Od 25. maja na snagu stupa GDPR, odnosno Opća uredba o zaštiti podataka Evropske unije, koja će drastično promijeniti odnos kompanija prema privatnim podacima na internetu. To je bio povod da razgovaramo s regionalnim stručnjacima, koji su nam dali svoje viđenje ove regulative i spremnosti firmi iz okruženja da joj se prilagode
Pišu: Senad Matić Karić i Vesna Matić Karić
E-mail: redakcija@asadria.com
“Podaci su nova nafta” – izjavio je Jonathan Taplin, direktor emeritus Annenberg laboratorija za inovacije na Univerzitetu u Južnoj Kaliforniji. I nije jedini stručnjak koji tako misli. Značaj velikih podataka nikada nije bio važniji, naročito ako se kombinuju s naprednom analitikom zasnovanom na vještačkoj inteligenciji i potencijalom koji donosi internet stvari. U vremenu u kojem podaci mogu potaknuti veliki rast kompanija, potrebno je imati odgovarajući skup pravila koji će ne samo regulisati upravljanje privatnim podacima u cilju zaštite privatnosti ljudi nego će pomoći i u zaštiti samih kompanija od cyber kriminalaca. Opća uredba o zaštiti podataka, odnosno GDPR, upravo je takav obavezujući skup pravila kojim se reguliše upravljanje i zaštita ličnih podataka na području Evropske unije, ali i van nje, ukoliko se upravlja podacima građana Evropske unije. Ovaj posljednji detalj jedan je od glavnih razloga zbog kojeg se proteklih mjeseci o GDPR-u sve više priča te se ubrzano organizuju konferencije i radionice o njegovoj implementaciji, budući da to znači da će se sve, pa i regionalne i prekookeanske kompanije koje sarađuju s evropskim firmama i pri tome upravljaju podacima građana Evropske unije morati prilagoditi regulativi te uvesti isti nivo sigurnosti za podatke.
Pojam ličnih podataka obuhvata bilo kakvu informaciju o pojedincu koja se može koristiti za direktno ili indirektno identifikovanje osobe, što uključuje sve od imena i fotografije, preko e-mail adresa, bankovnih podataka, postova na društvenim mrežama do zdravstvenih podataka i IP adrese računara. GDPR se odnosi ne samo na kompanije koje prikupljaju lične podatke i odlučuju o njihovoj upotrebi (u GDPR regulativi nazvane “kontrolori”) nego i na kompanije koje procesiraju takve podatke za kontrolore. Drugim riječima, od regulative neće biti izuzeti ni cloud servisi.
Ključni aspekti GDPR-a: sigurnost i privatnost po jednakim pravilima
GDPR je zamijenio raniju Direktivu o zaštiti podataka 95/46/EC iz 1995. godine, koja je iz očitih razloga zastarjela u vremenu u kojem dolazi do neizbježnog uspona IoT-a. Jedan od pokazatelja da je pravo vrijeme za promjene u upravljanju podacima i njihovom osiguravanju jeste i nedavni slučaj u kojem je Cambridge Analytica, britanska politička konsultantska kompanija, na neprimjeren i neovlašten način prikupila lične podatke 50 miliona korisnika Facebooka radi profiliranja glasača u svrhu osmišljavanja predsjedničke kampanje Donalda Trumpa. Pri tome je Facebook znao za to protekle tri godine, ali nije obavijestio javnost o tome. Osim spomenutog prekograničnog prilagođavanja regulativi, jedna od najčešće spominjanih praksi koje GDPR uvodi jeste i „princip ugrađene privatnosti“. To znači da se sistemi moraju od početka graditi sa zaštitom privatnosti, umjesto da im se to naknadno dodaje uz potencijalno neadekvatnu primjenu. Između ostalog, ovo podrazumijeva provođenje sveobuhvatne pseudonimizacije kao što je enkripcija te redakciju videa pri snimanju javnih površina i ograničavanje pristupa samo onim podacima koje treba obraditi.
