Zakon o zaštiti osobnih podataka (GDPR)

Autor: Mladen Kovaček

Je li nova regulativa EU o zaštititi osobnih podataka pretjerana reakcija i rezultat potrebe da sve (pre)regulira,  ili odraz potrebe da se spriječe zloupotrebe podataka? Koliko smo mi kao korisnici digitalne tehnologije osviješteni o podacima koje o sebi ostavljamo? O tome je napisano već jako mnogo i odgovor je jasan: u velikoj većini – NISMO!

Očito je postojala potrebe da se pohranjivanje i skladištenje podataka koji se skupljaju na neki način regulira. Na taj način EU želi spriječiti da velike tehnološke korporacije koje su uglavnom iz SAD-a, a sve više i Kine, zloupotrebljavaju podatke EU građana. Osim toga podaci će biti i zaštićeniji od hakera.

Photo: matillion.com

GDPR Zakon stupa na snagu 25.05.2018. i potpuno će promijeniti način rada organizacija diljem Europe u pogledu tretiranja internetske sigurnosti i odgovornosti za zaštitu podataka. Konačno, postoje ogromne novčane kazne za prekršaj zakona. Postoje različiti pragovi za novčane kazne, što može biti do 4% globalnog godišnjeg prometa za najteže povrede podataka. To znači da regulatori imaju obvezno pravo ući u privatne organizacije i nadzirati ih.

Regulativa se odnosi i na sve zemlje izvan EU koje koriste podatke europskih građana ili im prodaju robu ili usluge. Poruka je jasna – ako imaš koristi od EU tržišta, moraš poštovati njezina pravila. Pravilo se odnosi na sve tvrtke koje čuvaju i obrađuju podatke.

Pitanje je da li se u regulaciji pretjeralo i tko će platiti cijenu te zaštite? Kako bi zaštita podataka bila djelotvorna, regulacija je morala ići dosta široko. Dakle, regulativa se odnosi i na manje tvrtke. S druge strane, potpuna pa čak i djelomična primjena regulative nije jeftina. Prvo je potrebno napraviti internu analizu procesa i propisati mjere koje je potrebno poduzeti kako bi se udovoljilo regulativi.

Za to su često potrebni vanjski konzultanti i specijalizirani pravnici. Nakon toga je potrebno prilagoditi procese i gotovo uvijek nabaviti softverska rješenja koja će omogućiti traženu sigurnost. Dodatni indirektni trošak je što procesi reguliraju tko će imati pristup podacima, dakle onemogućava da svi u tvrtki brzo i bez ograda imaju pristup osobnim podacima. To u industrijama koje svakodnevno barataju velikim količinama osobnih podataka može biti veliki problem.

Photo: cbsit.co.uk

Koje su industrije najviše zahvaćene ovom regulativom?

Neke od najpogođenijih industrija su bankarstvo, zdravstvo, marketing i turizam. Budući da danas sve industrije imaju jake marketinške odjele naravno da su pogođeni svi, ali za ove četiri industrije možemo reći da su dodatno pod povećalom regulative.

Bankarska industrija je zbog velike potrebe za sigurnošću i svojih internih regulativa puno spremnija za novo zakonodavstvo nego ostali. Vrlo vjerovatno će morati samo dodatno uskladiti procese koje već imaju i dodatno ih normirati.

Ostale nabrojane industrije će morati uložiti popriličan napor da usklade ili formiraju nove procedure i procese kako bi bili sigurni od kazni koje su drastične. Osim toga, turističkoj ali i marketinškoj industriji nova regulativa bi mogla stvoriti poprilične probleme u svakodnevnom funkcioniranju.

Ovisno o veličini kompanije i količine podataka koje kompanije posjeduju, potrebno je imenovati nadležnu osobu (DPO-data protection officer). DPO će moći djelovati isključivo po instrukcijama kompanije koje je za podatke odgovorna te će morati imati odgovarajuća (najčešće procesna i IT) rješenja koja garantiraju provedbu regulative. DPO mora imati osiguranu komunikaciju s najvišim nivoima managementa. Cilj je osigurati da je zaštita podataka na dnevnom redu upravnog odbora kompanija.

Bit će potrebno poduzeti odgovarajuće mjere da se dokaže poštivanje propisa.

Te mjere obuhvaćaju:

  1. usvajanje detaljne obrade zapisa podataka
  2. provedbu odgovarajućih sigurnosnih mjera
  3. zaštitu privatnosti
  4. obvezu imenovanja službenika za zaštitu podataka (DPO)

Usklađivanje s EU direktivom je vrlo zahtjevno. Za postizanje sukladnosti, prije svega je bitno napraviti sveobuhvatan popis i kategorizaciju podataka i niz kvalifikacijskih oznaka koje se odnose na vrijeme, zakonitosti, svrhu i sl. prema kojima se podaci mogu  lako pretraživati i kontinuirano nadzirati.

Iz svega napisanog možemo zaključiti da je idealno vrijeme za početak pripreme na novu regulativu EU već prošlo, ali je u svakom slučaju nužno početi što prije!

Ukoliko imate dodatnih pitanja i želite saznati više informacija o ovoj temi, slobodno nas kontaktirajte putem sljedećeg linka ili putem komentara.

One thought on “Zakon o zaštiti osobnih podataka (GDPR)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s