GDPR: Babaroga za plašenje uprave?

GDPR: Babaroga za plašenje uprave?

Foto: Dražen Tomić

Nadolazeća EU regulativa za zaštitu osobnih podataka za cilj si postavlja uvođenje reda u sve češću zloupotrebu osobnih podataka. Najveći njen doprinos je davanje kontrole nad osobnim podacima njihovom vlasniku, odnosno primjena u praksi osnovnog ljudskog prava na privatnost. Odličan i plemeniti cilj. Kako bi ga postigli EU parlament i Vijeće EU usvojili su GDPR (General Data Protection Regulation). Radi se o EU uredbi koja je zbog očekivanog učinka na gospodarstvo izazvala ogroman interes na globalnoj razini.

Ogromne kazne za prekršitelje

GDPR donosi prilično jasno definirane zahtjeve  poput “prava na zaborav”, te niz konkretnih zahtjeva za osiguranje kvalitete i sigurnosti osobnih podataka. “Jurisdikcija” za kršenje je proširena van granica EU, pa ovu regulativu moraju poštivati sve organizacije koje imaju podatke građana EU, bez obzira na svoje sjedište. Snaga za primjenu regulative osigurana je kroz mogućnost izricanja enormno visokih kazni prekršiteljima, a koje sežu do 20 milijuna eura ili 4% ukupnog globalnog prihoda tvrtke (što je veće). Uz ovakve kazne, uspješnost masovne primjene regulative je gotovo zagarantirana.

Klima oklijevanja i nesigurnosti

Mnoge IT tvrtke, poslovni i pravni konzultanti prepoznali su svoju priliku u pružanju palete proizvoda i usluga za postizanje GDPR sukladnosti. Ogromne kazne za prekršitelja to dodatno potiču. Nema sumnje da svaka organizacija koja rukuje osobnim podacima nešto mora učiniti, no prijeti li baš svakoj i ovako drastična kazna? U nekim slučajevima promjene u IT sustavima mogu biti toliko kompleksne da će prilagodba trajati godinama. Zadani rok u 2018. godini je za većinu organizacija nedostižan.

Brza Google pretraga pojma “GDPR” trenutno pronalazi preko milijun web stranica, većinu kojih čine ponuđači proizvoda i usluga iz ovog područja. Marketinška sila uposlena u prodaji ovih usluga u kombinaciji sa strahom od ogromnih kazni stvorila je klimu oklijevanja i nesigurnosti (izbjegavam napisati, panike). Zadnji put smo nečem sličnom svjedočili 1999. kada su organizacije bile prestravljene potencijalnim učinkom Millennium buga, za koji se predviđalo da će imati katastrofični učinak na rad računala kod prelaska iz 1999. u 2000. godinu.

Tko će platiti kaznu?

Kazne su predviđene za one koji se ne usklade sa GDPR zahtjevima, no postavlja se pitanje što to organizacija mora učiniti da se suoči s kaznom od 20 milijuna eura? Prava je istina da regulativa za zaštitu osobnih podataka već postoji i većina organizacija je već i sada uzima prilično ozbiljno. Ima doduše i onih koji svoj poslovni model grade upravo na prodaji osobnih podataka, krađi povjerljivih informacija i raznoraznim ružnim aktivnostima, no oni su već i sada s one strane zakona, ili u nekoj tamno sivoj zoni. Velike kazne su predviđene za takve, a složit ćemo se, drugo nisu ni zaslužili.

Prema neformalnim informacijama koje pristižu od strane regulatora, prekršitelje će se prije kažnjavanja upozoravati, davati im rokove za usklađivanje i tek ako ništa drugo ne pomaže, kažnjavati, a kazna će biti u skladu sa veličinom prekršaja.

Ukratko, da bi dobila maksimalnu kaznu organizacija bi trebala sustavno zanemarivati GDPR zahtjeve i sve ostale dobre prakse usmjerene ka zaštiti osobnih podataka, zanemarivati sva upozorenja i teškim zanemarivanjem izazvati masivno curenje osobnih podataka i pri tome prouzročiti građanima EU ozbiljnu štetu.

Što tvrtke moraju učiniti?

Pozicionirajte se – Većina je tvrtki djelomično usklađena sa GDPR zahtjevima. Shvatite u kojoj ste mjeri primijenili mjere zaštite osobnih podataka, te koje su vam jake, a koje slabe strane u upravljanju osobnim podacima.

