Počevši od prošle nedelje, savremeno poslovanje, koje podrazumeva skladištenje i obradu korisničkih podataka, biće strože regulisano u okviru Evropske unije, što znači da će i kompanije u zemljama van Evropske unije, koje nastupaju na njenom području kroz B2B i B2C transakcije, morati da usklade svoje poslovanje s novonastalom poslovnom klimom. Pogađate, Srbija je jedna od njih.
Zašto je ovo relevantno? Zato što prema istraživanjima kompanije Clico, specijalizovane za oblasti bezbednosti podataka, umrežavanja informacionih sistema i njihovog upravljanja, svega 2% kompanija u Srbiji planira da prilagodi svoje poslovanje od danas aktuelnoj Opštoj uredbi o zaštiti podataka o ličnosti ili, većini ljudi poznatijem, GDPR-u (General Data Protection Regulation).
Mišljenja o uvođenju GDPR-a su različita: pojedini su mišljenja da je pozadina finansijske prirode, dok ostali smatraju da će doprineti regulisanju korisničke privatnosti. Upravo zbog toga, cilj ovog članka jeste da vam otkloni eventualne nepoznanice u vezi s primenom navedene uredbe, kako u okviru Evropske unije, tako i u Srbiji.
Šta je GDPR i zašto baš sad?
Razlozi za uvođenje GDPR-a su dvostruki. Prvo, pojava društevenih mreža i globalna ekspanzija komunikacionih kanala rezultirale su sveopoštom digitalizacijom poslovnih tokova, koja je pretvorila korporativne sisteme u virtuelni svet bez granica. To znači da se naši lični podaci nalaze širom interneta (sam Facebook ima preko milijardu korisnika koji ostavljaju informacije!), u masovnim bazama podataka, ne samo društvenih mreža, već i rezervacionih sistema, banaka, telekom operatera, kao i svih organizacija čija delatnost zahteva skladištenje i obradu korisničkih podataka. Sve ovo učinilo je naše podatke izuzetno dostupnim, ali samim tim i ranjivim. Dakle, imajući u vidu potencijal, koji razvoj digitalne ekonomije nosi sa sobom, Evropska unija želi da omogući korisnicima korporativnih sistema veću kontrolu nad svrhama u koje se njihovi podaci koriste radi jačanja njihovog poverenja u digitalne ekosisteme.
Drugo, cilj je da se obezbedi transparentno legalno okruženje, sa jedinstvenim zakonom o zaštiti podataka, za sve zemlje, članice Evropske unije, koji bi, po procenama iste, trebalo da uštedi preduzećima ukupnu sumu od čak 2.3 milijarde evra godišnje.
Zašto je uopšte GDPR bitan? Ukoliko vas pitaju da li želite da neko ima na raspolaganju vaše lične podatke, koje može da skladišti, a zatim i proda, vaš odgovor će verovatno biti negativan. Međutim, upravo ti podaci preduslov su za korišćenje usluga koje kompanije nude preko društvenih mreža, online rezervacionih sistema ili računarstva u oblaku, a budući da nijedna od ovih tehnologija nije postojala 1995. godine, kada je oblast bezbednosti podataka poslednji put regulisana, potreba za donošenjem novog zakona o zaštiti podataka bila je neophodna.
Kakve promene donosi GDPR?
Svrha GDPR-a je da unapredi aktuelne procedure za upravljanje ličnim podacima kroz niz novih i pooštrenih zahteva. Ono što bi sve kompanije trebalo da znaju prilikom tranzicije iz starog sistema u novi i sveobuhvatniji sistem pravila jeste da će kazne za nepoštovanje budućih propisa dostizati i 10 miliona evra, što dovoljno govori o neophodnosti usaglašavanja njihovog poslovanja s navedenom regulativom.
Oni koji upravljaju podacima (kontrolori), kao i oni koji ih obrađuju (procesori), treba da budu detaljno upoznati sa GDPR-om. Uloga kontrolora pripada bilo kojoj organizaciji (kompaniji, dobrotvornom društvu ili vladi) i podrazumeva navođenje u vezi s tim kako i zašto se lični podaci obrađuju, dok procesor može da bude bilo koja IT firma koja se bavi obradom podataka. Posao kontrolora je da osigura poštovanje propisa od strane procesora, koji mora da se pridržava istih, jer će, u slučaju upada u bazu podataka (data breach), biti podložan neuporedivo većoj odgovornosti nego što je to bio slučaj dosad.