“GDPR prvenstveno donosi bolju zaštitu građana i veću kontrolu nad obradom osobnih podataka. Postrožena pravila sama po sebi donose i uređen sustav te veću kontrolu i sigurnost u obradi. Novost je ‘pravo na brisanje’, poznato i kao ‘pravo na zaborav’ (engl. Right to be forgotten)”, objašnjava stručnjakinja za zaštitu ličnih podataka, GDPR, informacijsku sigurnost i pametne tehnologije te šefica Katedre za ekonomske i finansijske znanosti na Pravnom fakultetu Sveučilišta u Splitu doc. dr. sc. Marija Boban. Načelo ovog prava je omogućiti pojedincima da zatraže brisanje ili uklanjanje ličnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. „Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google, koji svoje domene ima u svim državama EU (naprimjer Google.hr), brisati “linkove” sa svim instancama, što će predstavljati i trošak novca i vremena”, dodaje Boban, napominjući da će to ipak rezultirati ključnom stvari koja Evropu najviše zanima – većom kontrolom koju će građani Evropske unije imati nad obradom svojih ličnih podataka.
Pravo na brisanje, prijenos, saglasnost
Tomislav Štefe, direktor prodaje u zagrebačkoj kompaniji za informatičku sigurnost Sagena informatički inžinjering, na slikovit način objašnjava značaj GDPR-a: “Važno je shvatiti da GDPR regulativa donosi najvažniju promjenu u zaštiti osobnih podataka u posljednjih 20 godina. Ponekad znam reći poslovnim partnerima na sastancima i prezentacijama da zamisle osobne podatke kao novčanice ili neke druge osobne dokumente. Kada bi, naprimjer, netko kopao po vašem novčaniku i tražio novac, to se smatra isključivo kažnjivim djelom. Isto tako, kada ubuduće netko bude pristupao vašim osobnim podacima, morat će se znati tko to smije raditi i na koji način. Ako to radi neovlašteno, platit će kaznu.” Štefe dodaje da bi normalno bilo da “cijenimo i čuvamo podatke kao što je normalno da zaključamo vrata stana i prozore kuće. Sada se samo dogovaramo putem ove Uredbe da je to obavezno”. Još jedan ključni novitet jeste pravo na prijenos podataka, pri čemu korisniku treba omogućiti da svoje lične podatke koji se mogu povezati s njim prenese iz jednog u drugi sistem za procesiranje podataka, sve dok to ne podrazumijeva kršenje intelektualnih prava. Ovo uključuje ne samo podatke koje je korisnik sam dao kompaniji nego i one o njegovom ponašanju, a podatke mora dobiti u nekom često korištenom i uobičajenom elektronskom formatu.
Stručnjakinja za IT i telekomunikacijske sisteme dr. Sabina Baraković napominje da će prijenos ličnih podataka građana Evropske unije biti omogućen jedino u slučaju da su svi sigurnosni uslovi zadovoljeni. “Prilikom prenosa podataka u zemlje za koje Evropska unija nije dala odobrenje kompanije moraju tražiti specijalnu pravnu saglasnost. Kompanije koje obrađuju lične podatke u ime drugih također će imati direktne obaveze i odgovornost, te se mogu smatrati odgovornim za zloupotrebu podataka. Iz tog razloga morat će s kompanijama koje prikupljaju podatke jasno definisati uslove obrade ličnih podataka, te održavati sigurnost podataka kroz odgovarajuće tehničke i organizacijske mjere”, kaže Baraković.
Saglasnost za korištenje podataka i pravo na informisanost o svrsi i lokaciji procesiranja podataka područja su koja GDPR dodatno definiše, budući da kompanije neće više moći tražiti pristanak za korištenje podataka kroz duge dokumente pune pravne terminologije. Umjesto toga, saglasnost mora biti jasna, razumljivo napisana i odvojena od drugih aspekata korištenja softvera i računarskih usluga. Također je treba biti moguće lako povući. Na sličan način funkcioniše i pravo na informisanost – kompanija mora korisniku besplatno isporučiti kopiju ličnih podataka u elektronskom formatu i obavijestiti ga o tome da li i kako se njegovi podaci obrađuju.
