Uvjerene da su se uskladile sa GDPR, uprave hrvatskih tvrtki ubrzo će iznenaditi milijunske kazne. EU regulativa o zaštiti osobnih podataka savršeno je logična i od tvrtki ne traži ništa više od dužne pažnje prema osobnim podacima koji su im povjereni na obradu. Maksimalno pojednostavljeno, tvrtka ima tri zadatka:
Samim time, svakom građaninu trebalo bi biti jasno kako GDPR nije breme na leđima gospodarstva, nego inzistiranje na nečemu što bi se trebalo podrazumijevati - ostvarivanju ljudskih prava. Pravo na zaštitu osobnih podataka jamči se Ustavom RH (čl.37.), a Poveljom EU o temeljnim pravima (čl.8.1), ono je definirano kao jedno od temeljnih ljudskih prava.
Po usvajanju GDPR-a, u svibnju 2016., organizacijama je ostavljen period za prilagodbu od dvije godine za uvođenje reda u upravljanje osobnim podacima. Nadzorna tijela širom EU, pa tako i AZOP u Hrvatskoj, debelo su zakazala u svom poslu educiranja javnosti. AZOP je povremeno organizirao edukacije na kojima su sudionici upoznati za sadržajem GDPR uredbe, ali na jedino pitanje koje ih je stvarno zanimalo, odgovora nije bilo. Hoće li AZOP stvarno naplaćivati tako velike kazne? Uprave tvrtki u Hrvatskoj (a ništa bolje nije bilo ni u npr. susjednoj Sloveniji) do kraja 2107. ili nisu znale ili nisu vjerovale da je zapostavljanju sigurnosti osobnih podataka došao kraj. Mnoge ne vjeruju ni sada. Dio ih je shvatio da nešto moraju poduzeti tek krajem 2017. - cca 6 mjeseci prije početka primjene GDPR-a u svibnju 2018. Tada je nastala prava panika jer gotovo nitko nije znao što zapravo treba učiniti.
U panici koja je nastala neposredno prije početka primjene, počinjene su brojne pogreške. Tvrtke su radi vlastitog neznanja i krivih savjeta novopečenih konzultanata i neiskusnih odvjetnika, radile greške i prekršaje ili bezrazložno ostajale bez dugo prikupljanih dragocjenih baza korisnika. U panici, inače jednostavni poslovni procesi postali su kompleksni, spori i skupi. Uobičajene razmjene i obrade podataka odjednom su postale problematične. I danas, godinu i pol kasnije, često se čuje da vam netko ne može dati, npr. poslovni kontakt radi GDPR-a. Prijava gosta koja je u nekim hotelima trajala 2-3 minute sada traje 10 i više minuta radi nepotrebnog potpisivanja suglasnosti za obradu podataka. Državna uprava, shvativši da je izuzeta od kazni, nije napravila ništa osim sporadičnog trošenja novca na (uglavnom) nepotrebne nabave opreme i usluga. Desetljeća zanemarivanja informacijske sigurnosti i etičkog pristupa osobnim podacima ne može se ispraviti u svega nekoliko mjeseci, pa se posegnulo za mehanizmima pravne zaštite. Brže, bolje angažirani su odvjetnici koji su trebali spriječiti kažnjavanje. Napisana je više ili manje opsežna dokumentacija koja je trebala jamčiti usklađenost s GDPR-om. Imenovani su službenici za zaštitu podataka (DPO). Pa što onda nedostaje? Sve! Gotovo nitko nije učinio ništa što bi doprinijelo stvarnom povećanju razine zaštite osobnih podataka ili transparentnosti obrada koje nad njima provodi.
Pokušate li danas nekome u Hrvatskoj ponuditi uslugu usklađivanja sa GDPR-om, reći će vam da su oni to već davno napravili. Pokušate li naći organizaciju koja će svoju brigu o osobnim podacima klijenata iskoristiti kao marketinšku prednost, nećete naći nikoga. Zašto? Zato što se nitko ne želi isticati kako ne bi privukao pozornost AZOP-a ili zlonamjernih hakera koji bi njihovu usklađenost testirali na ovaj ili onaj način.
Prava je istina da organizacije uopće nemaju točnu informaciju niti o tome kojim osobnim podacima raspolažu, niti o tome gdje se oni sve nalaze.
Nekolicina tvrtki je u svom navrat-nanos usklađivanju sa GDPR provela neku vrstu analize poslovnih procesa iz koje se moglo zaključiti koje osobne podatke obrađuju i zašto. Na temelju toga napravljena je i evidencija aktivnosti obrada - dokument koji je sveto pismo GDPR-a. Na temelju ovih evidencija ustanovljene su i zakonski prihvatljive osnove na temelju kojih se rade u njima navedene obrade, pa su čak (ali rjeđe) identificirane i mjere zaštite osobnih podataka). Ne izgleda loše. Ipak, okrutna je istina da ove evidencije predstavljaju idealnu sliku obrada osobnih podataka kako si je to netko zamislio da izgleda. Stvarna slika nikada nije takva. Na gotovo svaku kopiju osobnog podatka koje je organizacija svjesna, u pravilu dolazi nekoliko kopija koje su potpuno van kontrole. Upravo su takve kopije osobnih podataka izvor najvećih rizika kršenja GDPR-a i nanošenja štete vlasnicima podataka. Ne možete implementirati mjere za zaštitu podataka čijeg postojanja uopće niste svjesni!