Čak i ukoliko se sedišta kontrolora i procesora nalaze izvan teritorije Evropske unije (ovo je bitno za Srbiju), sve dok su u kontaktu s podacima koji pripadaju državljanima iste, i kontrolor i procesor imaju obavezu da se pridržavaju GDPR-a.
Kada i kako se obrađuju podaci po GDPR-u?
Nakon što regulativa stupi na snagu, kontrolori moraju da osiguraju transparentnu i zakonitu obradu podataka, s jasnom svrhom, po čijem ispunjenju podaci, ukoliko više nisu potrebni, treba da budu izbrisani. Šta znači „zakonita“ obrada podataka?
Za početak, obrada podataka može biti zakonita samo u slučaju pristanka onoga kome navedeni podaci pripadaju (subjekta). Za razliku od dosadašnje „pasivne“ prakse, koja se bazirala na upotrebi pre-ticked boxes, pristanak sada mora da dođe isključivo u vidu aktivne, potvrdne akcije od strane subjekta, s mogućnošću povlačenja u svakom trenutku. Ukoliko vaš trenutni model za obezbeđivanje pristanka ne ispunjava navedeni uslov, nakon što GDPR stupi na snagu, moraćete da ga uskladite s novim standardom ili da prestanate s prikupljanjem podataka.
U ostalim slučajevima, povod za obradu podataka može da predstavlja poštovanje ugovorne ili zakonske obaveze, zaštita interesa koji su od vitalnog značaja za opstanak subjekta, kao i ostvarivanje javnog interesa ili sprečavanje prevare.
Minimum jedan od gorenavedenih uslova mora da bude ispunjen da bi se pristupilo obradi podataka.
Šta GDPR podrazumeva pod ličnim podacima?
Odluka o uvođenju GDPR-a značajno je proširila definiciju ličnih podataka, u koje sada spadaju i identifikatori, kao što su IP adrese. Ostali podaci, koji se odnose na ekonomske, kulturološke i zdravstvene informacije, takođe će se smatrati ličnim podacima, na osnovu kojih se može ustanoviti identitet osobe.
Shodno tome, i pseudonimi će, u zavisnosti od toga koliko je lako ili teško na osnovu njih utvrditi nečiji identitet, moći da se ubroje pod lične podatke. Takođe, svi podaci koji su spadali u lične pod dosadašnjim Zakonom o zaštiti podataka (Data Protection Act), zadržaće nepromenjen status po stupanju GDPR-a na snagu.
Pravo pristupa podacima i „pravo na zaborav“
Subjekti mogu da upute zahtev za pristup svojim podacima u „razumnim“ vremenskim intervalima, na koji kontrolori moraju da odgovore u roku od mesec dana. I kontrolori i procesori moraju da budu maksimalno transparentni i jasni prilikom objašnjavanja subjektima kako se prikupljaju njihovi podaci, šta se radi sa njima, kao i kako se obrađuju. Štaviše, subjekti imaju pravo da znaju zašto se njihovi podaci obrađuju, koliko dugo se skladište i ko sve može da ih vidi, kao i da zatraže korekciju ukoliko primete da su podaci netačni ili nekompletni.
Osim prava na pristup svojim podacima, subjekti imaju pravo da zatraže i da njihovi podaci budu izbrisani ukoliko više nisu značajni za svrhu zbog koje su prikupljeni – „pravo na zaborav“. Po ovom pravilu, zahtev za brisanje podataka moguć je ukoliko je subjekat povukao svoj pristanak za prikupljanje podataka ili ukoliko nije zadovoljan načinom na koji se podaci prikupljaju. Nakon toga, kontrolor je odgovoran za obaveštavanje drugih organizacija, kao što je npr. Google, o potrebi da se obrišu linkovi koji vode ka kopijama navedenih podataka, kao i same kopije.
