Velika škola GDPR-a Lekcija 10: Pravni aspekti - Kako izbjeći kaznu?

Stanko Cerin Autor: Stanko Cerin

09.08.2017.
Veličina fontaPrint
Email
Velika škola GDPR-a Lekcija 10: Pravni aspekti - Kako izbjeći kaznu?
Fotolia

Gdje živimo?

Kršenje prava na privatnost, neodgovorno ponašanje prema osobnim podacima i njihova zloupotreba u cilju stvaranja dobiti, a po cijenu nanošenja štete pojedincu postala je poslovna praksa mnogih. Tehnološki napredne kompanije poput onih u telekom i bankarskom sektoru, te inovativni startupi koji danas nude javne servise sa milijunima pa čak i milijardama korisnika obradu su osobnih podataka doveli do savršenstva. Napredne analize ogromnih količina osobnih podataka omogućuju profiliranje, ciljanu prodaju, praćenje, predviđanje ponašanja, utjecanje na ponašanje pojedinaca, grupa, nacija, generacija... U borbi sa ovom globalno prepoznatom poslovno-političkom prilikom budimo realni, etika nije imala nikakve šanse.

Gartner navodi kako analiza podataka pojačano postaje strateška odrednica većine tvrtki i poslovnih funkcija gdje je svaki biznis analitički biznis, svaki poslovni proces je analitički proces, a svaki zaposlenik analitičar. Marketing se više ne može samo baviti brendiranjem i smještanjem oglasa, već mora analizirati kupce. Isto vrijedi i za HR, nabavu i financijske funkcije u većini industrija. Svatko tko raspolaže velikim količinama podataka, trudi se naprednom analizom ostvariti tržišnu prednost, pri tom se često ne libeći zadiranja u privatnost i drugih domišljatih načina zloupotrebe osobnih podataka.

Mislite li još uvijek da je kazna prevelika?

Imate dijete? Preko 92% računalnih igara danas se prodaje preko digitalnih distribucijskih servisa. Jeste li čuli za Steam, Origin, uPlay...? To su platforme za kupnju i licenciranje računalnih igara. Većina djece danas ima otvoren račun na barem jednoj od njih. Ovakve platforme znaju kakve igre voli vaše dijete: nasilne, arkadne, igre znanja... Znaju koliko kakvu vrstu igrice dijete igra. Djeci se nude posebni popusti koji mogu biti temeljeni na analizi njihovih interesa. Možda to na prvi pogled djeluje bezazleno, ali psihološkim profiliranjem i pažljivim poticanjem na igranje pojedinih vrsta igrica ovakva platforma može poticati razvoj borbenosti ili inteligencije, agresivnost ili miroljubivost. A to je tek početak. Moderne igrice u tijeku igre djecu stavljaju pred moralne dileme i prikupljaju podatke o odlukama koje djeca donose. Hoće li vaše dijete u igrici ubiti sestru ili prijatelja da se spasi? Hoće li njegova odluka ovisiti o boji kože, seksualnoj orijentaciji ili vjeri žrtve? Hoće li odabrati brzu ili posebno nasilnu smrt? Djeca nam se tijekom igre mogu nesvjesno izlagati psihološkom profiliranju.

Ovakve se aktivnosti možda isključivo provode radi poboljšanja doživljaja igre, no što bi bilo kada bi psihološki profili stotina milijuna djece procurili u javnost radi neodgovornog ponašanja tvrtke i neadekvatnih sigurnosnih kontrola? Je li profit koji tvrtka stvara prodajom igre uopće vrijedan tog rizika? Što bi bilo kada bi takva tvrtka prodavala psihološke profile djece? A što ako planirano utječe na poticanje agresivnosti cijelih generacija u određenim regijama radi postizanja političkih ciljeva? Igračka je industrija samo jedan od mnogobrojnih primjera. Dodajte tu i financijske institucije, telekomunikacijske, farmaceutske tvrtke, bolnice, državnu upravu...

Mislite li i dalje da je  20 milijuna eura ili 4% ukupnog godišnjeg prihoda prevelika kazna?

