GDPR Adriatic minuta do 12: Prodaja osobnih podataka za staklene perle Istaknuto
Najveći autoriteti iz područja GDPR-a u Hrvatskoj okupili su se u Zagrebu na regionalnoj konferenciji GDPR Adriatic minuta do 12 u organizaciji tehnološke medijske kuće Vidi i Hrvatskog informatičkog zbora.
Nakon vrlo posjećenog i uspješnog prvog izdanja konferencije 5 do 12, održane krajem prošle godine, nova konferencija u organizaciji VIDI-a i HIZ-a, dolazi samo dva mjeseca do stupanja na snagu GDPR uredbe pa je ovo izdanje konferencije dobilo i prigodan naziv - Minuta do 12.
Kristijan Zimmer, predsjednik Hrvatskog informatičkog zbora otvorio je konferenciju najavivši velik broj vrhunskih stručnjaka, pri čemu je naglasio kako se radi prije svega o ljudima iz IT-a, pa je odlično da kolege iz odvjetničkog svijeta vide način razmišljanja informatičara s kojima će morati raditi. Na početku je predstavljena anketa o GDPR-u. U odnosu na anketu koju smo sproveli među tvrtkama prije gotovo 3 mjeseca, smanjen je broj korisnika koji još nisu počeli implementirati GDPR, ali i dalje je 15 % onih koji još nemaju čak niti projekt. Zabrinjavajuće je što se u dijelu koji se odnosi na implementacije projekata, skoro 28 % tvrtki još uvijek nalazi na razini osvješćivanja uprave.
Stručnjak za sigurnost Dragan Petković, koji posjeduje 25-godišnje iskustvo voditelja na području sigurnosti za najveće tehnološke tvrtke, iznio je svoj pogled o funkcioniranju europske zakonske prakse zaštite podataka. Fokusirao se na to kako tumačiti GDPR i prikazao neke studije slučaja iz DPO prakse.
Kako bi pokazao kako funkcionira GDPR osvrnuo se na vrlo aktualan primjer iz prakse, tužbu Petera Nowaka iz Irske, koji je htio doći do rezultata svojeg ispita prema zakonu Data Subject Access Request, što mu je odbijeno uz objašnjenje da to nisu osobni podaci. Nakon toga se žalio na Prizivnom sudu, Visokom sudu, a potom i Vrhovnom sudu, no žalbe su odbačene sve dok slučaj nije stigao na Europski sud koji je naposljetku odlučio da popunjeni ispit predstavlja osobni podatak. T
ime je Dragan ukazao na to da se u europskoj sudskoj praksi različito gleda na to što su osobni podaci, a za kraj je slikovito usporedio naš pristup osobnim podacima s prodajom najvećih vrijednosti američkih Indijanaca za staklene perle. "Tako i mi prodajemo naše najvrjednije stvari za besplatni email i video filmove mačaka", našalio se Dragan.
Stanko Cerin, direktor Ostendo Consultinga pokušao je demistificirati mitove o DPR-u kroz vrlo atraktivno predavanje naziva 10 mitova o GDPR-u.
U svom je izlaganju između ostaloga spomenuo zabludu da javno objavljeni osobni podaci nisu osobni podaci, kao što su osobni podaci obrtnika ili pravnih osoba u poduzećima u raznim registrima. Također je ukazao kako je mišljenje da osobne podatke treba enkriptirati ili pseudoanimizirati mit, jer su pseudoanimizacija i enkripcija dobre preporučene prakse, a mjere zaštite biraju se temeljem procjene rizika. Cerin drži i da kazne nisu prestroge jer bi se zaštita osobnih podataka trebala promijeniti, isto kao i način razmišljanja.
O zahtjevima i zamkama pri usklađivanju s GDPR-om kod mobilnih uređaja pričao je Nikola Markovinović, voditelj informacijske sigurnosti i konzaltinga u Trilixu.
U svojem se izlaganju osvrnuo na vrlo bitan Članak 5 koji govori da osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. „To znači ako na službenom mobitelu koristite osobni cloud servis, tvrtka koja vam je dala uređaj mora paziti na sigurnost podataka“, naglašava Markovinović.
Doc.dr.sc. Tonimir Kišasondi, voditelj Laboratorija za otvorene sustave i sigurnost s FOI-a održao je predavanje Znamo li jesmo li sigurni - testiranje sigurnosti sustava u doba GDPR-a.
Kišasondi je naglasio kako za incidente nije pitanje hoće li se dogoditi, nego kada će se dogoditi, pa je ideja planirati unaprijed. „Već su poznate najbolje prakse. Ne možete riješiti tehnički problem organizacijskim pristupom, niti se organizacijski problem može riješiti nekim tehnološkim rješenjem. Najbolje prakse već postoje. Moguće je vrlo brzo proučiti ISO certifikate i pogledati što treba primijeniti“ zaključio je Kišasondi.
Na kraju prvog dijela konferencije uslijedila je panel diskusija pod nazivom Kako implementirati organizacijske i tehničke mjere u procesu usklađivanja s GDPR-om. Panel je moderirala direktorica ZIH-a dr.Sc. Silvana Tomić Rotim, a njezini sugovornici su bili Tomislav Pedišić, voditelj odjela zaštite podataka odvjetničkog društva Vukmir i suradnici, Marin Luetić CTO Bissa i Dragan Petković, stručnjak za sigurnost.
