Intervju

Zaštita osobnih podataka: Treba li paničariti oko GDPR-a?

Zagreb: Biljana Cerin, stručnjakinja za IT sigurnost i upravljanje rizicima
Foto: Sandra Šimunović/PIXSELL
1/3
24.04.2018.
u 09:51

Razgovor s Biljanom Cerin, autoritetom za GDPR u Hrvatskoj i svjetskom stručnjakinjom za sigurnost

Do pune primjene Opće uredbe o zaštiti podataka (GDPR) preostalo je još mjesec dana. IT stručnjaci već dugo govore o zaštiti podataka, a posebice otkako je GDPR stupio na snagu 2016. godine. Unatoč tome, u Hrvatskoj se o toj temi počelo pričati tek unazad posljednjih šest mjeseci, zbog čega je nastala poprilična panika oko usklađivanja s često nejasnim odredbama GDPR-a Razgovarali smo s Biljanom Cerin, direktoricom Ostendo Consultinga i članicom upravnog odbora Svjetske organizacije za nformacijsku sigurnost (ISC), i najvećim autoritetom za GDPR u Hrvatskoj.

Kakvo je sada stanje? Jesu li svi oni koji trebaju štititi naše podatke zaista dovoljno spremni da bi mogli i dalje mirno spavati?

Pravni stručnjaci i stručnjaci za informacijsku sigurnost i zaštitu podataka znali su za Uredbu dok je još bila u pripremi i raspravi, što je trajalo oko četiri godine prije njenog stupanja na snagu u svibnju 2016. U usporedbi s drugim državama članicama EU, u Hrvatskoj se relativno kasno razvila svijest o Uredbi, a kad se konačno i razvila, stav o njoj je bio uglavnom negativan i usmjeren na netočnu pretpostavku da će se odustati od njene provedbe. Prije oko pola godine su se i hrvatske tvrtke počele aktivno informirati i intenzivnije angažirati oko implementacije Uredbe, za razliku od velikih međunarodnih korporacija koje su taj proces pokrenule znatno ranije. Kako je vremena za usklađivanje inicijalno bilo nešto više od dvije godine, a sada je preostalo svega mjesec dana do početka primjene Uredbe, oni koji su tek nedavno krenuli ili još nisu krenuli nisu u zavidnoj situaciji. No uz dobru organizaciju i potporu uprave još uvijek stignu riješiti bar osnovne zahtjeve u preostalom vremenu.

Foto: Sandra Šimunović/PIXSELL

Kazne su velike (4 posto prihoda ili 20 milijuna eura, ovisno što je veće), a prema nekim mišljenjima i previše rigidne. Što vi mislite o tome? Jesu li dovoljan motiv i jesu li realne?

Kazne koje su predviđene Uredbom su izrazito velike, a mogući su scenariji prema kojima tvrtke trebaju platiti i prilično veće iznose nego što se uopće spominju u Uredbi. Međutim ne treba očekivati da će tvrtke za neusklađeno poslovanje odmah biti kažnjene maksimalnim kaznama. Visina eventualnih kazni određivat će se u skladu s težinom prijestupa, visinom rizika za prava i slobode ispitanika, karakteristikama povreda osobnih podataka te organizacijskim i tehničkim mjerama koje su organizacije poduzele kako bi umanjile vjerojatnost da do povrede osobnih podataka i prava ispitanika uopće dođe.

Prema vašem iskustvu, koji su to sektori koji upravljaju s najvećim brojem osobnih podataka i na neki način su najizloženiji i podložniji nadzoru ili pritužbama korisnika? Postoje li oni koji možda ne bi trebali 'paničariti' oko GDPR-a?

Sektori koji su po količini i osjetljivosti osobnih podataka uvjerljivo najizloženiji su financijski i telekom sektor, ali i sve organizacije koje kao dio svojih ključnih aktivnosti obrađuju velike količine osobnih podataka, odnosno posluju u tzv. „business to customer“ modelu. Nisam za paniku i uvjerena sam da se sve može riješiti kvalitetno i na vrijeme, u ovom slučaju uz odgovarajuću i neupitnu potporu uprave, te uz educiran, dediciran i aktivno angažiran projektni tim koji će raditi na usklađivanju s Uredbom. Ipak, tvrtke čije je poslovanje isključivo ili pretežno u „business to business“ modelu ili koje obrađuju vrlo mali broj osobnih podataka imat će osjetno manje posla po pitanju usklađivanja.

GDPR zapravo i nije novost kada se radi o sustavu zaštite osobnih podataka, i do sada je postojao Zakon koji je regulirao taj dio, temeljna razlika je pojačan sustav privola, mogućnost brisanja iz baza podataka i normiranje o tome što se zapravo događa s našim podacima. Ipak, to se ne odnosi na doslovno sve. Koliko je tu, možda bilo, krivo odaslanih informacija?

