GDPR Adriatic konferencija: Za hrvatske tvrtke je doista 5 do 12 Istaknuto
Krajnje je vrijeme za implementaciju GDPR uredbe svima ko ju još nisu počeli implementirati, slažu se svi govornici konferencije GDPR ADRIATIC - 5 do 12 .
Konferenciju je otvorio stručnjak za sigurnost Gordan Kolak, izaslanik predsjednice RH Kolinde Grabar Kitarović i član vijeća za domovinsku sigurnost Predsjednice RH koji je rekao:“ Budući da je vrijeme za provedbu uredbe GDPR stvarno 5 do 12, vrijeme je da poduzmemo neke akcije. Vidimo da se odvijaju brojne konferencije, seminari i prezentacije na ovu temu i to je stvarno dobro da se time bavimo.
Problem je što je glavna stavka na tim konferencijama priča o kaznama. Mislim da je ipak najvažnije pravo na zaštitu podataka. Usklađenje bi moglo biti trnovito, ali će u konačnici donijeti puno više dobrobiti. To je i velika prilika za hrvatske IT tvrtke.“
„Usklađenje bi moglo biti trnovito, ali će u konačnici donijeti puno više dobrobiti – Gordan Kolak“
Otvorna predavanja održali su i Bernard Gršić, državni tajnik Središnjeg državnog ureda za razvoj digitalnog društva te Marija Pušić, koordinatorica savjetodavnih aktivnosti Agencije za zaštitu osobnih podataka. Koordinatorica je naglasila:“ Proveli smo više od 50 savjetodavnih aktivnosti vezanim oko GDPR uredbe.
GDPR je prilika kojom se sustav zaštite podataka podiže na razinu na kojoj joj je mjesto, budući da je zaštita osobnih podataka među temeljnim ljudskim pravima. Pravi alat za to je IT, a GDPR je izazov za zakonodavnu vlast..
„Zaštita osobnih podataka je među temeljnim ljudskim pravima - Marija Pušić“
Biljana Cerin, direktorica Ostendo Consultinga (CISSP, CISA, CISM, CGEIT, CBCP, PMP) i članica Upravnog odbora najutjecajnije svjetske stručne organizacije za informacijsku sigurnost (ISC)2 prošla je kroz upitnik upoznatosti odgovornih osoba s uredbom i u kojoj su fazi procesa. Ono što je za nju zabrinjavajuće jest da 29,7% njih još nije počelo s projektom.
„Ne bih savjetovala gubitak vremena na assessment (procjenu), budući da je 5 do 12, a postoji jako mnogo kvalitetnih materijala i stanje najbolje možete procijeniti sami unutar tvrtke. Jednostavno nema vremena za angažiranje konzultantske tvrtke za procjenu stanja.
Svi oni koji još nisu počeli implementirati uredbu GDPR, krajnje je vrijeme da se krene. Službenik za zaštitu podataka u organizaciji trebao bi biti dobro upoznat s Uredbom, ali poznavati i zakonodavne okvire i prakse. Također, zbog svega to mora biti dobra osoba koja može braniti organizaciju pred tijelima.
„Kada implementirate uredbu gledajte na nju kao na rad na organizaciji tvrtke – Biljana Cerin“
Javnost će se osvijestiti, postat će svjesni svojih prava i mogu tražiti informaciju o tome kako se koriste njihovi podaci i druge informacije. Ako im ne ispunite prava prema GDPR, uz kazne se mogu dodijeliti i odštete uslijed povreda, pa kazne nisu jedina stvar koje se treba bojati.
Moja poruka je prionite poslu, nemojte razmišljati na način da nećete stići. Uprava je ona koja je odgovorna osoba, pa ako ništa drugo ne pali, spomenite im kazne. Kada implementirate uredbu gledajte na nju kao na rad na organizaciji tvrtke“, rekla je Biljana Cerin.
Doc. dr. sc. Tihomir Katulić s Pravnog fakulteta Sveučilišta u Zagrebu održao je zanimljivo predavanje pod naslovom DPO rođenje nove profesije?
