GDPR na prvi pogled ne djeluje kao da ima veliki utjecaj na IT sustave. U biti, samo je nekoliko funkcionalnih zahtjeva koji se direktno odnose na IT sustave.
Funkcionalni zahtjevi na IT sustave
Pravo na zaborav i pravo na portabilnost svakako su najkontraverzniji među njima. Ovo su potpuno novi funkcionalni zahtjevi koje postojeći IT sustavi jednostavno nisu u stanju ispuniti, a mnogi se teško nose i sa ispunjavanjem prava na ispravak osobnih podataka, pravo na pristup podacima ili prava na ograničenje obrade. Obzirom da se radi o nezaobilaznim funkcionalnim zahtjevima koje IT sustavi sada moraju ispunjavati, posvetit ćemo im dužnu pažnju.
Pravo na ispravak
Ovo je jedan od najjednostavnijih funkcionalnih zahtjeva koji se direktno odnosi na IT sustave. Vlasniku osobnih podataka morate omogućiti uvid u osobne podatke koje o njemu imate, te pružiti mogućnost ispravka. Mnoge organizacije to rade i danas. Ako uočite na računu za telefon pogrešku u vašem imenu ili adresi, možete se obratiti centru za korisnike koji će vam omogućiti ispravak.
Problem nastaje u heterogenim kompleksnim IT sustavima velikih tvrtki u kojima se vaši osobni podaci nalaze na različitim mjestima i prikupljeni su iz različitih razloga. Tako vas primjerice jedan telekom može u naplatnom sustavu imati pod imenom Stjepan kako to piše na vašoj osobnoj kartici, dok će vas možda u marketinškom sustavu imati pod imenom Štef, kako je vaša žena poslala SMS-om na neku nagradnu igru. Zagrebački holding može pak imati jedne podatke u vezane uz isporuku plina, a potpuno druge za odvod smeća. Razne obrade podataka također mogu imati negativan učinak na točnost pa zbrka oko OIB-a, JMBG-a i adrese može rezultirati i potpunom promjenom vašeg digitalnog identiteta u nečijem IT sustavu.
U praksi su rijetke (ako uopće postoje) organizacije koje stvarno znaju gdje se sve nalaze osobni podaci. Jeste li ikada nekome poslali fotografiju svoje osobne iskaznice emailom? Mislite li da će vam ta organizacija, ako ih upitate koje sve podatke imaju o vama, te gdje su ti podaci, spomenuti i fotografiju vaše osobne iskaznice u nečijem inbox-u na mail severu i svim sigurnosnim kopijama tog servera, te nečiji laptop na koji je to privremeno iskopirano prije unosa u CRM i sigurnosne kopije CRM sustava? Da bi organizacija mogla stvarno učinkovito ažurirati vaše osobne podatke, prvo mora točno znati gdje se sve oni nalaze i kako ih prepoznati. Ipak, stvarni nisu tako crne. Većina organizacija, barem što se tiče podataka u produkciji, vodi računa o njihovoj točnosti.
Pravo na zaborav
Ovo je bez sumnje tehnički najzahtjevnije pravo. IT sustav mora omogućiti jednostavno brisanje osobnih podataka na zahtjev njihova vlasnika. Npr., ako više niste klijent neke banke, možete ih zatražiti da obrišu vaše osobne podatke iz svih svojih sustava. Pored već spomenutog problema identifikacije podataka u svim IT sustavima, sigurnosnim kopijama i arhivama ovdje se javlja i cijeli niz novih. Ako ste ove podatke ustupili nekome radi obrade, morate osigurati da ih i on obriše. Brisanje nečijih osobnih podataka iz baze vrlo će vjerojatno narušiti integritet baza podataka. Ako obrišete podatke o klijentu banke a sačuvate podatke o prometu, ovi se podaci neće imati s čime povezati, a takva je situacija u gotovo svakom slučaju. Kod dizajna arhitekture postojećih IT sustava o pravu na zaborav se nije vodilo računa pa ih većina podatak samo označi neaktivnim, ali ga i dalje zadržava. Kod GDPR-a, to nije dovoljno.
Pored svega, neke podatke morate zadržati temeljem druge primjenjive regulative. Nitko ne može doći u banku i zatražiti brisanje osobnih podataka zato što ne želi otplaćivati rate kredita, niti će tvrtka u kojoj se radili obrisati podatke o isplatama plaća. Pravo na zaborav se prvenstveno odnosi na podatke koje ste nekome dobrovoljno dali uz privolu za korištenje (npr. program vjernosti potrošača), a u ograničenoj mjeri i na podatke koje ste nekome dali radi pružanje usluge za koju ste sklopili ugovor (npr. pretplata za mobitel).
Dok se kod novih IT sustava ovakav funkcionalni zahtjev rješava arhitekturom koja to podržava, kod postojećih je sustava problem znatno veći.
