GDPR je akronim od punog naziva ‘General Data Protection Regulation’ ili u prijevodu ‘Opća uredba o zaštiti podataka’. Predstavlja uredbu EU koja je donesena s namjerom i ciljem da se uskladi regulativa u području upravljanja osobnim informacijama i drugim podacima koji su vezani uz pojedince na razini cijele Europske unije i njezinih država članica. U tom smislu se zahtijeva veći uvid u to gdje se i kako osobni podaci koriste (uključujući npr. podatke o kreditnim karticama, financijskom stanju i podatke o zdravlju), kako se spremaju i prenose, te kako je uređen pristup tim podacima, odnosno kako organizacije nadgledaju tko ima uvid u osobne podatke korisnika.

kvalis gdprGDPR je službeno donesen 27. travnja 2016., a stupa na snagu 25. svibnja 2018 [1]. Uredba GPDR nama utjecaj samo na tvrtke koje posluju u EU, već i na sve tvrtke u svijetu koje svoje proizvode i usluge nude građanima EU, ili koje pak na bilo koji način prate navike građana Europske unije.

GPDR Uredba nije prvi pokušaj unutar EU usmjeren na uređenje privatnosti podataka. Ovom Uredbom iz 2016 godine se zamjenjuje Uredba „Data Protection Directive 95/46/EC“ iz 1995. godine [2]. GDPR regulativa je razvijena s ciljem osnaživanja i usklađivanja prava na privatnost i zaštitu osobnih podataka na Internetu unutar Europske unije te obaveza zaštite podataka za poduzeća koja posluju s građanima Europske unije putem jedinstvene regulative koja zamjenjuje 28 zasebnih nacionalnih zakona.

GDPR i istraživanje vezano za primjenu

Vodeća tvrtka na području upravljanja podacima Veritas Technologies LLC, naručila je globalno istraživanje širom svijeta vezano za primjenu GDPR [3]. Rezultati tog istraživanja pokazuju da su glavni uzroci strahova u tvrtkama vezano za fiksirani rok primjene Uredbe:

  • Visoke kazne mogu utjecati na smanjenje zapošljavanja radne snage (21%)
  • Negativni napisi u medijima ili društvena pokrivenost mogli bi uzrokovati gubitak korisnika (19%)
  • Visoke kazne bi mogle izazvati napuštanje poslovanja (18%)
  • Negativni mediji ili društvena pokrivenost mogu uzrokovati smanjenje vrijednosti ugleda – branda (12%)
  • Potencijalne tužbe za dioničare ako postoji značajnu povreda podataka (8%)
  • Gubitak tržišnog udjela jer će izgledati da naši konkurenti imaju bolje upravljanje podacima od nas (8%)
  • Nema zabrinutosti jer ćemo biti u skladu s GDPR (7%)
  • Nema sumnji u potencijalni pad koji nije u skladu s GDPR (4%)
  • Ne znamo (2%)

Istraživanje koje je provedeno na 900 tvrtki pokazuje dvije stvari: ispitanici imaju dovoljno informiranosti i shvaćaju značaj Uredbe i svjesni su potencijalno vrlo ozbiljnih posljedica za poslovanje u slučaju ne poštivanja iste.

Na pitanje: „Što vas najviše brine o spremnosti tvrtke za primjenu GDPR?“, 900 ispitanika je dalo pet glavnih problema:

  1. Nema načina da odredimo koje podatke trebamo spremiti ili izbrisati na temelju njihove vrijednosti (42%)
  2. Brisanje podataka iz naših sustava koji bi se možda pokazali korisni u budućnosti (39%)
  3. Nemogućnost preciznog prepoznavanja, lociranja i upravljanja osobnim podacima tijekom internog pretraživanja (39%)
  4. Ne posjedovanje pravog alata na lokaciji za nadzor podataka u realnom vremenu (32%)
  5. Nisu spremni zaštititi osobne podatke od kompromitacije, gubitka ili oštećenja (30%).

Vjerojatno se u rezultatima ovih istraživanja mogu prepoznati manje-više svi na temelju i površne samo-ocjene.