"Zaštita osobnih podataka nama je u fokusu još od 2003. godine, kad je kod nas prvi put donesen Zakon o zaštiti osobnih podataka. Opća uredba prvi je europski propis koji traži primjenu pravila informacijske sigurnosti, ono što je bila prije dobra praksa sada je uređeno zakonom. Uredba je dio jednog šireg reformskog paketa s ciljem stvaranja zajedničkog digitalnog tržišta. Ovu priču ne treba gledati izolirano, već kao dio napora da se pokrene europska ekonomija upotrebe osobnih podataka, pri čemu se treba voditi računa o zaštiti prava ispitanika."
Ako ste vlasnik podataka vi ste za njih odgovorni i ta odgovornost je iznesena u Uredbi. Grupa poduzetnika može imenovati zajedničkog DPO-a pod uvjetom da je lako dostupan, a to mogu i Udruženja i druga tijela.
„Ako ste vlasnik podataka vi ste za njih odgovorni i ta odgovornost je iznesena u Uredbi - Tihomir Katulić“
"DPO od kvalifikacija mora imati osobito stručno znanje o pravu i praksama na području zaštite podataka i sposobnost izvršavanja zadaća iz članka 39. Uredbe. On mora imati i pravna znanja, znanja o informacijskim tehnologijama i informacijskoj sigurnosti. DPO treba informirati i davati savjete. Treba pratiti poštivanje Uredbe i drugih propisa u pogledu zaštite osobnih podataka. DPO provodi savjetovanje u pogledu procjene učinka i te surađuje s nadzornim tijelom."
Poučeni praksom, pri stvaranju Uredbe išlo se na to da DPO ima samostalnost i on ne prima upute. Mora imati potrebna sredstva za izvršavanje zadaća i izravno odgovara najvišoj rukovodećoj razini. To zapravo znači da DPO ne mogu biti osobe imenovane reda radi.
Mogućnosti su da to bude zaposlenik organizacije, ali može biti i outsource. Za razvoj kompetentnih DPO-ova potrebno je prilagoditi i školstvo. Očekuje se otvaranje više stotina radnih mjesta, a trenutačno nema dosta kadra i obrazovnih programa za ovo područje“, upozorio je Katulić.
Univ. spec. iur Tatjana Zrinski s FOI-a na svojem predavanju „Utjecaj GDPR-a na poslovanje tvrtki u regiji i svijetu“ istakla je kako Uredba donosi nova prava za ispitanike i osigurava jednaku zaštitu svakom pojedincu iz EU.
„Cilj je zaštita pojedinaca i njegovih osobnih podataka te pružanje sigurnosti tvrkama koje obrađuju osobne podatke. Nadzorno tijelo kod nas je do sada imalo samo savjetodavnu ulogu, pa se mora napraviti novi zakon jer će se i to mijenjati.
„Kazne za organizacije koje prekrše GDPR mogu iznositi do 4% godišnjeg globalnog prometa ili 20 milijuna eura – Tatjana Zrinski“
Nove mjere predviđaju značajne kazne. Istraživanja pokazuju da više od 50% tvrtki (provedeno prije par mjeseci na oko 2500 menadžera u EU, ali i šire) nije spremno. Teritorijalna primjenjivost GDPR-a je takva da se odnosi na bilo koju tvrtku koja obrađuje podatke osobe iz EU. Takve tvrtke moraju imenovati predstavnika u Europskoj Uniji.
Kazne za organizacije koje prekrše GDPR mogu iznositi do 4% godišnjeg globalnog prometa ili 20 milijuna eura, ovisno o tome koji je iznos veći, rekla je Tatjana Zrinski.
Vanja Šebek, voditelj studija Digitalnog marketinga na Visokom učilištu Algebra izjavio je da kako se još ne zna kako će se ovo odraziti na digitalni marketing.
„Što se tiče digitalnog marketinga problem je što se zapravo ne zna točno što će biti, pa sam tako baš jučer dobio odgovor iz Silicijske doline iz Googlea koji kaže, ne znamo – radimo na tome. GDPR je super jer će dovesti red u spam mailove, newslettere s kupljenim bazama podataka i sl.