Temu prava na zaborav smo do sada detaljno pretresli sa upravama IT-a desetak globalnih i lokalnih vodećih organizacija u sektorima telekomunikacija, farmaceutskoj industriji financija, državnoj upravi i energetici, te mnogobrojnim vendorima. Do sada nismo naišli na rješenje koje u potpunosti rješava ovaj problem, ali smo naišli na neka rješenja koja su se pokazala prilično zanimljivima. Sva se temelje na ideji zamjene osobnog podatka koji treba obrisati nekim drugim podatkom. Tehnički, radi se o enkripciji i pseudonimizaciji. Primjenom specifičnog enkripcijskog ključa za svaki osobni podatak, moguće je ispuniti pravo na zaborav bez stvarnog brisanja podatka. Umjesto toga, obriše se ključ.
Problem kod primjene enkripcije na postojeće IT sustave je u razlici u duljini i obliku između originalnog zapisa i ciphertexta, odnosno njegove kriptirane vrijednosti, zbog čega to jednostavno nije moguće upisati u postojeće baze, niti postojeće aplikacije mogu rukovati tim podacima. Lukavo rješenje ovog problema ponuđeno je u vidu FPA (format preserving encryption) tehnologije. Odluka o primjeni ovakvih tehnologija na postojećim bazama podataka ovisit će o rezultatima DPIA (Data Protection Impact Analysis) o čemu će više riječi biti u posebnoj lekciji na tu temu. U korist ovakvih rješenja svakako ide i činjenica da pored stvaranja preduvjeta za ostvarivanje prava na zaborav, ona enormno povećavaju sigurnost podataka u produkciji.
Pravo na portabilnost
Pravo pojedinca na portabilnost zahtijeva da se vlasniku osobnih podataka omogući njihov prijenos u elektroničkom obliku. Primjerice, ukoliko želite promijeniti dobavljača struje, od postojećeg dobavljača možete zatražiti izvoz svoje potrošnje za prethodne periode kako bi vam novi dobavljač mogao izračunati uštedu. Ovakva funkcionalnost uglavnom nije uvedena kod postojećih IT sustava jer jednostavno za njom nije bilo potrebe, a njeno je uvođenje s tehnološke strane relativno jednostavno. S organizacijske strane, to nije baš tako. Prvo pitanje koje se postavlja je što su to uopće osobni podaci kupca. Kojih je podataka vlasnik kupac, a kojih tvrtka? Treba li u podatke o potrošnji uključiti i tarifni model, razdvojiti tarife, prikazati opterećenja kroz vrijeme, uključuje li to i geolokaciju mjernog mjesta? Svaka organizacija ima svoje nedoumice koje prvo treba riješiti usuglašavanjem poslovnih stavova sa zahtjevima primjenjive pravne regulative. Tek nakon toga IT može pristupiti rješavanju zadatka i osposobiti sustav za izvoz podataka kako se traži. Regulativa kaže da podaci moraju biti izvezeni u opće prihvaćenom elektroničkom obliku. Ne razmišljajte puno. Neka to bude CSV. Naravno, IT će odmah postaviti i pitanje uvoza ovakvih datoteka koje vama donesu kupci drugih tvrtki jer, pogađate već, ne samo da će format njihovih datoteka biti drugačiji od formata vaših datoteka, već će one i sadržavati druge podatke. Kupci će se tada zapitati zašto im tvrtka A daje neke podatke, a tvrtka B ne. Onda će podnijeti prigovor za zaštitu svojih prava regulatoru pa će tvrtka A biti kažnjena. No isto će pitanje postaviti netko za tvrtku B i C, pa će B biti kažnjen. Ako se ovakvom praksom nanese šteta kupcu, on ima pravo na nadoknadu te štete, bez obzira da li je regulator nekoga kaznio.
Ovaj se problem rješava donošenjem kodeksa na razini industrija, struka i sl. Ovakvi bi kodeksi definirali specifičnosti vezane uz upravljanje osobnim podacima na razini pojedine industrije i omogućili standardizaciju formata za razmjenu podataka vezanih uz pravo na portabilnost. Kodekse odobrava regulator, pa ponašanje u skladu sa njihovim odredbama štiti organizaciju od kršenja prava na zaštitu osobnih podataka.
Upravljanje privolama
Privole za prikupljanje i obradu osobnih podataka su se do sada uglavnom prikupljale forme radi. To se sada značajno mijenja. Organizacije su dužne voditi registar privola, a IT sustavi moraju podatke koristiti na način za koji postoji osnova: zakonska osnova, potreba radi pružanja ugovorene usluge ili privola.
Rješenje za upravljanje privolama, postat će neizostavni dio svakog ozbiljnijeg IT sustava koji sadrži osobne podatke. Kvalitetna integracija ovakvog rješenja automatizirat će selekciju osobnih podataka za obrade u skladu sa danim privolama. Detaljne informacije i o tome kako dizajnirati dobru privolu, te kao tehnički osigurati njenu primjenu možete zatražiti ovdje.