Ako ne vjerujete autoru ovog članka, vjerujete li statistici do sada propisanih GDPR kazni? Sa kaznom od preko milijardu i pol kuna upravo se suočava British Airways. Razlog? Radi neadekvatnih mjera zaštite, kompromitirani su osobni podaci oko 500.000 putnika. Radi istog prekršaja, lancu hotela Marriott International Inc. prijeti plaćanje kazne veće od 800 milijuna kuna. Iako GDPR omogućava izuzeće tijela državne uprave od kažnjavanja, krađu praktički svih osobnih podataka, bugarsko nadzorno tijelo nije moglo oprostiti ni vlastitoj poreznoj upravi kojoj je pored obaveznih mjera povećanja sigurnosti razrezalo gotovo 20 milijuna kuna kazne. Objašnjenje razloga za propisivanje kazne je naravno, nedostatak adekvatnih mjera zaštite podataka. Isto se desilo i poljskoj internet trgovini koju je snašlo nešto manje od 5 milijuna kuna kazne, BSK bank (3,7 milijuna), nizozemskoj Bolnici Haga (3,4 milijuna), francuskoj agenciji za nekretnine SERGIC i bolnici u Portugalu (po 2,9 milijuna). Na web stranicama GDPR enforcement trackera navedeno je preko 80 do sada izrečenih GDPR kazni.
Uzevši u obzir prosječni broj mjesečno napisanih GDPR kazni, u 2019. se propisuje gotovo 5 puta više kazni nego u 2018. godini, a ovaj trend raste. Ne raste samo broj propisanih kazni nego i visina. Iznosi od 20 milijuna eura kojima su nas plašili prije početka primjene GDPR-a danas djeluju malima. Nastavi li se ovakav trend, za samo dvije godine u EU će se propisivati oko 150 GDPR kazni svakog mjeseca.
Nadajmo se da će organizacije koje obrađuju osobne podatke prije toga shvatiti da je došlo vrijeme ozbiljno se pozabaviti njihovom zaštitom i preokrenuti ovaj trend.
Nulti korak zaštite osobnih podataka jest imenovanje osobe koja će za ovaj posao biti zadužena. Neka to bude netko tko stvarno razumije vaše poslovne procese. Pobrinite se da se educira u području zaštite osobnih podataka. Neka prati stručna glasila iz ovog područja.
Korak broj 1 je identificirati osobne podatke. Ako ne znate koje podatke uopće imate ni gdje su, to je jasan znak da ne znate što radite s osobnim podacima, niti ih adekvatno štitite. Analiza poslovnih procesa je odličan ali ne i dovoljan put. Učinkovita identifikacija osobnih podataka bez primjene modernih tehničkih rješenja za skeniranje IT sustava danas jednostavno nije moguća.
Korak broj 2 je ustanoviti što s tim podacima radimo i temeljem čega, a sve osobne podatke za čije čuvanje nemamo pravnu osnovu potrebno je uništiti. U suprotnom, nepotrebno ste izloženi riziku curenja tih podataka.
Korak 3 je shvatiti procese obrada osobnih podataka i rizike kojima su oni izloženi, te implementirati odgovarajuće organizacijsko tehničke mjere. Ugledajte se na standarde poput ISO 27001. Ako nemate vlastite stručnjake za sigurnost informacijskih sustava, angažirajte vanjske. Razmotrite sve opcije, uključujući i potpune promjene poslovnih procesa ako ne možete dobiti zadovoljavajuće uvjerenje u sigurnost postojećih.
Korak 4 osigurajte transparentnost obrada. Jasno i pravovremeno komunicirajte informacije o obradama osobnih podataka koje provodite.
Korak 5 je uspostava procesa. Zaštita osobnih podataka mora postati integralni dio poslovnih procesa.
Kako bi se osigurala dosljedna primjena GDPR-a u svim zemljama članicama, uspostavljen je mehanizam konzistentnosti koji se može, a vrlo vjerojatno i hoće, primjenjivati i kod izricanja upravnih novčanih kazni. Zašto tvrdim da hoće? Zato što je EU izdala smjernice za određivanje visine ovih kazni koje jednako vrijede za sve članice. Iako u Hrvatskoj nekim čudom još nemamo prvu žrtvu GDPR-a, to će se sasvim sigurno dogoditi vrlo brzo. EU nam praktički jamči konzistentnu primjenu Uredbe na cijelom teritoriju, pa tako i u RH. Neka se ne zavaravaju oni koji misle da će kazne u Hrvatskoj biti blaže. Takav bi pristup narušio konzistentnost primjene GDPR, a to se neće dogoditi.
Zato, svi vi koji mislite da su se vaše organizacije uskladile sa GDPR, razmislite još jednom. Znate li za svaku kopiju osobnog podataka u svakom mailu, dijeljenoj mapi ili bazi podataka unutar svoje organizacije? Imate li pravno prihvatljivu osnovu njihovog zadržavanja i obrade? Jesu li dobro zaštićeni?
Nemojte GDPR doživljavati kao breme, već kao poticaj da s osobnim podacima počnete rukovati onako kako ste uvijek trebali.
Konferencija Dani e-infrastrukture Srce DEI 2024 održana je 16., 18. i 19. travnja u organizaciji Sveučilišnog računskog centra Sveučilišta u Zagrebu (Srca) i u suradnji sa Sveučilištem u Zagrebu.
Američko ministarstvo trgovine planira dati Samsungu do 4,6 milijardi dolara za proširenje njegovih proizvodnih kapaciteta poluvodiča. Cilj je smanjiti ovisnost o inozemnim čipovima.
Tehnološki rat između Kine i SAD-a nastavlja se zabranama. Kineski dužnosnici naredili su operaterima da uklone strane čipove iz svojih mreža do 2027. To je očiti udarac i za Intel i za AMD.
