Novo istraživanje koje je objavila kompanija Veritas Technologies, lider u upravljanju informacijama, otkriva da više od polovine organizacija nije uspelo ni da započne posao koji je neophodno obaviti kako bi se ispunio minimum saobraznosti sa opštom regulativom zaštite podataka (GDPR).
Osmišljena sa ciljem harmonizacije jedne važne oblasti kao što je zaštita, zadržavanje i postupanje sa podacima širom država EU, GDPR zahteva od organizacija uvođenje višeg stepena nadzora nad time gde i na koji način se osetljive informacije — uključujući podatke o ličnosti, zapise koji sadrže bankarske, zdravstene i podatke o kreditnim karticama krajnjih korisnika — pohranjuju i prenose, kako se upravlja pristupom istima i obavlja revizija tih aktivnosti. GDPR neće biti ograničen samo na kompanije sa sedištem u EU, već će se proširiti globalno na SAD i ostale zemlje, obuhvatajući bilo koju kompaniju koja posluje u regionu ili radi sa bilo kojom organizacijom u EU.
Nalazi istraživanja Global Databerg Report — kojim je tokom 2016. obuhvaćeno više od 2.500 starijih donosioca odluka u vezi s tehnologijom iz Evrope, Srednjeg Istoka, Afrike, SAD i azijskog Pacifika — ukazuju na to da 54% organizacija nije napredovalo kad je reč o pripremama za saobraznost svog poslovanja sa zahtevima GDPR-a. Već je protekla jedna četvrtina grejs perioda koji je EU dala kompanijama pre nego što krene sa primenom odredbi GDPR-a u maju naredne godine, a odgovori iz istraživanja dovode u žižu niz problema operativne prirode, problema usaglašenosti sa zakonom i problema u vezi sa planiranjem, a naročito pitanja vlasništva nad procesima GDPR-a i sposobnostima da se sprovedu politike čišćenja podataka i sporovode zahtevi za brisanjem kad se završi životni ciklus podataka.
Istraživanje je za potrebe kompanije Veritas obavila istraživačka firma Vanson Bourne sa ciljem da prouči način na koji organizacije skladište i upravljaju podacima u svom domenu, kao i da osvetli stavove i ponašanja koja podstiču do sada nezabeleženu eksploziju količine podataka.
Nejasno koji rukovodioci su vlasnici GDPR procesa
Nalazi istraživanja otkrivaju nedostatak pripremljenosti za GDPR i zbunjenost u vezi s tim ko je na kraju krajeva taj koji bi trebalo da bude posvećen sprovođenju GDPR procesa i (ne)usaglašenost sa GDPR-om. Gotovo jedna trećina, tačnije 32% ispitanika u istraživanju veruje da je CIO (Chief Information Officer) kompanije odgovoran za GDPR, naspram 21% onih koji smatraju da je to u domenu CISO-a (Chief Information Security Officer), dok 14% njih smatra da je glavni za to CEO kompanije, a 10% anketiranih vidi ključnu ulogu i odgovornost CDO-a (Chief Data Officer). Prema istraživanju, navedeni pojedinci odgovorni za implementaciju GDPR procesa se takođe suočavju sa nizom različitih bezbednosnih rizika ako se podacima ne barata na pravi način.
Samo nešto manje od trećine (preciznije 31%) ispitanika je zabrinuto za reputaciju svojih organizacija usled slabih politika za upravljanje podacima, dok gotovo 40% njih strahuje od toga da njihova organizacija ne prođe test saobraznosti s GDPR-om.
Pritisak količine podataka
Fragmentacija podataka i gubitak uvida u podatke su među najvećim izazovima kad je reč o podacima, što im otežava da postignu usaglašenost sa regulativom GDPR-a. Oko 35% ispitanika je ovo označilo svojim najvećim razlogom za zabrinutost. Naročit razlog za brigu u velikim preduzećima predstavlja povećanje obima upotrebe neupravljivih skladišta podataka u „oblaku“ i potrošačkih usluga za deljenje podataka, pa se javlja strah da bi u budućnosti to dovelo do problema sa saobraznošću sa regulativom. Četvrtina ispitanika priznaje da koristi usluge za skladištenje podataka u „oblaku“, kao što su Box, Google Drive, Dropbox, EMC Simplicity i Microsoft OneDrive, uprkos politikama svojih kompanija koje to zabranjuju. Dodatno, 25% ispitanika je prijavilo korišćenje nepriznatih usluga skladištenja podataka izvan kompanije, što dodatno otežava IT sektoru kompanije da kontroliše njihovu upotrebu preko nekih od priznatih alata tome namenjenim.
Povrh skladišnih izazova, ispitanici su ukazali na svest o faktorima rizika koje bi svaka politika saobraznosti s regulativom i politika bezbednosti kompanije trebalo da obuhvati. Naime, više od jedne polovine (52%) ispitanika je reklo da su zabrinuti zbog pretnji gubitkom kompanijskih podataka, a 48% njih je naročito zabrinut za gubitak podataka u tranzitu između sajtova i sistema. Čak 40 procenata ispitanika strahuje da li će zaposleni loše postupati sa podacima i potkopavati napore za sprovođenje mera saobraznosti, tokom procesa uređivanja ovog aspekta poslovanja.
Pravo da budete zaboravljeni
Sa GDPR-om kompanije moraju da analiziraju i postupaju po legitimnom zahtevu pojedinaca da se njihovi podaci potpuno izbrišu u okviru organizacije, ako više nisu relevantni i neophodni. Pa ipak, kombinacija toga da su podaci fragmentirani i toga da se u sklopu organizacije nestrukturisani podaci skupljaju bez realne potrebe, dovodi nas do toga da je kompanijama skoro nemoguće da se povinuju zahtevima korisnika da njihovi podaci budu izbrisani. Nedostatak uvida u sadržaj i vidljivosti podataka koji su tzv. tamni podaci, kao i informacije koje se nalaze izvan korporativnih IT sistema dodatno komplikuje postizanje saobraznosti i izlaže kompaniju značajnim finansijakim i pravnim rizicima. Navedena i druga GDPR pitanja na kojima se pada, mogu dovesti kompanije do nezapamćenih finansijskih kazni koje se kreću i do 20 miliona evra ili do najviše 4% prihoda ostvarenog u celom svetu (ako je tih 4% veće od 20 miliona evra).
“GDPR je najznačajnija promena za oblast čuvanja podataka u ovoj generaciji, i nezaobilazna globalna stavka koja će dominirati privatnošću podataka, upravljačkim i regulativnim diskusijama tokom 2017.” rekao je Majk Palmer, izvršni potpredsednik i direktor proizvoda u kompaniji Veritas. “Kako bismo izbegli potencijalne kazne, ili što je gore, štete po ugled korporacija i njihovih brendova, globala preduzeća moraju da preduzmu akciju da bi razumeli gde se nalaze njihovi podaci i kako ih zaštititi.”
Kompanija Veritas pomaže organizacijama širom sveta da umanje rizike u vezi sa podacima, upoznavajući ih najboljim praksama za upravljanje podacima u „oblaku“ ili u „lokalu“, praveći popis podataka, brišući podatke koji se po zakonu ne bi smeli da zadržavaju, utvrđuju i garantuju sprovođenje politika za upravljanje podacima. Za više informacija posetite www.veritas.com/gdpr.