Sankcije vezane za izbjegavanje zaštite podataka prema Uredbi

O kaznama za prekršaj odredbi GDPR regulative govori 4. stavak Članka 83. o općim uvjetima prekršajnih kazni:

4.  Prekršaj sljedećih odredbi će u skladu s paragrafom 2 biti podložan administrativnoj kazni u iznosu do 10.000.000,00 eura ili, ukoliko je taj iznos veći, do 2% ukupnih globalnih prihoda u protekloj financijskoj godini u slučaju kada se radi o poduzeću:

  1. Obaveze kontrolora i procesora prema Člancima 8, 11, 25-39, 42. i 43, koji predstavljaju pravila obavještavanja o povredi sigurnosti

Članak 33. i Članak 34. te 5. stavak Članka 83. navode:

5. Prekršaj sljedećih odredbi će u skladu s paragrafom 2 biti podložan administrativnoj kazni u iznosu do 10.000.000,00 eura ili, ukoliko je taj iznos veći, do 2% ukupnih globalnih prihoda u protekloj financijskoj godini u slučaju kada se radi o poduzeću:

  1. Osnovni principi obrade, uključujući uvjete za pristanak, u skladu s Člancima 5, 6 7 i 9;

Članak 5. objašnjava principe obrade osobnih podataka:

1. Osobni podaci će biti:

f. Obrađeni na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te slučajnog gubitka, uništenja ili oštećenja, uz primjenu odgovarajućih tehničkih ili organizacijskih mjera (‘integritet i povjerljivost’).

Neke od zemalja članica su već počele raditi na usklađivanju s GDPR regulativom. Na primjer, Nizozemska je u svibnju 2015. godine izmijenila Zakon o zaštiti podataka, čime je njen režim zaštite podataka postao jednim od najstrožih u Europi.

Izmjene koje donosi Uredba

Ključne izmjene koje stupaju na snagu s uvođenjem GDPR uredbe se sastoje u sljedećem [4]:

  • Pravo na obavijest u slučaju neovlaštenog pristupa osobnim podacima: tvrtke i institucije moraju obavijestiti nacionalno nadzorno tijelo o neovlaštenim pristupima osobnim podacima koji mogu ugroziti privatnost pojedinaca te obavijestiti vlasnika podataka o svim povredama sigurnosti podataka kako bi mogli poduzeti odgovarajuće mjere.
  • Stroža primjena pravila: državna tijela ovlaštena za zaštitu podataka će imati ovlasti za izricanje kazni tvrtkama čije poslovanje nije usklađeno s GDPR regulativom do visine od 4% njihovih globalnih prihoda. Visina administrativne kazne nije propisana zakonom te se o njoj odlučuje zasebno u svakom slučaju. Kazne moraju biti efikasne, proporcionalne težini prekršaja te imati preventivni efekt.
  • Jedan kontinent, jedan zakon: jedinstveni europski zakon za zaštitu podataka mijenja postojeće zasebne nacionalne zakone. Poduzeća se usklađuju s jednim zakonom umjesto s 28 različitih regulativa. Uštede za poduzeća se procjenjuju na otprilike 2,3 milijarde eura godišnje.
  • Organizacije moraju obavijestiti nadležna državna tijela o ozbiljnoj povredi sigurnosti podataka u najkraćem mogućem roku (unutar 24 sata, ukoliko je to moguće).
  • Pravila Europske unije se primjenjuju i u slučajevima kada tvrtke koje su aktivne na europskom tržištu te prodaju svoje proizvode i usluge ili prate ponašanje pojedinaca u Europskoj uniji obrađuju podatke izvan granica Europske unije.
  • Uzimanje zaštite podataka u obzir prilikom dizajna: ‘zaštita podataka u dizajnu’ te ‘standardna zaštita podataka’ sada predstavljaju osnovne principe zaštite podataka u Europskoj uniji. Mehanizmi za zaštitu podataka moraju biti ugrađeni u proizvode i usluge u najranijoj fazi razvoja, a zaštita podataka se iz dobre poslovne prakse pretvara u standard.

Osnaživanjem regulative za zaštitu podataka, Europska unija obavezuje poduzeća i institucije da na odgovarajući način zaštite osjetljive privatne podatke, na primjer: “…bilo koje podatke koji se odnose na određenu ili odredivu privatnu osobu, u daljnjem tekstu ‘vlasnika podataka’; odrediva osoba je osoba koju je moguće identificirati, direktno ili indirektno, prema nekom identifikacijskom broju ili jednom ili više faktora tipičnih za njen fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet;” [5].

Ova široka definicija osobnih podataka pokriva i najjednostavnije zapise koji se makar indirektno odnose na kupce, klijente, osoblje, učenike ili bilo koje druge podatke koji se odnose na privatne osobe.

