Velika škola GDPR-a Lekcija 10: Pravni aspekti – Kako izbjeći kaznu?

Velika škola GDPR-a Lekcija 10: Pravni aspekti – Kako izbjeći kaznu?

Foto: Fotolia

Gdje živimo?

Kršenje prava na privatnost, neodgovorno ponašanje prema osobnim podacima i njihova zloupotreba u cilju stvaranja dobiti, a po cijenu nanošenja štete pojedincu postala je poslovna praksa mnogih. Tehnološki napredne kompanije poput onih u telekom i bankarskom sektoru, te inovativni startupi koji danas nude javne servise sa milijunima pa čak i milijardama korisnika obradu su osobnih podataka doveli do savršenstva. Napredne analize ogromnih količina osobnih podataka omogućuju profiliranje, ciljanu prodaju, praćenje, predviđanje ponašanja, utjecanje na ponašanje pojedinaca, grupa, nacija, generacija… U borbi sa ovom globalno prepoznatom poslovno-političkom prilikom budimo realni, etika nije imala nikakve šanse.

Gartner navodi kako analiza podataka pojačano postaje strateška odrednica većine tvrtki i poslovnih funkcija gdje je svaki biznis analitički biznis, svaki poslovni proces je analitički proces, a svaki zaposlenik analitičar. Marketing se više ne može samo baviti brendiranjem i smještanjem oglasa, već mora analizirati kupce. Isto vrijedi i za HR, nabavu i financijske funkcije u većini industrija. Svatko tko raspolaže velikim količinama podataka, trudi se naprednom analizom ostvariti tržišnu prednost, pri tom se često ne libeći zadiranja u privatnost i drugih domišljatih načina zloupotrebe osobnih podataka.

Mislite li još uvijek da je kazna prevelika?

Imate dijete? Preko 92% računalnih igara danas se prodaje preko digitalnih distribucijskih servisa. Jeste li čuli za Steam, Origin, uPlay…? To su platforme za kupnju i licenciranje računalnih igara. Većina djece danas ima otvoren račun na barem jednoj od njih. Ovakve platforme znaju kakve igre voli vaše dijete: nasilne, arkadne, igre znanja… Znaju koliko kakvu vrstu igrice dijete igra. Djeci se nude posebni popusti koji mogu biti temeljeni na analizi njihovih interesa. Možda to na prvi pogled djeluje bezazleno, ali psihološkim profiliranjem i pažljivim poticanjem na igranje pojedinih vrsta igrica ovakva platforma može poticati razvoj borbenosti ili inteligencije, agresivnost ili miroljubivost. A to je tek početak. Moderne igrice u tijeku igre djecu stavljaju pred moralne dileme i prikupljaju podatke o odlukama koje djeca donose. Hoće li vaše dijete u igrici ubiti sestru ili prijatelja da se spasi? Hoće li njegova odluka ovisiti o boji kože, seksualnoj orijentaciji ili vjeri žrtve? Hoće li odabrati brzu ili posebno nasilnu smrt? Djeca nam se tijekom igre mogu nesvjesno izlagati psihološkom profiliranju.

Ovakve se aktivnosti možda isključivo provode radi poboljšanja doživljaja igre, no što bi bilo kada bi psihološki profili stotina milijuna djece procurili u javnost radi neodgovornog ponašanja tvrtke i neadekvatnih sigurnosnih kontrola? Je li profit koji tvrtka stvara prodajom igre uopće vrijedan tog rizika? Što bi bilo kada bi takva tvrtka prodavala psihološke profile djece? A što ako planirano utječe na poticanje agresivnosti cijelih generacija u određenim regijama radi postizanja političkih ciljeva? Igračka je industrija samo jedan od mnogobrojnih primjera. Dodajte tu i financijske institucije, telekomunikacijske, farmaceutske tvrtke, bolnice, državnu upravu…

Mislite li i dalje da je  20 milijuna eura ili 4% ukupnog godišnjeg prihoda prevelika kazna?

