GDPR: Babaroga za plašenje uprave?

GDPR: Babaroga za plašenje uprave?

Foto: Dražen Tomić

Nadolazeća EU regulativa za zaštitu osobnih podataka za cilj si postavlja uvođenje reda u sve češću zloupotrebu osobnih podataka. Najveći njen doprinos je davanje kontrole nad osobnim podacima njihovom vlasniku, odnosno primjena u praksi osnovnog ljudskog prava na privatnost. Odličan i plemeniti cilj. Kako bi ga postigli EU parlament i Vijeće EU usvojili su GDPR (General Data Protection Regulation). Radi se o EU uredbi koja je zbog očekivanog učinka na gospodarstvo izazvala ogroman interes na globalnoj razini.

Ogromne kazne za prekršitelje

GDPR donosi prilično jasno definirane zahtjeve  poput “prava na zaborav”, te niz konkretnih zahtjeva za osiguranje kvalitete i sigurnosti osobnih podataka. “Jurisdikcija” za kršenje je proširena van granica EU, pa ovu regulativu moraju poštivati sve organizacije koje imaju podatke građana EU, bez obzira na svoje sjedište. Snaga za primjenu regulative osigurana je kroz mogućnost izricanja enormno visokih kazni prekršiteljima, a koje sežu do 20 milijuna eura ili 4% ukupnog globalnog prihoda tvrtke (što je veće). Uz ovakve kazne, uspješnost masovne primjene regulative je gotovo zagarantirana.

Klima oklijevanja i nesigurnosti

Mnoge IT tvrtke, poslovni i pravni konzultanti prepoznali su svoju priliku u pružanju palete proizvoda i usluga za postizanje GDPR sukladnosti. Ogromne kazne za prekršitelja to dodatno potiču. Nema sumnje da svaka organizacija koja rukuje osobnim podacima nešto mora učiniti, no prijeti li baš svakoj i ovako drastična kazna? U nekim slučajevima promjene u IT sustavima mogu biti toliko kompleksne da će prilagodba trajati godinama. Zadani rok u 2018. godini je za većinu organizacija nedostižan.

Brza Google pretraga pojma “GDPR” trenutno pronalazi preko milijun web stranica, većinu kojih čine ponuđači proizvoda i usluga iz ovog područja. Marketinška sila uposlena u prodaji ovih usluga u kombinaciji sa strahom od ogromnih kazni stvorila je klimu oklijevanja i nesigurnosti (izbjegavam napisati, panike). Zadnji put smo nečem sličnom svjedočili 1999. kada su organizacije bile prestravljene potencijalnim učinkom Millennium buga, za koji se predviđalo da će imati katastrofični učinak na rad računala kod prelaska iz 1999. u 2000. godinu.

Tko će platiti kaznu?

Kazne su predviđene za one koji se ne usklade sa GDPR zahtjevima, no postavlja se pitanje što to organizacija mora učiniti da se suoči s kaznom od 20 milijuna eura? Prava je istina da regulativa za zaštitu osobnih podataka već postoji i većina organizacija je već i sada uzima prilično ozbiljno. Ima doduše i onih koji svoj poslovni model grade upravo na prodaji osobnih podataka, krađi povjerljivih informacija i raznoraznim ružnim aktivnostima, no oni su već i sada s one strane zakona, ili u nekoj tamno sivoj zoni. Velike kazne su predviđene za takve, a složit ćemo se, drugo nisu ni zaslužili.

Prema neformalnim informacijama koje pristižu od strane regulatora, prekršitelje će se prije kažnjavanja upozoravati, davati im rokove za usklađivanje i tek ako ništa drugo ne pomaže, kažnjavati, a kazna će biti u skladu sa veličinom prekršaja.

Ukratko, da bi dobila maksimalnu kaznu organizacija bi trebala sustavno zanemarivati GDPR zahtjeve i sve ostale dobre prakse usmjerene ka zaštiti osobnih podataka, zanemarivati sva upozorenja i teškim zanemarivanjem izazvati masivno curenje osobnih podataka i pri tome prouzročiti građanima EU ozbiljnu štetu.

