GDPR – izazovi usklađivanja za menadžment
U današnje doba kada živimo u eri informacijske tehnologije većina tvrtki prepoznaje informaciju kao najvrjedniji dio imovine. Naravno, informacija se ne bilježi u bilancama tvrtki kao novčana vrijednost jer ju je teško vrednovati iznosom. No, koliko god apstraktno zvučalo u klasičnom knjigovodstvenom rječniku informacija jest imovina, a osobni podatak predstavlja njen ključni dio. Na obradi osobnih podataka izrasle su neke od najvećih tvrtki današnjice kao što su Facebook, Google, Yahoo ili Uber. No isto tako, banke, osiguranja, telekom tvrtke, komunalna društva i mnogi drugi temelje svoje poslovanje na obradi osobnih podataka. Kako kompanije posluju globalno, a podaci podliježu prekograničnom prijenosu, tijela Europske unije donijela su zakonodavni okvir kako bi na cijelom području EU ujednačila pravila obrade osobnih podataka.
Što je GDRP?
Evidentno je da se moderni oblici poslovanja temelje na obradi osobnih podataka i personaliziranom obliku pružanja usluga. Jednako tako, koncept moderne države zasniva se na digitalnim uslugama. Primjer tome je sustav e-Građani kroz koji različite službe državne administracije obrađuju osobne podatke i daju ih na korištenje zainteresiranim stranama. Ujedno, moderno poslovanje zahtjeva globalnu prisutnost tvrtki na tržištu, a samim time i slobodan prekogranični prijenos podataka što se posebno očituje kod korištenja Cloud rješenja. Korištenje Cloud rješenja tvrtkama osiguravaju niže troškove poslovanja ali i fleksibilnost i efikasnost u poslovanju. Takav oblik poslovanja posebno je prisutan kod banaka, osiguravajućih tvrtki, telekoma kao i ostalih multinacionalnih kompanija no i sve veće zastupljenosti međunarodnih servisnih usluga u poslovanju malih i srednjih poduzeća.
Zbog neujednačene prakse zaštite osobnih podataka na području Europske unije, Europski parlament i Europska komisija donijeli su Opću uredbu o zaštiti osobnih podataka (GDPR). Ova Uredba stvara obvezu primjene mjera zaštite osobnih podataka za sve poslovne subjekte koji obrađuju podatke građana Europske unije neovisno o tome obavlja li se obrada u Uniji ili izvan Unije. Zahtjevi postavljeni ovom uredbom predstavljaju velike izazove za menadžment tvrtki obzirom da je potrebno provesti opsežne i zahtjevne radnje u procesu usklađivanja te provesti određene promjene u organizacijskom i tehničkom segmentu poslovanja. Svako narušavanje odredbi definiranih GDPR-om izlaže tvrtke vrlo visokim kaznama i to do 20.000.000 € ili 4% ukupnih godišnjih prihoda na razini grupe.
Zahtjevi definirani ovom Uredbom postavljaju sedam osnovnih načela zaštite osobnih podataka i to:
- Odgovornost u procesu
- Ograničavanje svrhe obrade
- Zakonitost i transparentnost prikupljanja
- Optimizacija količine podataka
- Točnost i ažurnost podataka
- Ograničavanje trajanja pohrane
- Povjerljivost i integritet podatka.
U odnosu na postojeći Zakon o zaštiti osobnih podataka (NN 103/03, 118/06, 41/08, 130/11, 106/12) osim značajnih razlika u kaznenim odredbama, GDPR donosi cijeli niz novina kako u definiciji osobnog podatka tako i u zahtjevima koji se odnose na samu obradu. Isto tako, GDPR uvodi nove pojmove kao što su pseudonimizacija i profiliranje o kojima će biti riječi u nastavku.
Ovom uredbom poseban naglasak se stavlja na prava ispitanika tj. na prava osoba čiji se osobni podaci obrađuju. U kontekstu prava ispitanika koja proizlaze iz zahtjeva GDPR-a ističu se obrada prava na temelju privole, pravo ispitanika da bude informiran te pravo na zaborav.
Sagledavajući u cjelini zahtjeve GDPR-a, glavni zadatak koji se nameće je spriječiti narušavanje povjerljivosti i integriteta osobnih podataka te spriječiti neovlaštenu dostupnost osobnim podacima. Time se GDPR ni po čemu ne razlikuju od općih zahtjeva za sigurnost informacijskih sustava te na taj način tvrtke štite vlastitu imovinu. Stoga, za usklađivanje sa zahtjevima GDPR tvrtke trebaju ustrojiti nove ili uskladit postojeće upravljačke, logičke i fizičke kontrole. Tako usklađene kontrole osim interne primjene odnose se na pružatelje usluga u procesu obrade osobnih podataka obzirom da eksternalizacijom poslova se ne može eksternalizirati odgovornost, no preuzimanjem poslova preuzimaju se obveze definirane Uredbom. Isto tako, vidljivo je da se odgovornost za zaštitu osobnih podataka ravnomjerno dijeli na sve segmente poslovanja od upravljačke razine preko glavnih poslovnih procesa do procesa podrške.