Novčana i zatvorska kazna, plus odšteta

Visina kazne za kršenje GDPR odredbi ovisi o nekoliko čimbenika na koje više ili manje možete unaprijed utjecati. U slučaju da dođe do curenja ili narušavanja dostupnosti i integriteta osobnih podataka s posljedicama za njihove vlasnike, vrlo je velika vjerojatnost da će nadležno tijelo pokrenuti istragu s ciljem utvrđivanja opsega incidenta, njegovog utjecaja, i uzroka. Visina kazne seže od obične opomene pa sve do 4% ukupnog godišnjeg prihoda ili 20 milijuna eura (što je veće). Iako još nemamo novi Zakon o zaštiti osobnih podataka koji će najvjerojatnije i sam propisivati zatvorske i novčane kazne za odgovorne osobe, postojeći Kazneni zakon predviđa i zatvorsku kaznu do 5 godina za nedozvoljenu uporabu osobnih podataka. Pored kazne, organizacija je dužna i nadoknaditi i štetu uzrokovanu neadekvatnim ponašanjem prema osobnim podacima. Obzirom da se danas osobni podaci obrađuju automatski u velikim količinama, štete koje mogu nastati bit će mahom uzrokovane nedozvoljenim procesiranjem osobnih podataka, što znači da će se pojedinačna šteta množiti sa brojem oštećenih osoba. Pojedinačna šteta u iznosu od 10 eura, na primjeru prosječnog hrvatskog telekoma sa milijun korisnika dosegla bi 10 milijuna eura. Količina podataka u zdravstvenom sustavu je daleko veća, kao i njihova osjetljivost i potencijalna šteta. Nema potrebe nabrajati dalje. A mogli bi.

15 savjeta kako izbjeći kaznu?

Kazna će biti proporcionalna nanesenoj šteti, odnosno prepoznatom riziku od nanošenja štete (ukoliko do incidenta nije još došlo).  Evo što možete učiniti:

  1. Osigurajte bezrezervnu podršku uprave etičkom rukovanju osobnim podacima.
  2. Ne prikupljate, ne pohranjujte, ne obrađujte niti ne prenosite osobne podatke kada to stvarno nije neophodno.
  3. Za svako rukovanje s osobnim podacima osigurajte odgovarajuću podlogu (zakonski zahtjev, pružanje ugovorene usluge, privola).
  4. Osobne podatke držite na što manje mjesta, i uvijek znajte gdje su.
  5. Pobrinite sa da osobni podaci budu adekvatno zaštićeni dokle god ste za njih odgovorni, a ovo se odnosi i na vaše partnere kojima ih ustupate na obradu. Budite svjesni da je ovo najvažniji element GDPR-a (“DP“ u GDPR znači Data Protection).
  6. Uvijek obradu osobnih podataka promatrajte kroz prizmu etičnosti.
  7. Intenzivno razvijajte svijest o vrijednosti osobnih podataka i potrebi za njihovom zaštitom, educirajte se, te pratite zbivanja vezana uz zaštitu privatnosti.
  8. Procjenu utjecaja na zaštitu osobnih podataka integrirajte u svakodnevno poslovanje.
  9. Vlasnicima osobnih podataka osigurajte transparentan uvid u načine njihovog korištenja i potpunu kontrolu nad njihovim osobnim podacima. Pravo na zaborav, portabilnost, ispravak i prigovor moraju biti integrirani u sve informacijske sustave.
  10. Posebno obratite pažnju na zaštitu osobnih podataka van produkcijskih informacijskih sustava (u BI sustavima, testnim sustavima, razvoju…)
  11. Imenujte osobu odgovornu za zaštitu osobnih podataka (DPO) i dajte joj odgovarajuće ovlasti, odgovornosti i resurse bez obzira zahtjeva li to GDRP Uredba od vaše organizacije ili ne.
  12. Uspostavite komunikaciju sa nadležnim tijelima i surađujte prilikom istraga.
  13. Uspostavite internu organizaciju za upravljanje sigurnošću osobnih podataka.
  14. Osposobite se za prepoznavanje sigurnosnih incidenata i uspostavite procedure odgovora na incidente uključujući i izvještavanje nadležnih tijela.
  15. Certificirajte svoj sustav upravljanja sigurnošću osobnih podataka.