Dr. Sc. Silvana Tomić Rotim postavila je pitanje je li dolaskom GDPR-a najveći fokus na implementaciju organizacijskih mjera kojima se reguliraju prava ispitanika, upravljanje privolama, osiguranje na ispravak i zaborav osobnih podataka itd., ili na implementaciju različitih tehničkih rješenja za maskiranje podataka, nadzor pristupa, osiguranje DR lokacije itd.
Tomislav Pedišić je naglasio da su dobra početna točka pitanja, zašto, gdje, čije i kakve osobne podatke obrađujemo. Tek nakon toga idu kvalitetne preporuke, a postupak traži interdisciplinarnu usklađenost pravne i tehničke strane.
Marin Luetić je istakao kako ne postoji jedno sveobuhvatno tehničko rješenje. „Potrebno je dobro mapirati osobne podatke u sustavima, koji mogu biti i heterogeni te znati s kojim se sustavima dijele podaci. Tek nakon te temeljne analize mogu se implementirati tehnička rješenja, koja nisu sveobuhvatna, već se moraju prilagoditi i onda na rješenje konkretnog problema primijeniti konkretne aplikacije“, izjavio je Marin Luetić iz Bissa.
Dragan Petković je ukazao da tvrtke imaju probleme jer imaju podatke posvuda. „Prvo bi trebali znati gdje im se nalaze podaci. Što se tiče tehničke zaštite, trebali biste za svaki podatak koji procesirate znati zašto ga procesirate i implementirati zaštitu za taj proces“, rekao je Dragan Petković.
Tehnološka implementacija GDPR-a u praksi, privole i prava građana bio je naziv predavanja koje su održali direktor konzultacije Marijan Bračić i prodajni konzultant Goran Marković iz Poslovne inteligencije.
Oni su predstavili rješenje Consent Lifecycle Manager, koji omogućuje upravljanje životnom ciklusom privola i digitalni registar evidencije upravljanja podataka. „CLM je alat službenika za zaštitu osobnih podataka, nudi analitiku, a može odlično poslužiti i marketingu“, rekao je Marijan Bračić, te dodao: „Softver je građen samo za GDPR, u njega je ugrađen 'privacy by design and default'. Osim što je to centralno mjesto za DPO, to je i alat za prodaju, IT, marketing te Upravu.
Tomislav Vazdar, direktor Sektora korporativne sigurnosti i CSO ERSTE&STEIERMÄRKISCHE BANK d.d. održao je predavanje GDPR u službi prosperiteta.
„GDPR je realnost revolucije velikih podataka. Nama je to prilika da u dva ciklusa pročistimo sve podatke. Kod Erste postoji duga tradicija standardizacije u banci, pri čemu smo shvatili da je lakše poslovati kada se to implementira. Najveći izazov je mijenjati cijelu paradigmu poslovanja. Bankovna tajna, poslovna tajna i kartični podaci su vrste informacije u kreditnoj instituciji. Kada smo radili analizu, ispalo je da preko 90% podataka spada u osobne podatke.
Vrlo zanimljivo predavanje održala je direktorica Parlov Digital Intelligence, Natalija Parlov Una, na temu Što će GDPR promijeniti u vašoj prodaji i marketingu.
„Nisam veliki zagovornik mišljenja da će GDPR ubiti marketing, jer je on onaj koji pokreće ekonomiju. Pored toga osvrnula se i na korištenje „kolačića“ (cookieja). Što se tiče cookieja, nema jasne definicije da li oni krše GDPR. Za sada je definicija da možda krše, a naš stav je da ćemo ih koristiti sve dok neće biti jasno i nedvosmisleno rečeno da se ne smiju koristiti“, rekla je Natalija Parlov Una.
Kako funkcionira GDPR u webovima i webshopovima predstavile su Nina Božičević, voditeljica projekata Bonus Rei i Lili Rodić, direktorica Adora.
Lili Rodić kazala je kako je GDPR upgrade liti nadogradnja dosadašnjih pravila. Kritične točke na webu su CMS, kontaktni obrazac i prijava na newsletter.
Nina Božičević krenula je sa svojim iskustvima implementacije u srednjim i malim poduzećima: „Prvi korak je definitivno informiranje zaposlenika i edukacija. Otvorenom komunikacijom klijentu dajemo poruku kako svojim usklađivanjem i prilagodbom uredbi, brigu o njihovim podacima dižemo na višu razinu. Bitno je naglasiti kako ne postoji konačna prilagodba GDPR-u, već je to proces koji je kontinuiran“.
Konferenciju je zaključio Tomislav Pedišić, voditelj odjela zaštite podataka iz odvjetničkog društva Vukmir i suradnici. Tema predavanja je bila nacrt prijedloga Zakona o provedbi Opće uredbe o zaštitu podataka. Taj nacrt možete pogledati na stranici e-savjetovanje.
Konačni zaključak koji se nameće nakon ove netom završene konferencije je da se ne trebate plašiti GDPR-a čak i ako ste jako slabo upućeni, jer već postoje brojni stručnjaci koji će vam pomoći u implementaciji, a puno toga možete saznati iz praktičnih primjera onih koji su Uredbu već implementirali u svoje poslovanje. No sada doista više nemate što čekati, jer minuta do 12 već otkucava.
Vezani članci
- Cybersecurity uz bok klimatskim promjenama i visokim troškovima života po pitanju važnosti
- Uspješno završeno treće izdanje The Geek Gatheringa: Dva dana učenja, inovacija i tech trendova
- Networking konferencija Alumnijada 2024: Platforma za budućnost
- Rast prometa stranih igrača i sigurnosni rizici u fokusu
- A1 Hrvatska i CSI okupili vodeće svjetske stručnjake na konferenciji o online sigurnosti