Zatim imamo DPO-a, odnosno službenika za zaštitu podataka. Kompanije će, ovisno o vrsti i obimu u kojem upravljaju osjetljivim ličnim podacima, morati angažovati DPO-a. Bitno je spomenuti da se ovo može odnositi i na male firme, bez obzira na to što se u ranijim fazama definisanja GDPR-a upošljavanje službenika za zaštitu podataka odnosilo samo na kompanije sa više od 250 zaposlenika. U principu, DPO će biti potreban firmama koje u velikom obimu sistematski i regularno nadgledaju lične podatke, kao i onima koje procesiraju bilo koju kategoriju ličnih podataka, uključujući i one koji otkrivaju etničko porijeklo te političku i religijsku opredijeljenost, kao i lične podatke koji se odnose na krivične presude i prestupe.
I na kraju, blagovremeno prijavljivanje sigurnosnih incidenata podrazumijeva da se cyber sigurnosni incidenti koji predstavljaju rizik za pojedince moraju brzo prijaviti bez nepotrebnog odugovlačenja. „Tačnije, kompanije moraju informisati odgovarajuća nadležna tijela o curenju podataka najkasnije 72 sata od otkrivanja”, naglašava Baraković. Obavezujuću prirodu GDPR-a prate vrlo visoke kazne u slučaju nepridržavanja njegovih stavki. Maksimalna kazna za ozbiljne propuste kao što su odsustvo odgovarajuće saglasnosti korisnika za procesiranje njegovih podataka ili nedovoljna zaštita privatnosti iznosi 4% globalnih godišnjih prihoda ili 20 miliona eura, šta god bude veće. Za druge prestupe poput neblagovremenog obavještavanja o hakerskom napadu koji je ugrozio lične podatke – kompanije mogu biti kažnjene iznosom od 2% prihoda.
Prilagođavanje GDPR-u i troškovi provedbe
Jedno je sigurno: GDPR nije regulativa čije će uvođenje biti moguće izvesti jednokratno, nego je riječ o kontinuiranom procesu koji će uvijek biti dio poslovanja kompanija. Mnogi stručnjaci se slažu u ocjeni da više od ispunjavanja samih tehničkih uslova kompanije moraju biti spremne prilagoditi unutrašnju organizaciju i filozofiju rada novim okolnostima.
“U uvođenju Opće uredbe o zaštiti podataka jako je bitno da vodeći ljudi kompanija budu upoznati s tim, znači od uprava, pravnih i finansijskih službi pa sve do IT sektora. Ponekad se misli da se Uredba odnosi samo na IT sektor, ali to nije tako. To je zato što su danas većinom podaci digitalizirani. No, Uredba se odnosi na sve u kompaniji, a IT sektor ponajviše operativno pomaže da se ona primijeni”, kaže Štefe.
On je također detaljnije pojasnio na šta je bitno obratiti pažnju prilikom prilagođavanja GDPR-u i navodi neka rješenja za bezbolniju prilagodbu: “U samom uvođenju postoji nekoliko faza: upoznavanje i dizanje svjesnosti Uprave o Regulativi, rad s pravnom službom te rad s IT sektorom i svima ostalima. Mi ponajviše kao dugogodišnji Platinum partner renomirane kompanije McAfee nudimo tzv. toolove kojima se Uredba može lakše implementirati. Dakle, postoji softver kojim možete pokrenuti tzv. discovery podataka koji vam pronalazi osobne podatke (matični broj osobe, brojeve dokumenata i sl.) i onda te podatke dalje možete lakše strukturirati i definirati njihov pristup i ovlaštenja. Također, Uredba nalaže da se i osobe koje rade s bazama podataka moraju kontrolirati, pa u tu svrhu nudimo DAM (Database Activity Monitor) rješenja koja dodatno štite baze podataka te kontroliraju tko je sve imao pristup bazi, što i kada se po bazi podataka radilo. Ukoliko dođe do problema uzrokovanog hakerskim napadom, potrebno ga je brzo rješavati. Za ovu potrebu nudimo korisnicima SIEM (Security Information Event Management) alate koji prate rad cijelog sustava i vide iz kojeg izvora napad dolazi. Takvi alati vam drastično skraćuju vrijeme potrebno za izolaciju problema, a samim time i vrijeme da sustav zakrpite i stabilizirate”, objašnjava Štefe.