Novčana i zatvorska kazna, plus odšteta

Visina kazne za kršenje GDPR odredbi ovisi o nekoliko čimbenika na koje više ili manje možete unaprijed utjecati. U slučaju da dođe do curenja ili narušavanja dostupnosti i integriteta osobnih podataka s posljedicama za njihove vlasnike, vrlo je velika vjerojatnost da će nadležno tijelo pokrenuti istragu s ciljem utvrđivanja opsega incidenta, njegovog utjecaja, i uzroka. Visina kazne seže od obične opomene pa sve do 4% ukupnog godišnjeg prihoda ili 20 milijuna eura (što je veće). Iako još nemamo novi Zakon o zaštiti osobnih podataka koji će najvjerojatnije i sam propisivati zatvorske i novčane kazne za odgovorne osobe, postojeći Kazneni zakon predviđa i zatvorsku kaznu do 5 godina za nedozvoljenu uporabu osobnih podataka. Pored kazne, organizacija je dužna i nadoknaditi i štetu uzrokovanu neadekvatnim ponašanjem prema osobnim podacima. Obzirom da se danas osobni podaci obrađuju automatski u velikim količinama, štete koje mogu nastati bit će mahom uzrokovane nedozvoljenim procesiranjem osobnih podataka, što znači da će se pojedinačna šteta množiti sa brojem oštećenih osoba. Pojedinačna šteta u iznosu od 10 eura, na primjeru prosječnog hrvatskog telekoma sa milijun korisnika dosegla bi 10 milijuna eura. Količina podataka u zdravstvenom sustavu je daleko veća, kao i njihova osjetljivost i potencijalna šteta. Nema potrebe nabrajati dalje. A mogli bi.

15 savjeta kako izbjeći kaznu?

Kazna će biti proporcionalna nanesenoj šteti, odnosno prepoznatom riziku od nanošenja štete (ukoliko do incidenta nije još došlo).  Evo što možete učiniti:

  1. Osigurajte bezrezervnu podršku uprave etičkom rukovanju osobnim podacima.
  2. Ne prikupljate, ne pohranjujte, ne obrađujte niti ne prenosite osobne podatke kada to stvarno nije neophodno.
  3. Za svako rukovanje s osobnim podacima osigurajte odgovarajuću podlogu (zakonski zahtjev, pružanje ugovorene usluge, privola).
  4. Osobne podatke držite na što manje mjesta, i uvijek znajte gdje su.
  5. Pobrinite sa da osobni podaci budu adekvatno zaštićeni dokle god ste za njih odgovorni, a ovo se odnosi i na vaše partnere kojima ih ustupate na obradu. Budite svjesni da je ovo najvažniji element GDPR-a (“DP“ u GDPR znači Data Protection).
  6. Uvijek obradu osobnih podataka promatrajte kroz prizmu etičnosti.
  7. Intenzivno razvijajte svijest o vrijednosti osobnih podataka i potrebi za njihovom zaštitom, educirajte se, te pratite zbivanja vezana uz zaštitu privatnosti.
  8. Procjenu utjecaja na zaštitu osobnih podataka integrirajte u svakodnevno poslovanje.
  9. Vlasnicima osobnih podataka osigurajte transparentan uvid u načine njihovog korištenja i potpunu kontrolu nad njihovim osobnim podacima. Pravo na zaborav, portabilnost, ispravak i prigovor moraju biti integrirani u sve informacijske sustave.
  10. Posebno obratite pažnju na zaštitu osobnih podataka van produkcijskih informacijskih sustava (u BI sustavima, testnim sustavima, razvoju...)
  11. Imenujte osobu odgovornu za zaštitu osobnih podataka (DPO) i dajte joj odgovarajuće ovlasti, odgovornosti i resurse bez obzira zahtjeva li to GDRP Uredba od vaše organizacije ili ne.
  12. Uspostavite komunikaciju sa nadležnim tijelima i surađujte prilikom istraga.
  13. Uspostavite internu organizaciju za upravljanje sigurnošću osobnih podataka.
  14. Osposobite se za prepoznavanje sigurnosnih incidenata i uspostavite procedure odgovora na incidente uključujući i izvještavanje nadležnih tijela.
  15. Certificirajte svoj sustav upravljanja sigurnošću osobnih podataka.

Primijenite li navedene savjete na svoje poslovanje, značajno ćete smanjiti mogućnost incidenta ili zloupotrebe osobnih podataka. Nadležno će tijelo čak i u slučaju da do incidenta i dođe, vaš trud uzeti u obzir kod određivanja visine kazne. Sustavno zanemarivanje sigurnosti osobnih podataka, nebriga i pogotovo neetička primjena osobnih podataka za postizanje dobiti sigurni su putevi prema maksimalnoj kazni.

