Velika škola GDPR-a ICTbusiness portala - Lekcija prva: Utjecaj na društvo i poslovanje

Velika škola GDPR-a ICTbusiness portala - Lekcija prva: Utjecaj na društvo i poslovanje
Fotolia

Nova pravila o zaštiti osobnih podataka čija primjena počinje u svibnju slijedeće godine donose velike promjene u društvu. Kontrola nad osobnim podacima vraća se njihovim vlasnicima. Prava građana EU u području zaštite osobnih podataka se povećavaju, a s njima o obaveze svih onih koji ove podatke koriste.

Zaštita građana

Krađa elektroničkog identiteta samo je najočitiji način zloupotrebe osobnih podataka. Svi znamo da su podaci sa kreditne kartice povjerljivi, no osobni podaci i elektronički identitet su puno više od toga.  Kako to obično biva, ono što vidimo tek je vrh ledene sante. Obradom velikih količina osobnih podataka, ljude se može profilirati, uhoditi, predviđati se njihovo kretanje, ponašanje, razmišljanje, utjecati na ponašanje pojedine osobe ali i ponašanje masa. Bum big data tehnologija velikim se dijelom može zahvaliti upravo njihovoj primjeni u profiliranju na temelju osobnih podataka. U ovome naravno prednjače organizacije koje raspolažu velikim bazama takvih podataka: telekom operateri, društvene mreže, osiguravajuća društva, banke, komunalne tvrtke... Osobni podaci postali su tražena roba za koju su mnogi spremni platiti potrebnu cijenu. Baze osobnih podataka se prodaju, kradu, prenose kod promjene posla... Kako bi se osjećali da znate da su vaše ime i prezime, OIB, adresa i broj telefona, pa i kopija vaše osobne iskaznice zajedno sa još tisućama drugih završili na nekom USB sticku koji je nezadovoljni djelatnik tvrtke kojoj ste ove podatke povjerili prodao za, recimo 1.000 eur? Prodajni agenti koji nas zovu na telefon, pa pri tom još znaju i kako se zovemo i u koju dobnu skupinu spadamo postali su uobičajena pojava. Odakle im podaci? Pitajte.

Netko je tome morao odlučno stati na kraj. Nova EU regulativa odlučila je snažno se zauzeti za malog čovjeka i vratiti mu kontrolu nad njegovim osobnim podacima. I misli ozbiljno!

Što se mijenja za malog čovjeka?

Otvorite li npr. korisnički račun na nekom internetskom servisu, morat ćete imati i mogućnost zatvaranja tog računa. Osobne podatke koje je o vama servis prikupio moći ćete dobiti u razumljivom elektroničkom formatu, a servis će sve vaše osobne podatke morati obrisati ako mu izričito ne dozvolite da ih zadrži. To vrijedi za svaku organizaciju kojoj ste dali svoje osobne podatke. Naravno, ukoliko drugim, konkretnijim zakonom nije regulirano drugačije. Npr. ne možete tražiti da vaš bivši poslodavac obriše sve vaše osobne podatke jer, on je dužan čuvati podatke o isplatama plaća. Ne možete ni banci u kojoj ste podigli kredit naložiti da obriše vaše podatke ako ga još niste vratili. Podaci koje ustupite mogu se obrađivati isključivo i svrhu u koju su ustupljeni. Potpisivanja ugovora o pružanju usluga ne smije biti uvjetovano podataka ili privola za njihove obrade koje nisu neophodne za uslugu koju ugovarate.

Ne samo da će se za prikupljanje i obradu osobnih podataka morati dobiti jasna privola, nego će podaci morati biti i kvalitetno zaštićeni, pa će tako pristup vašim osobni podacima imati samo oni djelatnici čiji posao to zahtjeva, i to u skladu s vašom privolom.

Što to znači za tvrtke i tijela državne uprave

Usklađivanje sa GDPR-om vrlo je zahtjevan zadatak s organizacijske, a još više sa tehničke strane. U tvrtkama koje svoje poslovne modele grade na intenzivnoj obradi osobnih podataka usklađivanje sa GDPR zahtjevima moglo bi imati veliki učinak na poslovne rezultate, dok bi zanemarivanje ove obaveze moglo rezultirati izuzetno visokim kaznama čije će se cijena samo dodati na trošak usklađivanja. Poslovni modeli ciljane prodaje temeljni na ilegalno prikupljenim osobni podacima nestat će.

Većina tvrtki (tu ubrajamo i državnu upravu) nema izbora. Za usklađivanje je preostalo jedva godinu dana. Toliko otprilike traje i prosječna implementacija u tvrtki srednje veličine koja svoj poslovni model ne gradi na profiliranju kupaca. Dakle telekomi, osiguravajuća društva, banke, turističke agencije i mnogi drugi već sada kasne.