S druge strane, član Nacionalnog vijeća za kibernetičku sigurnost Hrvatske i nekadašnji predsjednik vijeća HAKOM-a Dražen Lučić vjeruje da će se mnogi problemi i nedoumice vezane za ovu problematiku rješavati u hodu i dodaje: “Vrlo brzo će se vidjeti koliko su kompanije zaista spremne, a koliko je to bila samo samoreklama isticanjem.” On također smatra da je u prvoj fazi primjene bitno da “određeni problemi ne budu povod za kažnjavanje organizacija i odgovornih pojedinaca u njima, nego poticaj za prilagodbu rješenja stvarnim uvjetima poslovanja i rada organizacija”. Konkretnije informacije vezane za same troškove provedbe GDPR-a dobili smo od Alena Šalamuna, tehnološkog direktora slovenske firme REAL Security. On napominje da će troškovi biti u korelaciji s time kako su organizacije pratile opće smjernice razvoja IT sigurnosnih sistema. “Kompanija koja nema osnovne elemente kao što su firewall, IPS sistem, backup sistem, SIEM sistem, DLP i slično imat će, naravno, visoke troškove, ali ne zbog samog GDPR-a. To su sistemi koje bi već odavno morali imati. S druge strane, kompanija kojoj fali samo pravna strana – definicija baze ličnih podataka i interni pravilnik – neće imati visoke troškove. Predviđa se da će troškovi implementacije za velike FTSE kompanije iznositi oko 480.000 eura, a za Fortune kompanije oko 800.000 eura. Na državnom nivou, riječ je o velikim ciframa u svakom slučaju”, objašnjava Šalamun. Što se tiče samog REAL Securityja, on napominje da su njihovi troškovi nešto manji, jer ne moraju zapošljavati nove radnike, a već su imali i skoro sve potrebne sisteme, tako da svoj trošak procjenjuju na 25.000 eura.
Utjecaj na zemlje van Evropske unije
Što se tiče kompanija iz zemalja koje nisu dio Evropske unije, a koje sarađuju s onima iz EU, Baraković se slaže da će ove promjene neizbježno utjecati i na njih. “Budući da kompanije iz Bosne i Hercegovine sarađuju sa kompanijama iz Evropske unije te obrađuju i koriste podatke građana Evropske unije, to znači da se Uredba odnosi i na njih. Uredba u potpunosti mijenja način na koji se podaci prikupljaju, koriste, obrađuju, pohranjuju i tretiraju na bilo koji način. Stoga je usklađivanje sa zahtjevima Uredbe kompleksan proces pun izazova koji će značajno utjecati na poslovanje kompanija širom svijeta, pa tako i u Bosni i Hercegovini”, kaže Baraković i dodaje: “Da bi se uskladile s Uredbom, kompanije u BiH moraju prilagoditi svoje poslovanje na način da koriste jednostavan, jednoznačan i razumljiv jezik komuniciranja s vlasnicima ličnih podataka, te da po zahtjevu vlasnika svaku radnju koja uključuje njihove lične podatke odrade u najkraćem mogućem roku uz dokaz da je zatražena radnja i izvršena. Također, moraju dobiti dozvolu za obradu ličnih podataka, dok za obradu podataka maloljetnih osoba moraju dobiti saglasnost njihovih roditelja. Dodatno, kompanije moraju omogućiti uskraćivanje saglasnosti za slanje poruka u direktnom marketingu.”
