Sjeća li se tko datuma stupanja na snagu GDPR-a? Nešto krajem svibnja ove godine, je li tako?
Za indikativan pogled na to koliki je interes javnosti u Hrvatskoj za temu GDPR-a i privatnosti, poslužio sam se besplatnim alatom "Google Trends". Na slici 1 najveći interes Hrvata za GDPR pojmom bio je upravo 25.5.2018. godine, te je pažnja donekle bila još u rasponu dva tjedna prije i poslije tog datuma. Osim tog perioda od mjesec dana, Hrvate "privatnost" i "GDPR" nije zanimala previše.
Ako iste pojmove usporedimo s "nogometom" kao hit pojmom u periodu ovogodišnjeg svjetskog prvenstva, vidimo da je GDPR potencijalno vrlo interesantna tema ukoliko se revitalizira na neki način. No koji je to čimbenik najzanimljiviji kod GDPR-a? To su naravno ogromne potencijalne kazne. A one iznose do 20 milijuna EUR ili 4% godišnjeg prihoda tvrtke, koji god od ovih iznosa bude veći, on je relevantan.
Ali zašto je interes javnosti tako brzo pao za GDPR? Prije svega, upravo zbog izostanka navedenog kažnjavanja, a s druge strane tvrtke koje imaju svoja sjedišta u Europskoj Uniji u iščekivanju su primjene tih kazni, kako bi svoja ulaganja i angažman u potpunosti prilagodili regulativi. Iste te prve kazne te "probijanje leda" i postavljanje praksi očekuju i regulatori kako bi mogli lakše provoditi svoj posao jer kriteriji kažnjavanja moraju biti ujednačeni na razini cijele Europske Unije. Za očekivati je da će trend postavljati gospodarski najjače države članice jer imaju i najjače budžete za GDPR regulatora.
Očekivani iznosi kazni?
Dodatno je dojam da su obveznici GDPR-a do sada uglavnom proveli "optimalna" tj. minimalna ulaganja u usklađivanje te stavljali na čekanje sve skuplje i ozbiljnije zahtjeve. Posljedica toga je da trenutno postoje velike šanse da se većini tvrtki obveznicima GDPR-a odnosno voditeljima/izvršiteljima obrada može u nekom segmentu pronaći nesukladnost s GDPR-om. Ta činjenica tvrtkama može biti prihvatljiva ukoliko drži ekonomsku računicu tj. potencijalna kazna im bude manja od financijskog ulaganja u dovršetak usklađivanja. Iz ovog razloga su se na webu već pojavila razna predviđanja oko realnih kazni i "GDPR kalkulatora kazni.
Na slici 2 primjer je kalkulatora, gdje tvrtka popunjava svoj godišnji prihod, a zatim odgovara na niz od nekoliko desetaka pitanja poput: koja je bila razina osjetljivosti kompromitiranih osobnih podataka, da li je rukovodstvo bilo uključeno u GDPR program i do koje mjere, da li je provedena procjena rizika i jesu li implementirane sigurnosne mjere za zaštitu osobnih podataka i do koje mjere?, da li ste o sigurnosnom proboju obavijestili regulatora unutar 72h, itd.
Svaki odgovor ima određen težinski faktor i obradom svih odgovora se dolazi do iznosa neke potencijalne kazne za kršenje GDPR-a. Ovo je sve super, no u praksi može rezultirati pogrešnom prognozom za red veličine u odnosu na stvarno dobivenu kaznu. Zašto? Pa zato što regulator i sudovi mogu koristiti svoje diskrecijske kriterije za određivanje kazni, a naravno pritom će veliki značaj imati i odvjetnički timovi i pravna zaštita koju si pojedina tvrtka može priuštiti.
Primjerice, u poznatom slučaju iz 2017. godine kada je Facebook dobio kaznu od Europske Unije u visini od 110 milijuna eura po pitanju dijeljenja podataka korisnika WhatsApp aplikacije. Komentar uz kriterij određivanja kazne je bio neodređen:"... the Commission has concluded that an overall fine of 110 million euro is both proportionate and deterrent". Inače, maksimalna moguća kazna je tada za taj prekršaj mogla biti 1% godišnjeg prometa prema pravilima Europske Unije odnosno nekoliko puta veća od izrečene kazne obzirom na godišnji prihod Facebooka koji iznosi preko 30 milijardi američkih dolara.
Također, za nedavnu kaznu od 5 milijarda američkih dolara koju je dobio Google prema EU Antitrust regulativi, objavljeni komentar uz kaznu je samo kako je ona izračunata temeljem vrijednosti prihoda Googla iz usluga oglašavanja na Android uređajima na području EEA (European Economic Area). Temeljem ovakve informacije nije moguće procijeniti koliki bi iznos za GDPR prekršaj mogla očekivati tvrtka u Hrvatskoj, zar ne?
Kod primjene lokalnih zakona o privatnosti država članica EU prije GDPR-a, u praksi nije bilo ustručavanja regulatora od izricanja skoro maksimalnih kazni voditeljima obrade. Pod GDPR-om su maksimalne kazne drastično veće pa stoga opet neće biti previše relevantno oslanjanje na prakse kazni privatnosti prije GDPR doba.
Dakle, u praksi će se trebati realizirati barem nekoliko desetaka kazni po GDPR-u unutar EU kako bi se stekla okvirna predodžba funkcioniranja i primjene regulative, no i tada vas može snaći kazna puno veće od one koju ste očekivali te je stoga najbolje pravovremeno odraditi tzv. due dilligence uz aktivnosti usklađivanja i minimizirati rizike neusklađenja.
"Pop up" privole - pozivnica za viruse?