Što tvrtke moraju učiniti?

Pozicionirajte se – Većina je tvrtki djelomično usklađena sa GDPR zahtjevima. Shvatite u kojoj ste mjeri primijenili mjere zaštite osobnih podataka, te koje su vam jake, a koje slabe strane u upravljanju osobnim podacima.

Pripremite GDPR program – Saznajete koje vrste osobnih podataka imate, kako ih prikupljate, gdje ih držite, kako ih štitite, a posebno zašto vam uopće trebaju i kako ih obrađujete. Uspostavite interni registar osobnih podataka. Procijenite potencijalni učinak narušavanja njihove sigurnosti, te ustanovite razliku između zatečenog stanja i zahtjeva GDPR regulative. Kad jednom pokrenete projekt, brzo ćete shvatiti da su i naizgled jednostavni zadaci poput određivanja što je u kojim uvjetima osobni podatak, prilično kompleksni. Dodajmo tome i kompleksnost promjena u procesima i IT sustavima koje prilagodba zahtjevima regulative može izazvati i suočit ćemo se sa izuzetno zahtjevnim projektom za čiji će nam dizajn i provedbu trebati iskusni stručnjaci iz područja upravljanja informacijskom sigurnošću, pravni stručnjaci specijalizirani za zaštitu osobnih podataka i IT eksperti. Uočite slične projekte koje ste već pokrenuli (upravljanje podacima, sigurnošću i sl.) i pobrinite se da timovi usko surađuju kako bi izradili detaljan plan usklađivanja – GDPR program.

I onda ga izvršite.

Umjesto zaključka

Organizacije će već primijenjene prakse u upravljanju osobnim podacima na kraju uskladiti i sa zahtjevima nove regulative. Taj će postupak trajati godinama, a brzina provedbe će značajno ovisiti o razini svijesti o važnosti osobnih podataka koju izgradimo u javnosti i ugradimo je u organizacijske kulture. Sazrijevanje u pogledu zaštite osobnih podataka uključivat će stjecanje znanja o pravima pojedinca i obvezama organizacija, načinima sigurnog postupanja s vlastitim osobnim podacima, odgoja generacija u korištenju društvenih mreža. GDPR je dobar za sve nas.

 

Stanko Cerin, http://www.ostendogroup.com/

Još iz kategorije

INOVACIJA …  angažman i participacija građana

INOVACIJA … angažman i participacija građana

22.05.2018. komentiraj

LiquidFeedback i CitizenLab su odlične platforme za pomak demokracije od čisto reprezentativne (19. stoljeće!) prema oblicima primjerenijim 21. stoljeću. Takva je društvena inovacija lako ostvariva postojećim tehnološkim rješenjima, prije svega inačicama mreža socijalnih medija.

Pet stvari koje zaposlenici rade, a zbog kojih ćete biti hakirani

Pet stvari koje zaposlenici rade, a zbog kojih ćete biti hakirani

21.05.2018. komentiraj

Zbog opće digitalizacije korporativnih sustava stvoren je virtualni svijet bez granica, gdje se odvija kontinuirana razmjena podataka pohranjenih u korporativnim mrežama. Ovaj način poslovanja pridonio je njegovoj učinkovitosti, ali je također povećavao rizik od krađe i iskorištavanja tih podataka. U prilog tome govore i rezultati istraživanja tvrtke Clico, za područja sigurnosti, umrežavanja i upravljanja, prema kojima će vjerojatnost da će vaša tvrtka biti hakirana u prvoj godini osnivanja biti gotovo stopostotna!

INOVACIJA …  CitizenLab rješenje

INOVACIJA … CitizenLab rješenje

16.05.2018. komentiraj

U prošloj smo kolumni vidjeli kakvo rješenje za neposredn(ij)u demokraciju nudi https://liquidfeedback.org/ . U međuvremenu se dosta rasplamsala rasprava o „nomologiji“ a što koji termin zapravo znači. U raspravi je osobito istaknut odnos između predstavničke i „sudjelujuće“ demokracije, odnosno izvedenice iz stranih pojmova: reprezentativna i participativna demokracija.