Menu
A+ A A-

Utjecaj GDPR-a na poslovanje u regiji i svijetu

Od 25. maja na snagu stupa GDPR, odnosno Opća uredba o zaštiti podataka Evropske unije, koja će drastično promijeniti odnos kompanija prema privatnim podacima na internetu. To je bio povod da razgovaramo s regionalnim stručnjacima, koji su nam dali svoje viđenje ove regulative i spremnosti firmi iz okruženja da joj se prilagode
Pišu: Senad Matić Karić i Vesna Matić Karić 
E-mail: Ova adresa el. pošte je zaštićena od spambotova. Omogućite JavaScript da biste je vidjeli.
 
"Podaci su nova nafta" – izjavio je Jonathan Taplin, direktor emeritus Annenberg laboratorija za inovacije na Univerzitetu u Južnoj Kaliforniji. I nije jedini stručnjak koji tako misli. Značaj velikih podataka nikada nije bio važniji, naročito ako se kombinuju s naprednom analitikom zasnovanom na vještačkoj inteligenciji i potencijalom koji donosi internet stvari. U vremenu u kojem podaci mogu potaknuti veliki rast kompanija, potrebno je imati odgovarajući skup pravila koji će ne samo regulisati upravljanje privatnim podacima u cilju zaštite privatnosti ljudi nego će pomoći i u zaštiti samih kompanija od cyber kriminalaca. Opća uredba o zaštiti podataka, odnosno GDPR, upravo je takav obavezujući skup pravila kojim se reguliše upravljanje i zaštita ličnih podataka na području Evropske unije, ali i van nje, ukoliko se upravlja podacima građana Evropske unije. Ovaj posljednji detalj jedan je od glavnih razloga zbog kojeg se proteklih mjeseci o GDPR-u sve više priča te se ubrzano organizuju konferencije i radionice o njegovoj implementaciji, budući da to znači da će se sve, pa i regionalne i prekookeanske kompanije koje sarađuju s evropskim firmama i pri tome upravljaju podacima građana Evropske unije morati prilagoditi regulativi te uvesti isti nivo sigurnosti za podatke.
 
Pojam ličnih podataka obuhvata bilo kakvu informaciju o pojedincu koja se može koristiti za direktno ili indirektno identifikovanje osobe, što uključuje sve od imena i fotografije, preko e-mail adresa, bankovnih podataka, postova na društvenim mrežama do zdravstvenih podataka i IP adrese računara. GDPR se odnosi ne samo na kompanije koje prikupljaju lične podatke i odlučuju o njihovoj upotrebi (u GDPR regulativi nazvane "kontrolori") nego i na kompanije koje procesiraju takve podatke za kontrolore. Drugim riječima, od regulative neće biti izuzeti ni cloud servisi.  
 
Ključni aspekti GDPR-a: sigurnost i privatnost po jednakim pravilima
GDPR je zamijenio raniju Direktivu o zaštiti podataka 95/46/EC iz 1995. godine, koja je iz očitih razloga zastarjela u vremenu u kojem dolazi do neizbježnog uspona IoT-a. Jedan od pokazatelja da je pravo vrijeme za promjene u upravljanju podacima i njihovom osiguravanju jeste i nedavni slučaj u kojem je Cambridge Analytica, britanska politička konsultantska kompanija, na neprimjeren i neovlašten način prikupila lične podatke 50 miliona korisnika Facebooka radi profiliranja glasača u svrhu osmišljavanja predsjedničke kampanje Donalda Trumpa. Pri tome je Facebook znao za to protekle tri godine, ali nije obavijestio javnost o tome. Osim spomenutog prekograničnog prilagođavanja regulativi, jedna od najčešće spominjanih praksi koje GDPR uvodi jeste i „princip ugrađene privatnosti“. To znači da se sistemi moraju od početka graditi sa zaštitom privatnosti, umjesto da im se to naknadno dodaje uz potencijalno neadekvatnu primjenu. Između ostalog, ovo podrazumijeva provođenje sveobuhvatne pseudonimizacije kao što je enkripcija te redakciju videa pri snimanju javnih površina i ograničavanje pristupa samo onim podacima koje treba obraditi.
 
"GDPR prvenstveno donosi bolju zaštitu građana i veću kontrolu nad obradom osobnih podataka. Postrožena pravila sama po sebi donose i uređen sustav te veću kontrolu i sigurnost u obradi. Novost je 'pravo na brisanje', poznato i kao 'pravo na zaborav' (engl. Right to be forgotten)", objašnjava stručnjakinja za zaštitu ličnih podataka, GDPR, informacijsku sigurnost i pametne tehnologije te šefica Katedre za ekonomske i finansijske znanosti na Pravnom fakultetu Sveučilišta u Splitu doc. dr. sc. Marija Boban. Načelo ovog prava je omogućiti pojedincima da zatraže brisanje ili uklanjanje ličnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. „Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google, koji svoje domene ima u svim državama EU (naprimjer Google.hr), brisati "linkove" sa svim instancama, što će predstavljati i trošak novca i vremena", dodaje Boban, napominjući da će to ipak rezultirati ključnom stvari koja Evropu najviše zanima – većom kontrolom koju će građani Evropske unije imati nad obradom svojih ličnih podataka.
 