Dosadašnji Zakon o zaštiti podataka koji je donesen temeljem Direktive 95/46/EZ iz 1995. godine u određenoj mjeri već regulira to područje kao i Uredba, međutim Uredba proširuje zahtjeve u skladu s razvojem tehnologije i današnjim poslovanjem, što pred kraj prošlog stoljeća nije bilo moguće predvidjeti kako će izgledati danas. Što se tiče pogrešnih poruka, bilo je dosta pritiska od strane proizvođača raznih tehničkih rješenja za nabavku tih rješenja kako bi se „ispunili zahtjevi GDPR-a“. Bitno je naglasiti da Opća uredba o zaštiti podataka ne određuje koju ili kakvu tehnologiju trebamo koristiti u pogledu tehničke zaštite osobnih podataka, nego tek daje smjernice i zahtjeva da odabir adekvatne tehničke zaštite bude temeljen na procjeni rizika. Poslane su i neke krive poruke u smislu da za svaku obradu treba tražiti privolu ispitanika, dok je privola tek jedan od šest mogućih temelja obrade osobnih podatka, te bi je prema preporukama regulatora trebalo koristiti tek ako ne možete identificirati neku drugu osnovu obrade. Problem s privolama je što njihovim povlačenjem morate i prestati obrađivati osobne podatke koje ste prikupili temeljem privole. Također, pojedine poruke su išle u smislu da se implementacijom ISO 27001 standarda postiže potpuna usklađenost s Uredbom, što također nije točno. ISO 27001 služi kao odličan upravljački okvir za primjenu organizacijskih i tehničkih mjera zaštite podataka, međutim njime nisu obuhvaćeni svi zahtjevi koje Uredba postavlja pred organizacije. Međutim, pokretanje implementacije sustava upravljanja informacijskom sigurnošću prema zahtjevima ISO 27001 standardu općenito vodi uređenijim organizacijskim i tehničkim mjerama po pitanju zaštite ne samo osobnih podataka već svih važnih poslovnih informacija, stoga se svakako preporučuje i njegova implementacija.

Još jedan 'novitet' kojeg se 'boje' mnogi jest famozna pseudonimizacija podataka. Što je to i koga je i zbog čega zbunila?

Pseudonimizacija je jedan od načina za tehničku zaštitu osobnih podataka. Tehnički gledano, možemo nekom podatku ili cijelom setu podataka dodijeliti pseudonim kojeg ćemo u daljnjim obradama tog seta podataka koristiti umjesto originalnog podatka. Na taj način smanjujemo mogućnost povrede osobnih podataka i rizik na prava i slobode ispitanika, a istovremeno u bilo kojem trenutku i prema potrebi možemo, prema ključu koji je pohranjen na nekom drugom mjestu, raspoznati na koju osobu se pojedini set odnosi. Pseudonimizaciju je poželjno koristiti u prijenosima i obradama osobnih podataka između različitih sustava i IT servisa u poslovanju, ali i u prijenosima podataka prema trećim stranama. Bitno je naglasiti da pseudonimizacija i anonimizacija nisu sinonimi – anonimizacija podrazumijeva bespovratno mijenjanje podatka ili set podataka nasumičnim vrijednostima i zbog toga se tek ireverzibilno anonimizirani podaci mogu prestati smatrati osobnim podacima, dok za pseudonimizirane to ne možemo reći.

Dakle, bilo je tu dosta krivih informacija, jesu li sada sve odredbe jasne ili će ipak tek praktična primjena ukazati na možda neke nedorečenosti regulative?

Na donošenju Opće uredbi o zaštiti podataka se radilo jako dugo vremena i, iako je moguće diskutirati o određenim nedorečenostima, smatram da je jako dobro napisana i da će, budu li se provodile redovite i kvalitetne kontrole usklađenosti sa zahtjevima, biti vrlo koristan i tvrtkama i cijelom društvu. Uz Uredbu ide i niz konkretnih smjernica i uputa za njenu lakšu implementaciju razvijenih od strane Europskog odbora za zaštitu podatka i nacionalnih nadzornih tijela koje uvelike olakšavaju njenu ispravnu primjenu i pojašnjavaju određene nejasnoće. U praksi ćemo tek vidjeti u kojoj mjeri će se provoditi nadzori i kažnjavanje za neusklađenost.

Tko bi po vama mogao biti prvi na listi onih koji će se suočiti s nekim konkretnim zahtjevom korisnika kojeg možda nije svjestan, pa posljedično i prigovorom i tužbom?