Uredba u zaštita podataka

Članak 32. o sigurnosti obrade podataka kaže [1]:

  1. Uzimajući u obzir stupanj razvoja, troškove uvođenja i prirodu, opseg, kontekst i namjenu obrade podataka, kao i rizike razne razine i vjerojatnosti za prava i slobode privatnih osoba, kontrolor i procesor će uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku, uključujući između ostalog i sljedeće mjere:
  1. Unošenje pseudo-podataka i enkripciju osobnih podataka;
  2. Osiguravanje stalne povjerljivosti, integriteta, dostupnosti i stabilnosti sustava i servisa koji obavljaju obradu podataka;
  3. Mogućnost brzog uspostavljanja ponovne dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta;
  4. Plan redovitog testiranja, ocjenjivanja i procjene efikasnosti tehničkih i organizacijskih mjera za sigurnost obrade.

Enkripcija predstavlja najjednostavniji i najefikasniji način osiguravanja podataka u skladu sa zahtjevima Članka 32. GDPR regulative. Ova tehnologija je široko rasprostranjeni način zaštite informacija koje su izložene riziku od krađe ili gubitka.

GDPR regulativa također zahtijeva postojanje efikasnog plana povrata podataka i lozinki te ključnih sistema za upravljanje u slučaju incidenta.

Članak 30. regulative zahtjeva postojanje pismene evidencije, zajedno s opisom poduzetih tehničkih i organizacijskih mjera, u skladu s Člankom 32, što znači da institucije moraju biti u stanju dokazati da su sistemi sigurni te da se šifrirani podaci mogu vratiti u slučaju tehničkog incidenta.

To su samo neki od niza elemenata vezanih za sustavni pristup zaštiti podataka kako ih prikazuje Uredba.

Neki od mitova

Otkad je objavljena GPRD uredba pojavili su se i neki mitovi koje nemaju nikakvo utemeljenje u tekstu Uredbe. Obično se susreću slijedeći mitovi:

  1. Moja tvrtka je u rangu mikro, male i srednje, te stoga ne podliježem GDPR regulativi – NETOČNO
  2. GDPR je pitanje IT sigurnosti – imamo robusnu IT sigurnost i enkripciju podataka i bit ćemo GDPR sukladni – NETOČNO
  3. Čuli smo da su kazne značajne, ali inspekcije ipak neće kažnjavati baš svaki propust – NETOČNO
  4. Imamo kupce iz EU, ali je naš biznis lociran izvan EU, pa se GDPR ne odnosi na nas – NETOČNO
  5. GDPR stupa na snagu svibnja 2018. – imamo dovoljno vremena – NETOČNO
  6. Mi samo obrađujemo podatke. GDPR (i velike kazne) odnose se samo na organizacije koje prikupljaju osobne podatke – NETOČNO
  7. GDPR je problem IT-a i Pravne službe. NETOČNOGDPR zahvaća sve dijelove organizacije i sve zaposlenike

Zaključak

Opća uredba o zaštiti podataka je u svakom slučaju dobro došao dokument. On bi trebao svojom dosljednom primjenom podići ljestvicu zaštite osobnih podataka u cilju smanjenja šansi njihove kompromitacije, uništenja, zloporabe, itd. Primjena Uredbe i osiguranje ispunjenja njenih zahtjeva potiče se strogim sankcijama prema neispunjenu ili nepravilnom odnosu prema njima. Te sankcije mogu biti toliko velike da bi mogle dovesti do uništenja tvrtke. Zato se kod kontakata s raznim  tvrtkama uočava uznemirenost o mogućnosti zadovoljenja zahtjeva Uredbe, posebno što je krajnji rok vrlo kratak (za većinu).

U okviru ovog bloga ću objaviti seriju napisa kojima će se detaljnije obraditi problematika implementacije Uredbe i savjeti najbolje prakse.

 

 

Literatura:

  1. Regulation (EU) 2016/679 of the European Parliament, http://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. Directive 95/46/Ec Of The European Parliament And Of The Council, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
  3. Veritas Study: Organizations Worldwide Fear Non-compliance with New European Union Data Regulation Could Put Them Out of Business. https://www.veritas.com/news-releases/2017-04-25-veritas-study-organizations-worldwide-fear-non-compliance-with-new-european-union-data-regulation-could-put-them-out-of-business
  4. Questions and Answers – Data protection reform, http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
  5. Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000, http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32001R0045&from=EN
  6. Vodič za EU regulativu u području zaštite podataka, ESET

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest