti cilj. Kako bi ga postigli EU parlament i Vijeće EU usvojili su GDPR (General Data Protection Regulation). Radi se o EU uredbi koja je zbog očekivanog učinka na gospodarstvo izazvala ogroman interes na globalnoj razini.
Ogromne kazne za prekršitelje
GDPR donosi prilično jasno definirane zahtjeve poput “prava na zaborav“, te niz konkretnih zahtjeva za osiguranje kvalitete i sigurnosti osobnih podataka. “Jurisdikcija“ za kršenje je proširena van granica EU, pa ovu regulativu moraju poštivati sve organizacije koje imaju podatke građana EU, bez obzira na svoje sjedište. Snaga za primjenu regulative osigurana je kroz mogućnost izricanja enormno visokih kazni prekršiteljima, a koje sežu do 20 milijuna eura ili 4% ukupnog globalnog prihoda tvrtke (što je veće). Uz ovakve kazne, uspješnost masovne primjene regulative je gotovo zagarantirana.
Klima oklijevanja i nesigurnosti
Mnoge IT tvrtke, poslovni i pravni konzultanti prepoznali su svoju priliku u pružanju palete proizvoda i usluga za postizanje GDPR sukladnosti. Ogromne kazne za prekršitelja to dodatno potiču. Nema sumnje da svaka organizacija koja rukuje osobnim podacima nešto mora učiniti, no prijeti li baš svakoj i ovako drastična kazna? U nekim slučajevima promjene u IT sustavima mogu biti toliko kompleksne da će prilagodba trajati godinama. Zadani rok u 2018. godini je za većinu organizacija nedostižan.
Brza Google pretraga pojma “GDPR“ trenutno pronalazi preko milijun web stranica, većinu kojih čine ponuđači proizvoda i usluga iz ovog područja. Marketinška sila uposlena u prodaji ovih usluga u kombinaciji sa strahom od ogromnih kazni stvorila je klimu oklijevanja i nesigurnosti (izbjegavam napisati, panike). Zadnji put smo nečem sličnom svjedočili 1999. kada su organizacije bile prestravljene potencijalnim učinkom Millennium buga, za koji se predviđalo da će imati katastrofični učinak na rad računala kod prelaska iz 1999. u 2000. godinu.
Tko će platiti kaznu?
Kazne su predviđene za one koji se ne usklade sa GDPR zahtjevima, no postavlja se pitanje što to organizacija mora učiniti da se suoči s kaznom od 20 milijuna eura? Prava je istina da regulativa za zaštitu osobnih podataka već postoji i većina organizacija je već i sada uzima prilično ozbiljno. Ima doduše i onih koji svoj poslovni model grade upravo na prodaji osobnih podataka, krađi povjerljivih informacija i raznoraznim ružnim aktivnostima, no oni su već i sada s one strane zakona, ili u nekoj tamno sivoj zoni. Velike kazne su predviđene za takve, a složit ćemo se, drugo nisu ni zaslužili.
Prema neformalnim informacijama koje pristižu od strane regulatora, prekršitelje će se prije kažnjavanja upozoravati, davati im rokove za usklađivanje i tek ako ništa drugo ne pomaže, kažnjavati, a kazna će biti u skladu sa veličinom prekršaja.
Ukratko, da bi dobila maksimalnu kaznu organizacija bi trebala sustavno zanemarivati GDPR zahtjeve i sve ostale dobre prakse usmjerene ka zaštiti osobnih podataka, zanemarivati sva upozorenja i teškim zanemarivanjem izazvati masivno curenje osobnih podataka i pri tome prouzročiti građanima EU ozbiljnu štetu.
Što tvrtke moraju učiniti?
Pozicionirajte se - Većina je tvrtki djelomično usklađena sa GDPR zahtjevima. Shvatite u kojoj ste mjeri primijenili mjere zaštite osobnih podataka, te koje su vam jake, a koje slabe strane u upravljanju osobnim podacima.
Pripremite GDPR program - Saznajete koje vrste osobnih podataka imate, kako ih prikupljate, gdje ih držite, kako ih štitite, a posebno zašto vam uopće trebaju i kako ih obrađujete. Uspostavite interni registar osobnih podataka. Procijenite potencijalni učinak narušavanja njihove sigurnosti, te ustanovite razliku između zatečenog stanja i zahtjeva GDPR regulative. Kad jednom pokrenete projekt, brzo ćete shvatiti da su i naizgled jednostavni zadaci poput određivanja što je u kojim uvjetima osobni podatak, prilično kompleksni. Dodajmo tome i kompleksnost promjena u procesima i IT sustavima koje prilagodba zahtjevima regulative može izazvati i suočit ćemo se sa izuzetno zahtjevnim projektom za čiji će nam dizajn i provedbu trebati iskusni stručnjaci iz područja upravljanja informacijskom sigurnošću, pravni stručnjaci specijalizirani za zaštitu osobnih podataka i IT eksperti. Uočite slične projekte koje ste već pokrenuli (upravljanje podacima, sigurnošću i sl.) i pobrinite se da timovi usko surađuju kako bi izradili detaljan plan usklađivanja - GDPR program.
I onda ga izvršite.
Umjesto zaključka
Organizacije će već primijenjene prakse u upravljanju osobnim podacima na kraju uskladiti i sa zahtjevima nove regulative. Taj će postupak trajati godinama, a brzina provedbe će značajno ovisiti o razini svijesti o važnosti osobnih podataka koju izgradimo u javnosti i ugradimo je u organizacijske kulture. Sazrijevanje u pogledu zaštite osobnih podataka uključivat će stjecanje znanja o pravima pojedinca i obvezama organizacija, načinima sigurnog postupanja s vlastitim osobnim podacima, odgoja generacija u korištenju društvenih mreža. GDPR je dobar za sve nas.
Stanko Cerin, http://www.ostendogroup.com/