Pripremite GDPR program – Saznajete koje vrste osobnih podataka imate, kako ih prikupljate, gdje ih držite, kako ih štitite, a posebno zašto vam uopće trebaju i kako ih obrađujete. Uspostavite interni registar osobnih podataka. Procijenite potencijalni učinak narušavanja njihove sigurnosti, te ustanovite razliku između zatečenog stanja i zahtjeva GDPR regulative. Kad jednom pokrenete projekt, brzo ćete shvatiti da su i naizgled jednostavni zadaci poput određivanja što je u kojim uvjetima osobni podatak, prilično kompleksni. Dodajmo tome i kompleksnost promjena u procesima i IT sustavima koje prilagodba zahtjevima regulative može izazvati i suočit ćemo se sa izuzetno zahtjevnim projektom za čiji će nam dizajn i provedbu trebati iskusni stručnjaci iz područja upravljanja informacijskom sigurnošću, pravni stručnjaci specijalizirani za zaštitu osobnih podataka i IT eksperti. Uočite slične projekte koje ste već pokrenuli (upravljanje podacima, sigurnošću i sl.) i pobrinite se da timovi usko surađuju kako bi izradili detaljan plan usklađivanja – GDPR program.

I onda ga izvršite.

Umjesto zaključka

Organizacije će već primijenjene prakse u upravljanju osobnim podacima na kraju uskladiti i sa zahtjevima nove regulative. Taj će postupak trajati godinama, a brzina provedbe će značajno ovisiti o razini svijesti o važnosti osobnih podataka koju izgradimo u javnosti i ugradimo je u organizacijske kulture. Sazrijevanje u pogledu zaštite osobnih podataka uključivat će stjecanje znanja o pravima pojedinca i obvezama organizacija, načinima sigurnog postupanja s vlastitim osobnim podacima, odgoja generacija u korištenju društvenih mreža. GDPR je dobar za sve nas.

 

Stanko Cerin, http://www.ostendogroup.com/

Još iz kategorije

INOVACIJA … i „apsolutiziranje“ edukacije

INOVACIJA … i „apsolutiziranje“ edukacije

19.02.2019. komentiraj

Kao namjernu ili slučajnu reakciju na www.facebook.com/EdukacijaNajvaznija/ saborski zastupnik Marko Vučetić (nezavisni) je objavio sljedeće osporavanje: „Kada se izolira određeni segment stvarnosti i pritom se apsolutizira, nikada se ne rješava problem, nego se otvara put za neku novu tiraniju. Obrazovanje se rješava obrazovanjem i obrazovnim politikama (a ne politikom u obrazovanju), zdravstvo zdravstvom i zdravstvenim politikama (a ne politikom u zdravstvu), vladavina prava poštivanjem zakona i kreiranjem zakona koje treba provoditi (a ne provođenjem politike u pravosuđu).... No, kontekst u kojem djelujemo kontekst je simulacije zbilje i dominacije PR-a. Tu se gubi razlika između zbilje i privida, odnosno privid i zbilja se promatraju kao istorazinske datosti. Onaj tko zbilja zna i onaj tko prividno zna, onaj tko zbilja liječi i onaj tko prividno liječi, onaj tko zbilja provodi zakone i onaj tko prividno provodi zakone postaju isti.

Kako nas je SaaS učinio uspješnijom tvrtkom?

Kako nas je SaaS učinio uspješnijom tvrtkom?

18.02.2019. komentiraj

Poslovna klima u Hrvatskoj daleko je od motivirajuće ili inspirativne. No, postoje pojedinci i njihove kompanije koji ne posustaju i kao iznimke koje potvrđuju pravilo prkose gospodarskoj letargiji. Svjedočimo raznim strukturama društva koji podliježu dostupnim regulativama i zakonima: mladi se kroz HUB-ove i start-up projekte bore za svoje mjesto, uz očigledno da će, ako im se pruži prilika, napustiti Hrvatsku. Starije koji će ostati na svojim radnim mjestima jer ne vide bolje pozicije ili su uz brojne obveze u svojoj zemlji onemogućeni otići. I one nas između koji pokušavamo pronaći svoje mjesto i to mjesto napraviti uspješnijim.

KOMENTAR: HT nastavlja s pozitivnim trendovima

KOMENTAR: HT nastavlja s pozitivnim trendovima

15.02.2019. komentiraj

Kompletirani su rezultati svih domaćih telekoma i prema posljednjim koji su izašli najjačeg domaćeg telekoma Hrvatskog Telekoma može se lako konstatirati kako je tržište telekom rješenja i usluga u Hrvatskoj stabilno i da nastavlja rast. I HT kao najjači domaći telekom bilježi rast prihoda u Hrvatskoj za 0,6 posto, dok je taj prihod nešto manji ako se pribroje i rezultati Crnogorskog Telekoma.