Velike GDPR kazne (ipak) dolaze u Hrvatsku

Velike GDPR kazne (ipak) dolaze u Hrvatsku

Foto: Dražen Tomić / Tomich Productions

Uvjerene da su se uskladile sa GDPR, uprave hrvatskih tvrtki ubrzo će iznenaditi milijunske kazne. EU regulativa o zaštiti osobnih podataka savršeno je logična i od tvrtki ne traži ništa više od dužne pažnje prema osobnim podacima koji su im povjereni na obradu. Maksimalno pojednostavljeno, tvrtka ima tri zadatka:

  1. Osigurati postojanje pravne osnove za svaku obradu osobnih podataka koju provodi,
  2. Ispitanike (vlasnike) transparentno informirati o tome što rade s njihovim osobnim podacima,
  3. Pobrinuti se da su osobni podaci primjereno zaštićeni od gubitka, neovlaštenog pristupa i promjene.

Samim time, svakom građaninu trebalo bi biti jasno kako GDPR nije breme na leđima gospodarstva, nego inzistiranje na nečemu što bi se trebalo podrazumijevati – ostvarivanju ljudskih prava. Pravo na zaštitu osobnih podataka jamči se  Ustavom RH (čl.37.), a Poveljom EU o temeljnim pravima (čl.8.1), ono je definirano kao jedno od temeljnih ljudskih prava.

Uprave ne vjeruju

Po usvajanju GDPR-a, u svibnju 2016., organizacijama je ostavljen period za prilagodbu od dvije godine za uvođenje reda u upravljanje osobnim podacima. Nadzorna tijela širom EU, pa tako i AZOP u Hrvatskoj, debelo su zakazala u svom poslu educiranja javnosti. AZOP je povremeno organizirao edukacije na kojima su sudionici upoznati za sadržajem GDPR uredbe, ali na jedino pitanje koje ih je stvarno zanimalo, odgovora nije bilo. Hoće li AZOP stvarno naplaćivati tako velike kazne? Uprave tvrtki u Hrvatskoj (a ništa bolje nije bilo ni u npr. susjednoj Sloveniji) do kraja 2107. ili nisu znale ili nisu vjerovale da je zapostavljanju sigurnosti osobnih podataka došao kraj. Mnoge ne vjeruju ni sada. Dio ih je shvatio da nešto moraju poduzeti tek krajem 2017. – cca 6 mjeseci prije početka primjene GDPR-a u svibnju 2018. Tada je nastala prava panika jer gotovo nitko nije znao što zapravo treba učiniti.

Uskladili smo se! Što ne valja?!

U panici koja je nastala neposredno prije početka primjene, počinjene su brojne pogreške. Tvrtke su radi vlastitog neznanja i krivih savjeta novopečenih konzultanata i neiskusnih odvjetnika, radile greške i prekršaje ili bezrazložno ostajale bez dugo prikupljanih dragocjenih baza korisnika. U panici, inače jednostavni poslovni procesi postali su kompleksni, spori i skupi. Uobičajene razmjene i obrade podataka odjednom su postale problematične. I danas, godinu i pol kasnije, često se čuje da vam netko ne može dati, npr. poslovni kontakt radi GDPR-a. Prijava gosta koja je  u nekim hotelima trajala 2-3 minute sada traje 10 i više minuta radi nepotrebnog potpisivanja suglasnosti za obradu podataka. Državna uprava, shvativši da je izuzeta od kazni, nije napravila ništa osim sporadičnog trošenja novca na (uglavnom) nepotrebne nabave opreme i usluga. Desetljeća zanemarivanja informacijske sigurnosti i etičkog pristupa osobnim podacima ne može se ispraviti u svega nekoliko mjeseci, pa se posegnulo za mehanizmima pravne zaštite. Brže, bolje angažirani su odvjetnici koji su trebali spriječiti kažnjavanje. Napisana je više ili manje opsežna dokumentacija koja je trebala jamčiti usklađenost s GDPR-om. Imenovani su službenici za zaštitu podataka (DPO). Pa što onda nedostaje? Sve! Gotovo nitko nije učinio ništa što bi doprinijelo stvarnom povećanju razine zaštite osobnih podataka ili transparentnosti obrada koje nad njima provodi.

Prvo morate znati koje osobne podatke uopće imate

Pokušate li danas nekome u Hrvatskoj ponuditi uslugu usklađivanja sa GDPR-om, reći će vam da su oni to već davno napravili. Pokušate li naći organizaciju koja će svoju brigu o osobnim podacima klijenata iskoristiti kao marketinšku prednost, nećete naći nikoga. Zašto? Zato što se nitko ne želi isticati kako ne bi privukao pozornost AZOP-a ili zlonamjernih hakera koji bi njihovu usklađenost testirali na ovaj ili onaj način.