Sigurnosni zahtjevi
Rijetko nas EU počasti regulativom čija je srž neupitno jasna iz same srži njenog naziva, a srž, naziva 'GDPR' su slova koja se nalaze u samoj sredini naziva: 'DP' - Data Protection. Zaštita podataka je prioritetni zadatak ove regulative. Bez obzira prikupljate li osobne podatke temeljem zakonske regulative, radi pružanja ugovorene usluge ili vam ih je vlasnik dobrovoljno ustupio, njegove podatke morate štititi. Morali ste to činiti i prema staroj regulativi, ali nitko nije provjeravao činite li to i kako, niti je imao adekvatne ovlasti da to čini. U svojoj 20 godišnjoj karijeri nisam sreo ni jednu tvrtku koja je zaštiti osobnih podataka poklanjala pažnju kakvu očekuje GDPR. Ovlasti i sposobnost regulatora se po tom pitanju značajno mijenjaju. Visina kazne sada direktno ovisi o adekvatnosti sigurnosnih kontrola koje je organizacija implementirala kako bi zaštitila osobne podatke.
Minimizacija i zaštita podataka
Znaj gdje su osobni podaci, zašto su tamo i riješi se svih kopija osobnih podataka koje ti stvarno nisu potrebne! Preostale zaštiti!
To je najvažnije pravilo i strategija kojom se treba voditi kod usklađivanja IT sustava sa zahtjevima GDPR-a.
Identificirajte koji bi osobne podatke mogli uopće imati. Što se prikuplja, zašto i temeljem čega? Kojim putem podaci ulaze u organizaciju, gdje se pohranjuju i obrađuju, te tko im i zašto pristupa? Ako raspolažete većom količinom osobnih podataka razmotrite nabavu tehničkog rješenja za identifikaciju osobnih podataka ili DLP rješenja sa takvom funkcionalnošću. Koliko god vi mislili da znate gdje se sve osobni podaci smucaju po vašem IT sustavu - ne znate. Svatko tko je implementirao alat za identifikaciju osobnih podataka na IT sustavu neugodno se iznenadio količinom podataka van kontrole.
Kad ste jednom identificirali osobne podatke, riješili se viška, ustanovili što su normalni, a što nenormalni tokovi osobnih podataka, spremni ste sa slijedeći korak. Ako ste podatke identificirali DLP rješenjem, taj će korak svakako biti podešavanje rješenja za zaštitu osobnih podataka i time ćete postići mnogo. Ako vam podaci ipak nekako procure iz organizacije, ili unutar nje padnu u ruke neovlaštene osobe, briga je puno manja ukoliko su kriptirani. Zapravo, enkripcija produkcijskih podataka će vas u slučaju krađe podataka u potpunosti obraniti od bilo kakve kazne. Dobro dizajnirana i implementirana kombinacija FPE (opisane u poglavlju Pravo na zaborav) i DLP rješenja rezultirat će vrlo visokom razinom sigurnosti osobnih (i svih ostalih povjerljivih) podataka.
Preduvjet za učinkovitu zaštitu osobnih podataka je kvalitetno upravljanje IT sustavom i pravima pristupa podacima. Loše prakse eksportiranja osobnih podataka u razne Excel tablice za potrebe 'priručnih analiza', developera koji imaju pristup produkcijskim sustavima, ili primjene kopija produkcijskih podataka za testiranje, jednostavno moraju nestati. Ukidanje ovih praksi bit će dugotrajno i bolno za ljude koji su navikli raditi na takav način. S druge strane, u tvrtkama koje njeguju prakse sigurnog razvoja ovakve su loše prakse naprosto nezamislive.
Primjena alata za anonimizaciju i maskiranje osobnih podataka značajno umanjuje rizike loših praksi u razvoju i testiranju, te rizike nesigurno napisanih aplikacija.
GRC
Svi smo svjesni nebrojenih regulatornih zahtjeva s kojima moramo uskladiti poslovanje i IT sustave. Banke su svjesne i snažne uloge regulatora u kontroli sukladnosti, a sve svjesnija postaju i osiguravajuća društva. GDRP dolazi sa svojim regulatorom koji kao i HNB i HANFA, raspolaže ovlaštenjima, mehanizmima i resursima za provedbu kontrola usklađenosti. Sve će više organizacija posegnuti za centraliziranim upravljanjem rizikom i sukladnošću. Alati koji ovo omogućavaju nazivaju se GRC (Governance Risk Compliance) alatima i potrebni su samo najvećim organizacijama sa vrlo kompleksnim kombinacijama regulatornih zahtjeva.
O njima će biti više govora u sljedećoj lekciji koja se fokusira na GDPR audit.