Primijenite li navedene savjete na svoje poslovanje, značajno ćete smanjiti mogućnost incidenta ili zloupotrebe osobnih podataka. Nadležno će tijelo čak i u slučaju da do incidenta i dođe, vaš trud uzeti u obzir kod određivanja visine kazne. Sustavno zanemarivanje sigurnosti osobnih podataka, nebriga i pogotovo neetička primjena osobnih podataka za postizanje dobiti sigurni su putevi prema maksimalnoj kazni.

I za kraj

Kroz deset lekcija Velike škole GDPR-a pokušali smo približiti vam razloge uvođenja Opće direktive za zaštitu osobnih podataka, njen sadržaj i utjecaj na poslovanje, ali i društvo. Dali smo si truda proći kroz osnovne faze usklađivanja i pružiti odgovore na najčešća konkretna pitanja. Imate li ih još, kontaktirajte nas. Osigurat ćemo odgovore najkompetentnijih stručnjaka i objaviti ih na ICT business portalu. Vjerni čitatelji ove škole primili su ovih dana i prvi broj GDPR novosti. Namijenjene podizanju svijesti, praćenju trendova, promjena u regulativi i pružanju konkretnih informacija iz područja zaštite osobnih podataka, ove novosti izdaje regionalno vodeća GDPR savjetodavna tvrtka, Ostendo Consulting. Ove novosti kao i Velika škola GDPR-a za cilj imaju povećati dostupnost informacija o GDPR-u, te konkretnim savjetima pomagati u postupku usklađivanja. Pretplatiti se možete ovdje.

 

Veliku školu GDPR-a omogućili su vam ICT business i Ostendo Consulting.


Veliki poster sa popisom 137 GDPR zahtjeva i preporuka

Za besplatno preuzimanje velikog postera sa popisom 137 GDPR zahtjeva i preporuka potrebno je popuniti sva polja u obrascu, nakon čega će vam se aktivirati preuzimanje dokumenta.

Još iz kategorije

INOVACIJA …  i pesimizam u javnom sektoru

INOVACIJA … i pesimizam u javnom sektoru

21.08.2017. komentiraj

Pretjerano pesimistički pristup inovativnim idejama ima jasne učinke u realnom sektoru: ne ostvaruje je „market pull“. Konkretno to znači da tvrtke odbijaju inovacije koje tržište traži. Krajnji učinak je jasan: konkurencija prigrli inovaciju koju najčešće nudi „technology push“ i ide naprijed s tržišnim udjelom, prihodom i dobiti. U krajnjim slučajevima to završava s propašću tvrtki koje su se prema inovaciji odnosile pretjerano pesimistički – kao kod notornog Kodak – primjera.

INOVACIJA …  i pesimizam koji je „ubija“

INOVACIJA … i pesimizam koji je „ubija“

16.08.2017. komentiraj

U prethodnoj kolumni smo prikazali kako „optimizam“ može štetiti inovaciji: Grešku tipa I – odbijanje dobre inovacije, blokira neutemeljeno optimistična procjena sadašnjeg stanja. „Dobro nam ide s klasičnom fotografijom, što će nam digitalna?“ – reče uprava Kodaka i propadne. Obratno, „Naš video format Beta je tehnološki superioran VHS-u, pobijedit ćemo i bez marketinga!“, zaključila je optimistički  uprava Sonyja i nestade Beta-e s tržišta – Greška tipa II!

Zašto pametni satovi ne uspjevaju naći put do kupaca?

Zašto pametni satovi ne uspjevaju naći put do kupaca?

14.08.2017. komentiraj

Pametni satovi trebali su postati hit u 2015. godini jer pojavio se Apple Watch, dok su nosivi (eng., wearable) uređaji u globalu trebali s 2016. biti nešto potpuno normalno, nešto bez čega nitko ne može. No taj se “balon” nerealnih očekivanja raspuknuo vrlo brzo i realnost je razne proizvođače pogodila poput munje. Naravno, odmah su uslijedile crne prognoze, ali situacija ipak nije toliko loša, za neke.