Prava je istina da organizacije uopće nemaju točnu informaciju niti o tome kojim osobnim podacima raspolažu, niti o tome gdje se oni sve nalaze.

Nije sve tako crno – ili je?

Nekolicina tvrtki je u svom navrat-nanos usklađivanju sa GDPR provela neku vrstu analize poslovnih procesa iz koje se moglo zaključiti koje osobne podatke obrađuju i zašto. Na temelju toga napravljena je i evidencija aktivnosti obrada – dokument koji je sveto pismo GDPR-a. Na temelju ovih evidencija ustanovljene su i zakonski prihvatljive osnove na temelju kojih se rade u njima navedene obrade, pa su čak (ali rjeđe) identificirane i mjere zaštite osobnih podataka). Ne izgleda loše.  Ipak, okrutna je istina da ove evidencije predstavljaju idealnu sliku obrada osobnih podataka kako si je to netko zamislio da izgleda. Stvarna slika nikada nije takva. Na gotovo svaku kopiju osobnog podatka koje je organizacija svjesna, u pravilu dolazi nekoliko kopija koje su potpuno van kontrole. Upravo su takve kopije osobnih podataka izvor najvećih rizika kršenja GDPR-a i nanošenja štete vlasnicima podataka. Ne možete implementirati mjere za zaštitu podataka čijeg postojanja uopće niste svjesni!

Ako laže koza, ne laže rog

Ako ne vjerujete autoru ovog članka, vjerujete li statistici do sada propisanih GDPR kazni? Sa kaznom od preko milijardu i pol kuna upravo se suočava British Airways. Razlog? Radi neadekvatnih mjera zaštite, kompromitirani su osobni podaci oko 500.000 putnika. Radi istog prekršaja, lancu hotela Marriott International Inc. prijeti plaćanje kazne veće od 800 milijuna kuna. Iako GDPR omogućava izuzeće tijela državne uprave od kažnjavanja, krađu praktički svih osobnih podataka, bugarsko nadzorno tijelo nije moglo oprostiti ni vlastitoj poreznoj upravi kojoj je pored obaveznih mjera povećanja sigurnosti razrezalo gotovo 20 milijuna kuna kazne. Objašnjenje razloga za propisivanje kazne je naravno, nedostatak adekvatnih mjera zaštite podataka. Isto se desilo i poljskoj internet trgovini koju je snašlo nešto manje od 5 milijuna kuna kazne, BSK bank (3,7 milijuna), nizozemskoj Bolnici Haga (3,4 milijuna), francuskoj agenciji za nekretnine SERGIC i bolnici u Portugalu (po 2,9 milijuna).  Na web stranicama GDPR enforcement trackera navedeno je preko 80 do sada izrečenih GDPR kazni.

Pet puta više kazni u 2019. nego u 2018. – iznosi i u stotinama milijuna eura

Uzevši u obzir prosječni broj mjesečno napisanih GDPR kazni, u 2019. se propisuje gotovo 5 puta više kazni nego u 2018. godini, a ovaj trend raste. Ne raste samo broj propisanih kazni nego i visina. Iznosi od 20 milijuna eura kojima su nas plašili prije početka primjene GDPR-a danas djeluju malima. Nastavi li se ovakav trend, za samo dvije godine u EU će se propisivati oko 150 GDPR kazni svakog mjeseca.

Nadajmo se da će organizacije koje obrađuju osobne podatke prije toga shvatiti da je došlo vrijeme ozbiljno se pozabaviti njihovom zaštitom i preokrenuti ovaj trend.

5 neizostavnih GDPR koraka

Nulti korak zaštite osobnih podataka jest imenovanje osobe koja će za ovaj posao biti zadužena. Neka to bude netko tko stvarno razumije vaše poslovne procese. Pobrinite se da se educira u području zaštite osobnih podataka. Neka prati stručna glasila iz ovog područja.

Korak broj 1 je identificirati osobne podatke. Ako ne znate koje podatke uopće imate ni gdje su, to je jasan znak da ne znate što radite s osobnim podacima, niti ih adekvatno štitite. Analiza poslovnih procesa je odličan ali ne i dovoljan put. Učinkovita identifikacija osobnih podataka bez primjene modernih tehničkih rješenja za skeniranje IT sustava danas jednostavno nije moguća.