Primjena odredbi GDPR-a počinje 25.05.2018. što predstavlja dodatni izazov za tvrtke obzirom na kratko vrijeme za prilagodbu.
Osobni podatak i njegova obrada
Uobičajeno shvaćanje osobnog podatka odnosi se na ime, prezime, adresu te neki od matičnih brojeva građana koji se vode u registrima kojima upravlja država (npr. OIB, JMBG, broj osiguranika u HZZO,…). Međutim, definicija osobnog podatka prema trenutno važećem Zakonu o zaštiti osobnih podataka, a posebno prema GDPR-u uzima u obzir daleko veći broj identifikatora koji u međusobnoj kombinaciji predstavljaju osobni podataka te se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osoba čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Ujedno, definicija obrade osobnih podataka prema GDPR kaže da je „obrada” svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. Sukladno novoj definiciji osobnog podatka i obrade osobnog podatka, podatak o lokaciji ili mrežni identifikator (IP adresa Internet priključka, identifikator mobitela,…) pod određenim okolnostima smatra se osobnim podatkom. Navedeni identifikatori, sami po sebi ne predstavljaju osobni podatak, no kombinacijom dva ili više navedenih identifikatora moguće je izravno ili neizravno utvrditi identitet pojedinca, pa time u kombinaciji postaju osobni podatak. Primjer tome je presuda Europskog suda pravde iz listopada 2016. godine kada je Sud u slučaju 582/14 – Patrick Breye protiv Njemačke donio odluku da IP adresa pod određenim okolnostima predstavlja osobni podatak (http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=EN). Ovom presudom otvaraju se mnoga pitanja vezana uz obradu osobnih podataka. Jedno od osnovnih pitanja je koji su to podaci s kojima tvrtka raspolaže, a po svom obilježju predstavljaju osobni podatak. Jednako tako važno pitanje je temeljem koje poslovne potrebe se prikupljaju podaci koji prema definiciji GDPR predstavljaju osobni podatak te tko i pod kojim uvjetima koristi osobne podatke. Na kraju, ali ne manje bitno, nameće se pitanje na koji način se štite osobni podaci u svakoj od faza obrade osobnih podataka. Uzimajući u obzir identifikatore osobnog podatka kao i definiciju obrade osobnih podataka očito je da se ova Uredba ne odnosi samo na obradu osobnih podataka klijenata tj. korisnika usluga koje pojedina tvrtka pruža već i na obradu svih osobnih podataka koji su na raspolaganju u tvrtki. Između ostalog, to su osobni podaci zaposlenika, privremenih i povremenih vanjskih suradnika kao i dobavljača.
Zbog velike količine osobnih podataka u različitim poslovnim procesima, kao i obrade niza drugih podataka koji u međusobnoj kombinaciji sukladno definiciji predstavljaju osobni podatak, bez obzira da li se radi o nestrukturiranom ili strukturiranom podatku te obavlja automatiziranim ili neautomatiziranim sredstvima, očito je da proces usklađivanja sa zahtjevima GDPR-a predstavlja izuzetno velik izazov za cijelu organizaciju, a posebno za menadžment i Upravu koji su dužni osigurati resurse za uspješno usklađivanje sa zahtjevima GDPR.
Izazovi GDPR za menadžment
Nastupanjem obvezne primjene odredbi GDPR-a za nešto više od 9 mjeseci (25.05.2018.) sve tvrtke koje se ne usklade sa zahtjevima izlažu se prijetnji drastično većih kazni u odnosu na one koje su danas propisane. Trenutno važeći Zakon o zaštiti osobnih podataka propisuje kazne za narušavanje zahtjeva do maksimalne visine od 40.000,00 kn, dok kako je ranije navedeno kazne temeljene na GDPR-u se kreću do 20.000.000,00 EUR ili 4% ukupnih godišnjih prihoda. Ujedno, GDPR omogućuje ispitaniku da pokrene pred nadležnim sudom postupak protiv voditelja ili izvršitelja obrade osobnih podataka ukoliko smatra da su mu zbog obrade osobnih podataka narušena prava temeljena na Uredbi. Visina kazne temeljene na GDPR ovisi o stupnju usklađenosti tvrtke sa zahtjevima za zaštitu osobnih podataka kao i primjenom i provedbom načela zaštite osobnih podataka. Obzirom na moguću realizacija štetnog događaja koji bi za posljedicu imao narušavanje sigurnosti osobnih podataka, a samim time i pokretanje postupka sa visokim kaznama mogu dovesti u pitanje opstanak tvrtke. Osim financijskog rizika, tvrtke se izlažu riziku neusklađenosti sa zakonskim zahtjevima, operativnim rizicima, a poseban naglasak treba staviti na reputacijski rizik. Stoga je izuzetno važno da uprave tvrtki razumiju važnost zahtijeva usklađivanju sa zahtjevima GDPR-a te daju upravljačku podršku pri implementaciji istih u vlastitim tvrtkama.