Kontrolori moraju da skladište podatke u masovno korišćenim fajlovima, kao što je CSV, kako bi mogli besplatno da premeste podatke subjekta u drugu organizaciju, u slučaju da subjekat to zatraži.
Šta u slučaju upada u bazu podataka?
Na organizacijama je da obaveste nadležnog organa o svakom upadu u bazu podataka (data breach), u roku od 72 sata nakon prepoznavanja istog. Dužina roka je tolika da verovatno nećete ni saznati svaki detalj upada, ali tokom inicijalnog kontakta s nadležnim organom, trebalo bi navesti prirodu ugroženih podataka, aproksimativan broj potencijalno oštećenih subjekata i moguće posledice po njih, kao i mere koje su preduzete radi sanacije aktuelnog stanja.
Ovde, prema kompaniji Clico, distributeru najpriznatijih svetskih kompanija iz oblasti zaštite podataka, kao što su HPE Aruba, Arista Networks, Juniper Networks, Forcepoint, Thales, Rubrik, Ucopia, SonicWall, Tufin, Rapid7, A10 Networks, Linkify, Pulse Secure i Mobile Iron, do izražaja dolaze efikasna bezbednosna rešenja, koja vode kompanije od detekcije ilegalne aktivnosti na mreži do reakcije, u kratkom vremenskom roku, tako što među milionima događaja na mreži, analizom korisničkog ponašanja i korelacijom podataka, uspevaju vrlo precizno da odrede svaku anomaliju, a samim tim i da osiguraju pravovremene zaštitu i sanaciju.
Još pre kontaktiranja nadležnog organa, potrebno je obavestiti i ugrožene subjekte. Oni koji ne ispoštuju navedeni vremenski rok za obaveštavanje nadležnog organa o nastanku bezbednosnog incidenta, mogu da se suoče s kaznom i u vrednosti od 2% od svog godišnjeg globalnog prihoda ili 10 miliona evra, u zavisnosti od toga šta je od navedenih veće.
Važno je ipak znati da, uprkos činjenici da će maksimalne kazne postati oštrije po uvođenju GDRP-a, sama regulativa nalaže da kazne treba da budu recipročne prekršajima. Štaviše, ukoliko pokažete da ste vredno radili na usklađivanju svog poslovanja sa GDPR-om, ICO (Information Commissioner’s Office) će uzeti to u obzir, te verovatno neće izdati onoliku kaznu koliku bi inače izdao, u sučaju prekršaja.
Kako GDPR utiče na Srbiju?
Srbija još uvek ne pripada Evropskoj uniji, ali veliki broj kompanija nastupa na njenom području kroz B2B odnose i B2C transakcije, te je potrebno da što pre usaglase svoja poslovanja sa GDPR-om, kako na korporativnom, tako i na strateškom nivou.
Strateški nivo podrazumeva usvajanje novog Zakona, koji će biti usklađen s navedenom regulativom, kako bi Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti, te kako bi se omogućio „uvoz“ ličnih podataka iz Evropske unije. Delovanje na korporativnom nivou bazira se na podizanju kolektivne svesti menadžmenta i zaposlenih o značaju nove regulative za održivost poslovanja, kao i na formiranju kompetentnog tima, zaduženog za usklađivanje poslovanja s GDPR-om.
Na državi je da podstakne implementaciju regulative kroz stvaranje infomativno-edukativnog okruženja, koje će uticati na kompanije da shvate neophodnost usklađivanja svog poslovanja s GDPR-om. Sličnog mišljenja je i Ivan Mladenović, menadžer kompanije Clico za jadransku regiju, koji kaže da će GDPR uticati ne samo na kompanije sa sedištem u EU, već i sve kompanije koje posluju s EU. Iz tog razloga, naš fokus će u narednom periodu biti na edukaciji tržišta i partnerskom odnosu s kompanijama koje treba da usklade svoje delovanje s novom uredbom o zaštiti podataka, kako bi nesmetano nastavile svoje poslovanje. Upravo zbog toga, Clico je napravio competence center, sačinjen od vrhunskih security inženjera, koji pruža sve informacije u vezi oblasti zaštite podataka, kako o aktuelnim pretnjama i dostupnim rešenjima, tako i o propisima koje GDPR donosi, a koji su im bitni za nastavak poslovanja.