Korak broj 2 je ustanoviti što s tim podacima radimo i temeljem čega, a sve osobne podatke za čije čuvanje nemamo pravnu osnovu potrebno je uništiti. U suprotnom, nepotrebno ste izloženi riziku curenja tih podataka.

Korak 3 je shvatiti procese obrada osobnih podataka i rizike kojima su oni izloženi, te implementirati odgovarajuće organizacijsko tehničke mjere. Ugledajte se na standarde poput ISO 27001. Ako nemate vlastite stručnjake za sigurnost informacijskih sustava, angažirajte vanjske. Razmotrite sve opcije, uključujući i potpune promjene poslovnih procesa ako ne možete dobiti zadovoljavajuće uvjerenje u sigurnost postojećih.

Korak 4 osigurajte transparentnost obrada. Jasno i pravovremeno komunicirajte informacije o obradama osobnih podataka koje provodite.

Korak 5 je uspostava procesa. Zaštita osobnih podataka mora postati integralni dio poslovnih procesa.

AZOP nema izbora – kazna se mora propisati!

Kako bi se osigurala dosljedna primjena GDPR-a u svim zemljama članicama, uspostavljen je mehanizam konzistentnosti koji se može, a vrlo vjerojatno i hoće, primjenjivati i kod izricanja upravnih novčanih kazni. Zašto tvrdim da hoće? Zato što je EU izdala smjernice za određivanje visine ovih kazni koje jednako vrijede za sve članice. Iako u Hrvatskoj nekim čudom još nemamo prvu žrtvu GDPR-a, to će se sasvim sigurno dogoditi vrlo brzo. EU nam praktički jamči konzistentnu primjenu Uredbe na cijelom teritoriju, pa tako i u RH. Neka se ne zavaravaju oni koji misle da će kazne u Hrvatskoj biti blaže. Takav bi pristup narušio konzistentnost primjene GDPR, a to se neće dogoditi.

Zato, svi vi koji mislite da su se vaše organizacije uskladile sa GDPR, razmislite još jednom. Znate li za svaku kopiju osobnog podataka u svakom mailu, dijeljenoj mapi ili bazi podataka unutar svoje organizacije? Imate li pravno prihvatljivu osnovu njihovog zadržavanja i obrade? Jesu li dobro zaštićeni?

Nemojte GDPR doživljavati kao breme, već kao poticaj da s osobnim podacima počnete rukovati onako kako ste uvijek trebali.

Još iz kategorije

Postavljen prvi semafor s horizontalnom signalizacijom za pješake zadubljene u ekran mobitela

Postavljen prvi semafor s horizontalnom signalizacijom za pješake zadubljene u ekran mobitela

14.10.2019. komentiraj

U Zagrebu u okviru kampanje Dan bez mobitela u prometu 2019. postavljen potpuno novi tip semafora koji svjetlo baca i prema pločniku, odnosno nogostupu tik ispred pješačkog prijelaza, kako bi crveno na semaforu vidjeli i oni pješaci i biciklisti koji upravo nailaze na raskrižje, ali su zadubljeni u ekrane svojih mobitela te uopće ne primjećuju da im je upaljeno crveno!

Milijuni dolara nagrada za pobjednike Fortnite turnira

Milijuni dolara nagrada za pobjednike Fortnite turnira

14.10.2019. komentiraj

Fortnite je osvojio ne samo gamin svijet, već i svijet kompetitivnih natjecanja, što se može vidjeti po turnirskim nagradama najboljim igračima te video igre. Primjerice, prvak Kyle Giersdorf (16) iz Pennsylvanije u Sjedinjenim Američkim Državama za osvajanje svjetskog kupa dobio je tri milijuna američkih dolara!

Rast deficita u tekućim transakcijama

Rast deficita u tekućim transakcijama

13.10.2019. komentiraj

U drugom je kvartalu ostvaren manjak u tekućim transakcijama RH s inozemstvom u iznosu od 512 milijuna eura, dva i pol puta viši nego u istom razdoblju prošle godine. Rast deficita tekućih transakcija posljedica je pogoršanja na deficitarnim podračunima (robe i primarni dohodak), koja su bila znatno viša od rasta suficita na suficitarnim podračunima (usluge i sekundarnu dohodak). Pritom je najznačajnije pogoršanje ostvareno u razmjeni roba s inozemstvom uslijed toga što je uvoz roba povećan čak deset puta više nego izvoz roba (uvoz je povećan za 547 milijuna eura, izvoz za samo 54 milijuna eura).