„Kako će uz ovu regulativu i smanjeno oglašavanje preživjeti mediji i oglašivači? Moglo bi se dogoditi da prežive samo veliki igrači – Vanja Šebek“
U ekosustavu su pod utjecajem GDPR-a svi. Kod korisnika će biti povećanje transparentnosti, sigurnost i zaštita podataka, ali nisam siguran kako će se to odraziti na djecu. Ne znamo ni kako će se prilagoditi Google Analytics, društvene mreže i sl. Neće više biti moguć remarketing i slučaj da vas po Internetu „prati marketing“.
Veliki udar bi mogao biti na publishere, ljude koji žive od digitalnog marketinga. Kako će uz ovu regulativu i smanjeno oglašavanje preživjeti mediji i oglašivači? Moglo bi se dogoditi da prežive samo veliki igrači. Budući da sam i dio agencije, trenutačni nismo svjesni što nam ta uredba donosi", kaže Šebek.
Nikola Markovinović iz TRILIX-a održao je predavanje pod nazivom Upravljanje kontinuitetom poslovanja i upravljanje incidentima, elementi usklađenosti s GDPR-om.
„Prema dosadašnjim iskustvima, iako su drugi govornici govorili da će se implementacija GDPR-a provoditi kroz više odjela, na kraju mislim da će sve završiti na IT odjelima.
Mjere zaštite su kao osobna higijena. Koju god mjeru implementiramo u informatičku sigurnost, uvijek postoji određena razina rizika. Kad postoji rizik, postoji i mogućnost incidenta.
„Koju god mjeru implementiramo u informatičku sigurnost, uvijek postoji određena razina rizika - Nikola Markovinović“
Incident je neplanirani prekid ili degradacija usluge. Business continuiny management može biti element GDPR-a. Upravljanje kontinuitetom poslovanja donosi recept za upravljanje i to na način da uključuje prihvatljive učinke i doprinose procesima.
DPIA kao temelj odabir prihvatljivih mjera zaštite osobnih podataka, bilo je predavanje dr.sc. Silvane Tomić Rotim iz ZIHa (Zavod za informatičku djelatnost Hrvatske), Certified DPO, CISA. U svom izlaganju gospođa Tomić Rotim je rekla da svaka obrada podataka može ugroziti nečija prava, a i sama je uredba nastala iz potrebe za većom zaštitom podataka.
„GDPR regulativa ne propisuje niti jednu metodologiju ili standard za izvođenje procjene utjecaja na privatnost – Silvana Tomić Rotim“
„Treba napraviti procjenu postoji li štetan utjecaj na prava i sloboda subjekata na temelju prirode, opsega ili potrebe planiranih operacije obrade. Uredba definira kad je obvezno provoditi procjenu utjecaja na zaštitu osobnih podataka (DPIA). Procjena nije uvijek obvezna, poput obrade podataka vezanih samo uz administraciju ili plaće, ili administrativne podatke o osoblju ako nisu povezani sa zdravljem i sl. Prednosti provođenja DPIA su detekcija rizika i utjecaja na privatnost, čime se pružaju informacije za definiranje potrebnih mjera za umanjenje rizika.
Proces DPIA je ponavljajući proces, ne nešto što se jednom napravi i gotovo je. Jedan od načina upravljanja je proces u skladu s ISO 31000. GDPR regulativa ne propisuje niti jednu metodologiju ili standard za izvođenje procjene utjecaja na privatnost.
Implementaciju GDPR-a u tvrtku Apis iT predstavila je dipl. oec. MBA Vlasta Marinović, specijalist za dokumentiranje i unaprjeđenje poslovnih procesa.
„Prvo smo se temeljno informirali kroz proučavanje uredbe i savjetovanja. Kod nas su faze implementacije bile priprema koja se sastoji kroz dobivanje podrške uprave, edukaciju i stvaranje GDPR tima (multidisciplinarni tim koji uključuje i DPO) te prezentaciju korisnicima.
