Biljana Cerin: Usklađivanje s GDPR-om je proces koji nikada nije gotov Istaknuto
Direktorici Ostendo Consultinga (CISSP, CISA, CISM, CGEIT, CBCP, PMP) i članici Upravnog odbora najutjecajnije svjetske stručne organizacije za informacijsku sigurnost (ISC)2, postavili smo nekoliko pitanja vezanih uz GDPR.
U Zagrebu se pod visokim pokroviteljstvom predsjednice Hrvatske Kolinde Grabar-Kitarović održava konferencija GDPR ADRIATIC - 5 do 12za GDPR, koja je posvećena Općoj uredbi o zaštiti podataka (GDPR) koja će stupiti na snagu 25.5.2018. Iz tog razloga postavili smo nekoliko pitanja Biljani Cerin iz tvrtke Ostendo Consulting i dobili odgovore koji će mnogima demistificirati GDPR kao Uredbu zbog koje mnogi u Hrvatskoj drhte od straha.
Postoji li neko tijelo koje upozorava tvrtke da bi se trebale uskladiti s GDPR uredbom i koliko po vašoj procjeni postoji subjekata u postotku u Hrvatskoj koji uopće nisu svjesni da se uredba odnosi i na njih?
Agencija za zaštitu osobnih podataka provodi učestale edukacije s ciljem podizanja svijesti o potrebi usklađivanja s GDPR-om, no pravi posao morali bi odraditi mediji. Jedino su oni sposobni značajno utjecati na podizanje svijesti o pravu na zaštitu osobnih podataka u javnosti. Svrha GDPR-a je osigurati pravo pojedinca na zaštitu osobnih podataka, pa bi edukacija i podizanje svijesti trebali biti okrenuti pojedincu, ali i organizacijama koje su dužne dokazati odgovornost u zaštiti osobnih podataka u svim svojim poslovnim procesima.
Još je malo više od šest mjeseci ostalo do primjene GDPR-a. Za tvrtke koje još nisu počele niti sa analizom, koliko je realno da se usklade na vrijeme i koji su glavni koraci u tom procesu?
Zaštita osobnih podataka nije jednokratan posao. To je proces koji nikada nije gotov. Organizacije moraju uspostaviti procese identifikacije osobnih podataka i rizika kojima su izloženi i naučiti kvalitetno upravljati tim rizicima, implementacijom primjerenih organizacijskih i tehničkih mjera. Osobnim podacima moraju upravljati etički i transparentno, svodeći rizik za prava i slobode ispitanika na minimum.
Prema vašem iskustvu, koji su ključni segmenti za ulaganja u usklađivanje s GDPR udredbom? Kakve promjene/edukacije su potrebne za ljude, koliko treba ulagati u softverska rješenja i koliki je problem mijenjati ustaljene procese?
Za razumijevanje GDPR-a neophodna je kombinacija pravne i tehnološke ekspertize. Trošak usklađivanja sa GDPR-om može varirati od nekoliko desetaka tisuća, do nekoliko desetaka milijuna kuna. Koliki će stvarno biti, ovisi o trenutnoj zrelosti organizacije u području zaštite podataka, razumijevanju GDPR zahtjeva i iskustvu u praktičnoj primjeni rješenja. Učenje na vlastitim pogreškama je najskuplji način usklađivanja. Posebnu je pažnju potrebno posvetiti na kvalitetnu provjeru znanja članova GDPR tima, a pogotovo konzultanata koje eventualno angažirate.
Kako i tko će provoditi nadzor tvrtki i institucija, te kakve su kazne propisane za neusklađenost? Trebaju li se bojati kazni i sasvim male tzv. mikro tvrtke ili će one ipak biti ispod radara inspekcija, bar u prvo vrijeme?
Nadzor će provoditi nacionalno nadzorno tijelo. Prekršitelji će pored kazni koje sežu do 20 milijuna eura ili 4% ukupnog prihoda (što je od toga veće), odgovarati i za nadoknadu prouzročene štete. Sama veličina tvrtke nije prvenstveni kriterij jer možete imati i sasvim malu, mikro tvrtku koja obradjuje znatne količine osobnih podataka - ukoliko takva tvrtka ne primjenjuje odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka i ne osigurava prava ispitanika propisana uredbom, ona izlaže riziku velik broj ispitanika.