Nesumnjivo su to tvrtke koje imaju izrazito velik broj osobnih podataka prikupljenih od svojih korisnika, što su mahom banke, telekomi i osiguravajuća društva. Njima je najbitnije da mogu jednostavno i efikasno odgovarati ispitanicima u svrhu ispunjavanja njihovih prava, a većinu tehničkih kontrola za zaštitu su ti sektori već imali implementirano zbog drugih regulativa koje uređuju te industrije.

GDPR se primjenjuje jednako u svim zemljama članicama EU, što znači da stranci i turisti mogu prigovarati na domaće/hrvatske tvrtke i obratno.

Tako je, oni će imati ista prava prema GDPR-u kao i naši građani. Isto tako, hrvatski građani će na putovanjima unutar EU imati, prema GDPR-u, ista prava u svim zemljama članicama.

Foto: Sandra Šimunović/PIXSELL

Posljednja afera Facebooka i Cambridge Analytica pokazala je između ostalog da mnogi nisu svjesni koje podatke i kome daju i što se s njima događa, mnogi su tražili od Facebooka svoje podatke i ostali šokirani što je sve prikupio o njima. Koliko će GDPR pomoći, barem Europljanima, da se osjećaju sigurnije?

Opća uredba o zaštiti podataka je regulativa koju bi u društvu trebalo promovirati i oko koje bi trebalo podići razinu svijesti. Nedavna afera s Facebookom i Cambridge Analyticom ide tome u korist jer se ljudi u tome prepoznaju kao korisnici Facebook servisa i osjećaju se manje ili više pogođenima tim incidentom. Isključivo sustavnom edukacijom društva o privatnosti i o osnovnim načelima prometa podacima u informacijskim sustavima možemo doseći dovoljnu razinu svijesti. Paradoks je u tome što jednom kad postanemo dovoljno svjesni toga, teško ćemo se više osjećati sigurno. Međutim, uredbe kao što je GDPR i drugi zakoni i pravni akti upravo zato postoje i pobliže određuju postavljanje kontrola i razina odgovornosti voditelja obrada. U konačnici, kad ćemo svoje osobne podatke dijeliti s tvrtkama koje će proći proces certifikacije sukladno člancima 42. i 43. Uredbe, trebali bismo imati veću razinu povjerenja prema takvim voditeljima obrade, u smislu da obrađuju naše podatke u skladu sa zakonom i točno na način kako su nas o tome i informirali. Iako, samo postojanje certifikata ne znači da je sve „savršeno“.

Hoće li GDPR spriječiti praksu prodaje podataka trećim stranama? I u kojoj mjeri su opravdani prigovori da rigidna primjena GDPR-a ugrožava čak i neke poslovne modele i načine zarade te sprječava inovativnost?

Ustupanje podataka trećim stranama bez znanja, odnosno privole ispitanika već je otprije zabranjena, međutim u tom smislu Uredba uvodi značajno veća prava na koja se ispitanici mogu pozvati ako se osjećaju oštećenima. Prema odredbama Uredbe, svaki voditelj obrade će trebati, na zahtjev ispitanika, odgovoriti koje podatke o ispitaniku obrađuje te prezentirati odgovor na jasan, lako razumljiv način. U slučaju razmjene osobnih podataka, sve uključene strane bit će odgovorne za eventualne povrede prava i sloboda ispitanika.

Koliko GDPR posljedično utječe na ostale regulative u B2B poslovanju, posebice kada se radi o poslovima EU-a i ostatka svijeta?

Opća uredba o zaštiti podataka nije uvedena kako bi se zabranila razmjena osobnih podataka između organizacija, nego da ga uredi na način da to bude transparentno, sigurno i u najboljem interesu ispitanika. Prijenosi podataka u treće zemlje su dodatno posebno uređeni u Uredbi, međutim uz odgovorno ponašanje i primjenu ispravnih mehanizama zaštite osobnih podataka prilikom prijenosa, primjena Uredbe ne bi smjela rezultirati lošim posljedicama za takvo poslovanje. Što se tiče ostalih zakona, očekuje se njihovo usklađivanje kako bi mogla osigurati konzistentna zaštita prava i sloboda ispitanika u svim procesima temeljenima na ispunjavanju zakonskih propisa.

Još nema komentara

Nema komentara. Prijavite se i budite prvi koji će dati svoje mišljenje.
Važna obavijest
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu i mobilnim aplikacijama Vecernji.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu i mobilnim aplikacijama Vecernji.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.

Za komentiranje je potrebna prijava/registracija. Ako nemate korisnički račun, izaberite jedan od dva ponuđena načina i registrirajte se u par brzih koraka.

Želite prijaviti greške?

Još iz kategorije