„Najveći izazov nam je bila priprema, na vrijeme oformiti tim, osigurati budžet i krenuti na vrijeme sa svim pripremama – Vlasta Marinović“
Nakon toga idu analiza i dizajn kroz procjenu stanja , koje funkcionalnosti trebamo, koliko smo usklađeni i DPIA. Nakon analize imamo evidenciju obrade osobnih podataka, status trenutnog stanja i odstupanja od GDPR zahtjeva, identifikaciju rizičnih obrada i funkcionalne i nefunkcionalne zahtjeve čime dolazimo do dizajna tehničkih i organizacijskih mjera, a time na kraju dolazi do provedbe.
Tek u toj fazi se događa integracija ili implementacija GDPR rješenja. U toj fazi se uspostavljaju GDPR funkcionalnosti (zahtjevi ispitanika, upravljanje privolama, upravljanje izvješćivanja o povredi osobnih podataka), zatim uspostava zaštite privatnosti, tehničkih i organizacijskih mjera te nadzora radi dokazivanja GDPR sukladnosti. Najveći izazov nam je bila priprema, na vrijeme oformiti tim, osigurati budžet i krenuti na vrijeme sa svim pripremama.
Dipl. iur. Martina Pedisić Drča, viši pravni savjetnik za pravne poslove i praćenje usklađenosti i Mario Ećimović glavni projektant u Allianz Zagreb, predstavili su dio implementacije u Allianzu.
„Jedna od core djelatnosti je prikupljanje i obrade osobnih podataka, pa se oslanjamo na četiri točke po zakonskim osnovama.
„Kod traženja privola mnoge će osiguravajuće kuće biti u problemima - Martina Pedisić Drča“
U sklopu GDPR-u trebat će se tražiti privola kod obrade medicinske dokumentacije za potrebe UW kod ugovaranja životnog osiguranja, osiguranja od nezgode te prikupljanje rješenja o invalidnosti za potrebe ostvarenja popusta kod osiguranja motornih vozila. Kod traženja tih privola mnoge će osiguravajuće kuće biti u problemima“, rekla je Martina Pedisić Drča.
„Allianz je na primjeru webshopa prikazao implementaciju GDPR-a. Morali smo implementirati brisanje osobnih podataka i dodali smo obavijest potrebe za čitanjem informacija o korištenju osobnih podataka uz pristanak te obavijest o potrebi za eksplicitnoj marketinškoj privoli u kojoj se klijent odlučuje pristaje li ili ne na to. Probali smo smanjiti tri „pain“ točke na dvije na način da smo dvije klazule spojili u jednu za čitanje i davanje privole.
„Morali smo implementirati brisanje osobnih podataka i dodali obavijest potrebe za čitanjem informacija o korištenju osobnih podataka uz pristanak – Mario Ećimović“
Preduvjeti za implementaciju brisanja osobnih podataka bili su identifikacija gdje se sve ti podaci nalaze, snimanje svih poslovnih procesa, vidjeti koji su to sve podaci i kada bi se trebali brisati. Kao bonus smo tu vidjeli konfigurabilnost“, navodi Mario Ećimović.
Na panelu implementatora sudjelovali su Marijan Bračić iz Poslovne inteligencije, Marin Luetić iz BISS-a te moderator Kristijan Zimmer, predsjednik HIZ-a.
„Fokusirali smo se na out of the box rješenja za veći broj korisnika za upravljanje privolama i korisničkim pravima. Consent Lifecycle Management, upravljanje privolama, kompleksan je zadatak, budući da se GDPR odredbom promijenila definicija privole. Jedan od velikih izazova je često mijenjanje privola koje korisnik može dati, pa oduzeti pri čemu se u realnom vremenu mora odmah prestati obrađivati podatke. Ključni problem koji morate riješiti je kako prepoznati jednog pojedinca ako koristite različite kanale“, rekao je Marijan Bračić iz Poslovne inteligencije.
„Nema smisla i nema svrhe da developeri vide osobne korisničke podatke, na produkcijskoj ili predprodukcijskoj razini, kazao je Marijan Bračić.