Što ako kasnimo?

Do prije nekoliko dana vladalo je opće mišljenje da kazne neće biti rigorozne kako to Uredba propisuje, da će regulator biti blag te će prvo upozoriti prekršitelje. To će možda za one čiji su prekršaji mali stvarni i biti tako. Europska komisija je nedavno jasno dala do znanja da za one druge neće biti milosti. Činjenica je da Hrvatska još nije ustanovila tijelo koje bi bilo odgovorno za provjeru kršenja i naplatu kazni, no imali smo prilike vidjeti da to jednostavno nije potrebno. Kazna od 110 milijuna eura koju je Facebook nedavno dobio propisana je direktno od strane Europske komisije. Iako na temelju potpuno druge regulative, ova kazna je u svojoj suštini propisana radi pružanja lažnih informacija o spajanju sa WhatsAppom. Tom je prilikom Facebook izjavio kako se osobni podaci korisničkih računa ne mogu spojiti, a dvije godine kasnije učinio je upravo to. Spojio je račune WhatsAppa sa računima Facebooka. Europska komisija reagirala je gotovo promptno i propisala kaznu od 110 milijuna eura; 0,5% ukupnih prihoda Facebooka na globalnoj razini i 50% maksimalne moguće koju propisuje regulativa o spajanju kompanija. Dakle, ako neka EU zemlja neće sama kazniti prekršitelja, očito je da će  to učiniti EC direktno. Talijani su čini se brzo shvatili odakle puše vjetar pa su samo par dana kasnije za isti prekršaj kaznili WhatsApp i podebljali vlastiti državni proračun za 3 milijuna eura. Bolje u talijanski budžet nego u Bruxelles. Europska unija odlučila je zaštiti privatnost svojih građana. Prekršitelje će stizati zaslužene kazne koje će kako stvari solidno puniti budžete članica. Ako neke slučajno i odaberu mekšu politiku, Europska komisija čini se neće.

Ako žele nastaviti poslovati, izbor je za tvrtke vrlo jednostavan. Ili će svoje poslovanje uskladiti sa zahtjevima GDPR-a, ili će platiti pozamašnu kaznu i opet poslovanje uskladiti sa GDPR zahtjevima.

Što s državnom upravom?

Ministarstva, jedinice lokalne uprave i ostali proračunski korisnici su naizgled u posebnoj povoljnoj situaciji. Naime naplata kazne proračunskom korisniku, koji će te novce uplatiti u državni proračun baš i nema nekog smisla, ali...

Prema trenutno dostupnim informacijama, tijela države uprave koje prekrše GDPR mogu dobiti “negativno mišljenje“ agencije za nadzor (što će u Hrvatskoj vjerojatno biti neki nasljednik današnjeg AZOP-a sa povećanim ovlastima). Ovakva je kazna u velikom nerazmjeru sa kaznama koje su predviđene za gospodarstvo. Uredba zato predviđa mogućnost prema kojoj zemlje članice mogu dodatno razraditi lokalno zakonodavstvo. Među prvima koji su krenuli u ovom smjeru je Njemačka koja za neke prekršaje iz ovog područja predviđa i zatvorsku kaznu do tri godine. Vjerujemo da će i ostale članice slijediti ovaj primjer, a zatvorska je kazna uvijek bila dobar poticaj odgovornim osobama da učine sve što je potrebno kako bi se uskladili sa zakonom, posebno kod proračunskih korisnika.

Koji su to proračunski korisnici i javna poduzeća posebno izloženi? Obzirom na strukturu hrvatskog BDP-a, turističke zajednice koje prikupljaju osobne podatke građana EU sasvim sigurno su u samom vrhu, zajedno sa cijelom ovom gospodarskom granom. Tu su komunalna poduzeća, HŽ, jedinice lokalne uprave i drugi.

Kako početi?

Usklađivanje sa GDPR-om počinje znanjem. Prvi je korak upoznati se sa zahtjevima i obučiti interni tim. Tko će u njemu biti? Tipično, osoba odgovorna za zaštitu osobnih podataka koju imenuje Uprava ili član uprave koji će obavljati tu funkciju, direktor informatike, pravnik i HR manager, no prije svih njih tu će biti menadžeri svih poslovnih procesa u kojima tvrtka pristupa osobnim podacima ili ih obrađuje. Prodaja? Business inteligence? Ovisi o prirodi posla tvrtke. Čitajte, pitajte, školujte se na namjenskim edukacijama, uključite se u diskusije na internetu, budite na stručnim konferencijama i naravno, pratite Veliku školu GDPR-a ICT business portala.