Dobar put do kazni su sigurnosni proboji i prekršaji izazvani računalnim virusima i zlonamjernim softverom. Protekla 2 mjeseca su GDPR prakse drastično promijenile pa i narušile korisničko iskustvo prilikom posjeta web stranica uvođenjem silnih "pop up" prozorčića za traženje privola. Time se između ostalog i smanjila pažnja ispitanika na potencijalne računalne viruse. Naime, glavni motiv kod zlonamjernih "pop up" prozorčića je da navede korisnika da klikne na njih ili zlonamjerni link, čime se pokreće računalni virus ili spyware što može rezultirati štetno po ispitanika, primjerice i krađom identiteta. Žrtva ne mora biti samo ispitanik, nego može biti i voditelj ili izvršitelj obrade ukoliko im je web stranica "zaražena" i u kojem slučaju ih osim direktnih šteta stiže i potencijalna GDPR kazna za neadekvatnu sigurnost obrade.
Sigurnost mora biti neizostavni element prilikom uvođenja bilo koje GDPR mjere.
Realizacija zahtjeva za uvid u osobne podatke od strane ispitanika - How hard can it be?
Jedno od prava koje ispitanici dobivaju putem GDPR-a je i da mogu zatražiti i dobiti uvid u svoje osobne podatke od pojedinih voditelja obrade. Zvuči kao vrlo jednostavna stvar za realizaciju? Međutim u praksi tvrtke koje su previše olako pristupili GDPR tematici mogu samo po ovoj temi skupiti brojne negativne bodove po pitanju usklađenosti.
Dakle, ispitanik pošalje emailom upit nekoj firmi gdje traži uvid u svoje osobne podatke, koje tipične greške može tvrtka napraviti i riskirati GDPR prijave:
- Ukoliko prethodno tvrtka voditelj obrade ispitanicima ne omogući jednostavno kontaktiranje po temi privatnosti podataka, ima nesukladnost iz područja transparentnosti, članak 12 GDPR-a.
- Ukoliko tvrtka pak ide odgovarati na zahtjev ispitanika, a bez prethodne adekvatne provjere identiteta ispitanika, opet time čini još veći propust jer je dužna napraviti odgovarajuće provjere identiteta ispitanika prema poglavlju GDPR-a "Prava ispitanika", ali i prema GDPR odjeljku "Sigurnost osobnih podataka". Naime, samo temeljem email adrese formata ime.prezime@nešto.com te tekstom emaila gdje se netko predstavlja sa "Ime" i "Prezime", identitet nije utvrđen i pružanjem osobnih podataka takvom potencijalno lažnom predstavljaču se može realizirati i napad krađe identiteta gdje napadač tim putem ,tzv, "socijalnim inženjeringom", dolazi do raznih osjetljivih podataka ispitanika (OIB?, bankovne kartice?, zdravstveni osobni podaci?...).
- Voditelj obrade ne odgovara pravovremeno na upit ispitanika i krši time članak 12 GDPR-a gdje odgovor ispitaniku mora biti unutar mjesec dana.
- Voditelj obrade nema uspostavljen ili automatiziran formalan proces odgovora na zahtjeve ispitanika nego rješava takve stvari ad hoc - Ovo nije direktan prekršaj GDPR-a, no bez procesa će morati trošiti više vremena na odgovore ispitanicima, mora se voditi dodatna briga o edukaciji ljudi koji rade kontakte s ispitanicima i postoji veća vjerojatnost da se potkrade GDPR ili sigurnosni prekršaj. Dodatno se prilikom definiranja i uvođenja procesa mora voditi briga o njegovoj efikasnosti, primjerice - ukoliko količina upita koje generiraju ispitanici traže nerazmjerno manji trud od onog koji voditelj/izvršitelj obrade mora uložiti za primjeren odgovor tada je sam proces rizičan i neadekvatan. To ne znači da se ispitanicima treba zakomplicirati ostvarivanje njihovih prava putem traženja da popunjavaju nepotrebno kompleksne obrasce, nego da voditelj obrade mora optimizirati/automatizirati takav proces.
Preporuka je za voditelje i izvršitelje obrade da prilikom definiranja GDPR postupaka angažiraju i vanjske konzultante ili istražuju prakse velikih firmi odnosno da redovito prate upute i smjernice regulatora unutar EU. Korisne informacije se uvijek mogu naći na web stranicama Hrvatskog AZOPa (Agencija za Zaštitu Osobnih Podataka), no korisnih informacija ima i na web stranicama stranih EU regulatora kao primjerice i Britanski ICO (Information Commisioner Office) koji ima raspisane interaktivne upute koje vode ispitanike i firme do uspostave boljih praksi.
Zaključak ili "TL;DR" (Too Long; Didn't Read)
Interes za GDPR je bio veći tek u svibnju i lipnju 2018.-e, a van tog perioda ispod očekivane razine obzirom na njegov značaj. Tek se očekuje generiranje praksi uz GDPR kazne, u međuvremenu se mogu koristiti priručni "kalkulatori kazni" ili povlačiti paralele sa drugim sličnim EU regulativama u primjeni.
Sam GDPR uvodi nove procese prilikom čega je potrebno pridavanje adekvatne pažnje na sigurnosne aspekte kako se ne bi nepotrebno uvodili novi sigurnosni rizici po tvrtke i ispitanike.
Preporuča se da voditelji i izvršitelji obrade ozbiljno pristupe GDPR usklađenju te pritom mogu učiti iz praksi velikih firmi, smjernice regulatora ili angažirati vanjske GDPR konzultante.
Igor Gregurec, Business Developer Lead for Security, Verso Altima grupa