„Ako vas netko traži pravo na zaborav, GDPR ne smatra arhive iznimkom. Treba ipak uzeti razumne mjere, ako ništa drugo onda fizički.
„Ako vas netko traži pravo na zaborav, GDPR ne smatra arhive iznimkom – Marijan Bračić“
Ako vraćate podatke u neki sustav, a netko je tražio pravo na zaborav morate osigurati da ne vratite podatke tih korisnika“, rekao je Marijan Bračić na pitanje Kristijana Zimmera što s arhivama koje imaju mnoge tvrtke u raznim oblicima.
Na kraju konferencije iznimnu je pažnju privukao Shoot-out panel na kojem su na konkretna pitanja vezana uz GDPR odgovarali Biljana Cerin iz Ostendo Consultinga, Tihomir Katulić s Pravnog fakulteta i Nikola Markovinović iz Trilixa.
„Problem je što s onim podacima koji se prikupljaju, čiji temelj obrade nije zakon nego ugovor. Jesu li svi traženi podaci nužni za davanje usluge ili ne. To se treba riješiti sektorski da se odredi koji su podaci potrebni za uslugu. Ako vam je u nekom trenutku neki podatak trebao, a sada više nemate pravni temelj da ga zadržite morat ćete ga izbrisati, rekao je Tihomir Katulić s Pravnog fakulteta na pitanje oko prikupljanja osobnih podataka prilikom sklapanja ugovora."
„Ako razmjenjujete osobne podatke zaposlenika na temelju kojih će druga organizacija isporučiti uslugu poput instaliranja softvera ili računala, radi se o aktivnosti podložnoj Uredbi", navodi Tihomir Katulić. Nikola Markovinović iz Trilixa komentirao je kako se sve korisnike čiji su podaci podijeljeni između organizacija može obavijestiti o tome.
„Ako razmjenjujete osobne podatke zaposlenika na temelju kojih će druga organizacija isporučiti uslugu poput instaliranja softvera ili računala, radi se o aktivnosti podložnoj Uredbi - Tihomir Katulić“
Na pitanje koja je optimalna naobrazba jednog DPO-a budući da se traže multidisciplinarne kompetencije, Biljana Cerin odgovara: Osoba mora dobro poznavati propise, ali i dobro poznavati poslovanje tvrtke.
Trebalo bi naći osobu koja mora moći dokazati da zna sve što je potrebno. Telekomi traže IT komponencije, dok Uredba na prvo mjesto stavlja pravni aspekt. Sama Uredba ne traži određenu formalnu naobrazbu“. Nikola Markovinović iz Trilixa je na to dodao: „Karakter osobe mora biti radoznao i imati profesionalnu sumnju i to je to“.
Tihomir Katulić je zaključio: Zakoni ne bi trebali biti pisani da ih znaju čitati samo pravnici. Iako se slažem da je prema Uredbi na prvom mjestu pravni aspekt, iz iskustva mi se čini da je nemoguće biti DPO bez IT znanja.
Shoot-out panelom konferencija je završila i vjerujemo da je mnogima pojasnila mnogo toga u vezi implementacije GDPR-a, kao i o osnovnoj namjeni Uredbe, koja bi nam svima trebala osigurati privatnost podataka koje smo do sada jako naivno dijelili posvuda, a neki su na njima lijepo zarađivali bez da nas išta pitaju o tome. Vjerujemo da će tvrtke koje će uspješno implementirati GDPR u svoje poslovanje imati puno više koristi nego štete, no one koje su svoje poslovanje temeljile upravo na trgovanju podacima morat će učiniti neke drastične rezove jer od 25.5.2018 više ništa neće biti isto.
Vezani članci
- Novi broj: 30 godina putovanja VIDI Starshipa
- Istraživanje: Nagrade za inovacije mogu pozitivno utjecati na razvoj tvrtke
- Uspješno završeno treće izdanje The Geek Gatheringa: Dva dana učenja, inovacija i tech trendova
- Networking konferencija Alumnijada 2024: Platforma za budućnost
- Rast prometa stranih igrača i sigurnosni rizici u fokusu