Pravo na brisanje, prijenos, saglasnost
Tomislav Štefe, direktor prodaje u zagrebačkoj kompaniji za informatičku sigurnost Sagena informatički inžinjering, na slikovit način objašnjava značaj GDPR-a: "Važno je shvatiti da GDPR regulativa donosi najvažniju promjenu u zaštiti osobnih podataka u posljednjih 20 godina. Ponekad znam reći poslovnim partnerima na sastancima i prezentacijama da zamisle osobne podatke kao novčanice ili neke druge osobne dokumente. Kada bi, naprimjer, netko kopao po vašem novčaniku i tražio novac, to se smatra isključivo kažnjivim djelom. Isto tako, kada ubuduće netko bude pristupao vašim osobnim podacima, morat će se znati tko to smije raditi i na koji način. Ako to radi neovlašteno, platit će kaznu." Štefe dodaje da bi normalno bilo da "cijenimo i čuvamo podatke kao što je normalno da zaključamo vrata stana i prozore kuće. Sada se samo dogovaramo putem ove Uredbe da je to obavezno". Još jedan ključni novitet jeste pravo na prijenos podataka, pri čemu korisniku treba omogućiti da svoje lične podatke koji se mogu povezati s njim prenese iz jednog u drugi sistem za procesiranje podataka, sve dok to ne podrazumijeva kršenje intelektualnih prava. Ovo uključuje ne samo podatke koje je korisnik sam dao kompaniji nego i one o njegovom ponašanju, a podatke mora dobiti u nekom često korištenom i uobičajenom elektronskom formatu. 
 
Stručnjakinja za IT i telekomunikacijske sisteme dr. Sabina Baraković napominje da će prijenos ličnih podataka građana Evropske unije biti omogućen jedino u slučaju da su svi sigurnosni uslovi zadovoljeni. "Prilikom prenosa podataka u zemlje za koje Evropska unija nije dala odobrenje kompanije moraju tražiti specijalnu pravnu saglasnost. Kompanije koje obrađuju lične podatke u ime drugih također će imati direktne obaveze i odgovornost, te se mogu smatrati odgovornim za zloupotrebu podataka. Iz tog razloga morat će s kompanijama koje prikupljaju podatke jasno definisati uslove obrade ličnih podataka, te održavati sigurnost podataka kroz odgovarajuće tehničke i organizacijske mjere", kaže Baraković.
 
Saglasnost za korištenje podataka i pravo na informisanost o svrsi i lokaciji procesiranja podataka područja su koja GDPR dodatno definiše, budući da kompanije neće više moći tražiti pristanak za korištenje podataka kroz duge dokumente pune pravne terminologije. Umjesto toga, saglasnost mora biti jasna, razumljivo napisana i odvojena od drugih aspekata korištenja softvera i računarskih usluga. Također je treba biti moguće lako povući. Na sličan način funkcioniše i pravo na informisanost – kompanija mora korisniku besplatno isporučiti kopiju ličnih podataka u elektronskom formatu i obavijestiti ga o tome da li i kako se njegovi podaci obrađuju.
 
Zatim imamo DPO-a, odnosno službenika za zaštitu podataka. Kompanije će, ovisno o vrsti i obimu u kojem upravljaju osjetljivim ličnim podacima, morati angažovati DPO-a. Bitno je spomenuti da se ovo može odnositi i na male firme, bez obzira na to što se u ranijim fazama definisanja GDPR-a upošljavanje službenika za zaštitu podataka odnosilo samo na kompanije sa više od 250 zaposlenika. U principu, DPO će biti potreban firmama koje u velikom obimu sistematski i regularno nadgledaju lične podatke, kao i onima koje procesiraju bilo koju kategoriju ličnih podataka, uključujući i one koji otkrivaju etničko porijeklo te političku i religijsku opredijeljenost, kao i lične podatke koji se odnose na krivične presude i prestupe.
 
I na kraju, blagovremeno prijavljivanje sigurnosnih incidenata podrazumijeva da se cyber sigurnosni incidenti koji predstavljaju rizik za pojedince moraju brzo prijaviti bez nepotrebnog odugovlačenja. „Tačnije, kompanije moraju informisati odgovarajuća nadležna tijela o curenju podataka najkasnije 72 sata od otkrivanja", naglašava Baraković. Obavezujuću prirodu GDPR-a prate vrlo visoke kazne u slučaju nepridržavanja njegovih stavki. Maksimalna kazna za ozbiljne propuste kao što su odsustvo odgovarajuće saglasnosti korisnika za procesiranje njegovih podataka ili nedovoljna zaštita privatnosti iznosi 4% globalnih godišnjih prihoda ili 20 miliona eura, šta god bude veće. Za druge prestupe poput neblagovremenog obavještavanja o hakerskom napadu koji je ugrozio lične podatke – kompanije mogu biti kažnjene iznosom od 2% prihoda.
 
Više o ovoj temi čitajte u printamom izdanju...
 

     

Global Security d.o.o.
Safeta Zajke 115c, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifi kacioni broj: 4201142740001
www.asadria.com
ISSN 1986-5

  

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.

Magazin a&s Adria je mjesečna publikacija iz oblasti sigurnosti i zaštite čiji je primarni cilj da informiše, educira i poveže sigurnosno tržište u Adriatic regiji. Magazin nastoji biti graditelj i poveznica između proizvođača i krajnjih korisnika u čijem lancu su neizostavni sistem-integratori i instalaterske kompanije kao ponuđači usluga. Zahvaljujući jasnoj viziji razvoja koja prepoznaje potrebe tržišta, a&s Adria se etablirala kao pouzdan izvor informacija i kao takva je prepoznata od strane čitalaca još od samih početaka 2006. godine.