I za kraj

Kroz deset lekcija Velike škole GDPR-a pokušali smo približiti vam razloge uvođenja Opće direktive za zaštitu osobnih podataka, njen sadržaj i utjecaj na poslovanje, ali i društvo. Dali smo si truda proći kroz osnovne faze usklađivanja i pružiti odgovore na najčešća konkretna pitanja. Imate li ih još, kontaktirajte nas. Osigurat ćemo odgovore najkompetentnijih stručnjaka i objaviti ih na ICT business portalu. Vjerni čitatelji ove škole primili su ovih dana i prvi broj GDPR novosti. Namijenjene podizanju svijesti, praćenju trendova, promjena u regulativi i pružanju konkretnih informacija iz područja zaštite osobnih podataka, ove novosti izdaje regionalno vodeća GDPR savjetodavna tvrtka, Ostendo Consulting. Ove novosti kao i Velika škola GDPR-a za cilj imaju povećati dostupnost informacija o GDPR-u, te konkretnim savjetima pomagati u postupku usklađivanja. Pretplatiti se možete ovdje.

 

Veliku školu GDPR-a omogućili su vam ICT business i Ostendo Consulting.

Veliki poster sa popisom 137 GDPR zahtjeva i preporuka

Za besplatno preuzimanje velikog postera sa popisom 137 GDPR zahtjeva i preporuka potrebno je popuniti sva polja u obrascu, nakon čega će vam se aktivirati preuzimanje dokumenta.

Više vijesti iz kategorije
KOMENTAR: Velika ulaganja, pripajanje Iskona, kupnja od Ericsson Nikole Tesle, promjena na čelu kompanije obilježili poslovnu 2023. za Hrvatski Telekom

KOMENTAR: Velika ulaganja, pripajanje Iskona, kupnja od Ericsson Nikole Tesle, promjena na čelu kompanije obilježili poslovnu 2023. za Hrvatski Telekom

Završena je napokon konsolidacija hrvatskog telekom tržišta, nakon što je Telemach Hrvatska kupio Optima Telekom od ZABA-e i HT-a, a A1 Hrvatska prije toga kupio što veće što manje telekome (B.Net) i kabelske operatore, sada je Hrvatski Telekom pripojio Iskon kojeg je kupio prije već podosta godina. Iako se pripajanje dogodilo s početkom ove godine i formalno pravno, sve je počelo još prošle godine. Time je završena konsolidacija tržišta i sada imamo tri velika telekoma HT, A1 i Telemach i nekoliko manjih Terrakom, 4Tel, Pro-Ping i još neke. I borba se za korisnike na optici nastavlja, a slično je u u mobilnom segmentu.

KOMENTAR: Kreću rezultati telekom sektora

KOMENTAR: Kreću rezultati telekom sektora

I dok čekamo rezultate najvećeg domaćeg telekoma HT-a, stigli su rezultati A1 Hrvatska. Za Telemach Hrvatska znamo samod a su u kompaniji jako zadovoljni, da su svi pokazatelji u zelenom, no više ćemo znati kada bude predano godišnje financijsko izvješće. rezultati A1 su jako dobri obzirom na vrlo izazovnu godinu iza nas.

Nastavak snažnog rasta i obilježavanje 15 godina poslovanja

Nastavak snažnog rasta i obilježavanje 15 godina poslovanja

U prošloj poslovnoj godini nastavili smo rasti, unatoč tome što su se kamatne stope jako povećale i sveopća tržišna klima nije bila pogodna. Naš novi proizvod Software Assurance (SSCS) nastavlja snažno rasti, a postojeći servisi podupiru investiranje u nove produkte. Premda mnoga od imena klijenata ne možemo objaviti, među njima su vodeće tehnološke i security kompanije današnjice, kao i društvene mreže, vladine agencije i korporacije. Neke od njih spadaju u Fortune 500, što je popis najvećih kompanija u SAD-u.

SPONZORIRANO
NAJNOVIJE
NAJČITANIJE
Prijavi se na newsletter
PONUDA POSLOVA U ICT SEKTORU
ICT poslovi
Prati nas i na Facebooku
ICT Business

© 2024 ictbusiness.info

E-mail: [email protected]
ISSN 2459-5268
Pravila privatnosti

Imate priču za nas?

Imate zanimljivu priču koja se dotiče tema tehnologije i poslovanja? Javite nam se!

Pošaljite nam svoje informacije, naslov teksta i priču, a mi ćemo vam se javiti hoće li vaša priča biti objavljena i u kojoj rubrici.

Svoje tekstove možete poslati na adresu [email protected] .

Naši ostali projekti:
Članstva

Portal ICTbusiness.info je član Udruge Hrvatskih nezavisnih izvoznika softvera CISEx

CISEx

StockPhoto partner:
DepositPhotos

Designed & developed by Webmaster.hr