U dijelu upravljanja operativnim rizicima je uspostava adekvatnih internih kontrola kod obrade osobnih podataka. Posebno se to odnosi na jasno definirane uloge, odgovornosti i nadležnosti za sve sudionike u procesu zaštite osobnih podataka. Jedna od ključnih uloga u procesu usklađivanja sa zahtjevima GDPR te provedbom postupaka nakon procesa usklađivanja je službenik za zaštitu podataka. Njegova uloga i zadaće su definirane Uredbom a primarno se odnose na uspostavu sustava upravljanja sigurnošću podataka kroz politike i procedure. Jednako tako, odgovornost službenika za zaštitu podataka je koordiniranje vlasnika poslovnih procesa u postupku identifikacije osobnih podataka po poslovnim procesima kao i praćenje i nadzor implementacije i primjene kontrola za zaštitu osobnih podataka. Postupci implementacije i primjene kontrola za zaštitu osobnih podataka zahtijevaju od uprava donošenje odluka i osiguravanje sredstava. U slučaju, nezakonite obrade ili curenja osobnih podataka tvrtke su izložene reputacijskom riziku.
GDPR u operativnim procesima
Kada se govori o obradi osobnih podataka ne može se zaobići ni jedan segment poslovanja tvrtke. Razlog tome je što se ova Uredba ne odnosi samo na obradu osobnih podataka klijenata, kako je to ranije rečeno već obuhvaća i obradu osobnih podataka zaposlenika i dobavljača. U kontekstu obrade osobnih podataka zaposlenika proces obrade započinje prijavom zainteresiranih kandidata na oglas za zaposlenje preko potpisivanja ugovora o radu, evidentiranja zaposlenika kroz različite registre koje je poslodavac dužan voditi u skladu sa drugim zakonima. U tu grupu obrade osobnih podataka, između ostalog, podrazumijeva se distribucija životopisa zaposlenika prilikom natječajnih postupaka. Isto tako, obradom se smatraju i drugi oblici analitičkih postupaka koji služe poslodavcu za utvrđivanje učinkovitosti zaposlenika. Svakako, prilikom ovakvih obrada podataka potrebno je voditi računa i o drugim zakonskim propisima te primjenjivati i odredbe tih zakona. Posebno se to odnosi kod zakona kojima se definiraju radno-pravni odnosi kao i računovodstveni standardi. Važnost koordiniranog djelovanja službenika za zaštitu osobnih podataka i vlasnika poslovnog procesa se očituje u postupcima procjene rizika i utvrđivanja obveza čuvanja osobnih podataka. Kako su pravo na zaborav i pravo na obustavu obrade osobnih podataka neka od temeljnih prava ispitanika, realizacija takvog prava može kod voditelja obrade prouzročiti izloženost riziku neusklađenosti sa drugim zakonskim aktima ili dovesti do operativnih problema. Stoga je izuzetno važno u inicijalnoj fazi procesa usklađivanja sa zahtjevima GDPR kao i u daljnjoj primjeni internih kontrola pristupati detaljno i sistematično. Nezaobilazan dio analize obrade osobnih podataka je analiza informacijskog sustava i okruženja. Tijekom analize informacijskog sustava i okruženja neophodno je uključiti sve procese podrške a posebno organizacijske jedinice odgovorne za funkcioniranje IT infrastrukture, službe koje se bave pohranom i arhiviranjem podataka kao i vanjske suradnike kojima su povjereni dijelovi procesa obrade osobnih podataka.
Kod poslovnih procesa koji su pak orijentirani prema korisniku roba i usluga, a odnose se na razvoj novih proizvoda ili prodajne procese posebna pozornost mora biti usmjerena na opseg i svrhu obrade osobnih podataka za koju je dobivena privola od strane ispitanika.
GDPR u svojih 99 članak detaljno raspisuje prava i obveze svih sudionika u procesu obrade osobnih podataka. Kako bi se tvrtke na vrijeme prilagodile (rok za primjenu odredbi je 25.05.2018.) opisanim zahtjevima velika je odgovornost, a samim time i izazovi na upravama i menadžmentu da donesu odluku o pokretanju postupka usklađivanja. Kao što je u tekstu ranije navedeno veliki izazovi se kriju u osiguranju resursa za adekvatno provođenje postupka kako bi se smanjile prijetnje narušavanja povjerljivosti i integriteta podataka te spriječila neovlaštena dostupnost osobnim podacima, a samim time i ublažili rizici koje su ranije opisani.
Nikola Markovinović
O ovome možete sazanti više na edukacjii GDPR – Izazovi za menadžere i poslovne analitičare.
Literatura:
Zakon o zaštiti osobnih podataka (NN 103/03, 118/06, 41/08, 130/11, 106/12)
Regulation (EU) 2016/679 of the European Parliament and of the Council [2016]; Opća uredba o zaštiti podataka (eng. General Data Protection Regulation)
ECLI:EU:C:2016:779; Judgment of The Court (Second Chamber) In Case C‑582/14
Kolumne