—————————–
Neki i dalje nespremni
GDPR je stupio na snagu 2016. godine, a obavezujući postaje nakon dvogodišnjeg perioda predviđenog za prilagođavanje poslovanja regulativi, tačnije 25. maja ove godine. Uprkos vremenu rezervisanom za prilagođavanje, trenutno vladaju podijeljena mišljenja o tome jesu li kompanije spremne za GDPR. Štefe iz Sagene dijeli korisnike u dvije grupe kada je riječ o njihovoj spremnosti za novu regulativu: “Dok se neki jako dobro pripremaju, naručuju konzalting usluge ili šalju svoje djelatnike na stručne seminare, ima i onih koji, da tako kažem, ne poduzimaju ništa, imaju pristup da je bolje pričekati i vidjeti kako će drugi nešto napraviti, pa onda isto implementirati kod sebe. Osobno mislim da je to potpuno promašen put. Ne govorim to iz razloga kako bi se tvrtkama prodao dodatni konzalting, softver i usluge za uvođenje GDPR regulative.”
Šalamun smatra da većina kompanija neće imati problema kada je riječ o spremnosti da se prilagode novoj regulativi, naglašavajući da GDPR služi kao nadogradnja postojećih zakona o zaštiti ličnih podataka. “Organizacije poput naše, koje su već slijedile primjere dobre prakse kako bi osigurale IT sisteme, sada ne moraju uraditi mnogo toga”, kaže on. Sličnu procjenu je ponudila i informacijska povjerenica Slovenije Mojca Prelesnik, s tim da ona naglašava kako postoji i veći broj izuzetaka. “Postoji značajan broj organizacija koje nisu obratile dovoljno pažnje na postojeću legislativu te je slabo poznaju i implementiraju – takve će se susresti s većim izazovima, budući da će morati mnogo toga naučiti i provesti za kratko vrijeme”, kaže Mojca.
S druge strane, Boban tvrdi da većina firmi nije spremna za nadolazeće promjene: “Uistinu bez okolišanja mogu reći da većina nije spremna ili su tek u postupku usklađivanja. A datum primjene jest već 25. maja 2018. Promjene su velike: od novih pravnih uvjeta do uvođenja ‘procjene rizika’ kroz ‘procjenu učinka’, pa do ostalih zahtjeva koje Uredba donosi i direktno se primjenjuju za sve koji posluju na području Europske unije, odnosno za sve koji obrađuju podatke građana EU.”
Nastaje novo tržište
Naši sagovornici se uglavnom slažu u jednom – da će biti spremni do 25. maja za sve što im GDPR donosi. Siniša Radulović, voditelj marketinga u Alarm automatici, kaže da je njihova kompanija prošle godine krenula s aktivnijom pripremom kako bi bili spremni na sve izazove koje donosi GDPR, a pridružuje mu se viši savjetnik za informatičku sigurnost u kompaniji Diverto i predsjednik Odbora za kibernetičku i informacijsku sigurnost HUMS-a Alen Delić, koji to predstavlja na živopisan način: “Iznimno je zanimljivo sagledati koliko smo spremni mi koji inače pomažemo drugima da se prilagode kako ne bi ispalo da su kod postolara (obućara) najgore cipele… Dakako, bit ćemo spremni za stupanje Uredbe na snagu”, kaže Delić. Profesor asistent pri Katedri za pravnu informatiku na Pravnom fakultetu Sveučilišta u Zagrebu doc. dr. sc. Tihomir Katulić kaže da će veće kompanije s naših prostora vjerovatno dočekati regulativu spremne: “U Hrvatskoj i regiji vjerujem da i dalje stoji ocjena da će telekomi, banke i financijske institucije zbog svojih resursa, posebno regulatornih stručnjaka, snažnih informatičkih i infosec odjela primjenu Uredbe dočekati spremni. Projekte je provelo ili provodi oko petina najvećih gospodarskih subjekata. Nastalo je živahno tržište konzultantskih usluga na kojem se natječe petnaestak kompanija. Situacija sa srednjim i manjim društvima značajno je slabija, dok javni sektor kao da misli da se to njih ne tiče. Srednji i mali poduzetnici uz velike rizike percipiraju Uredbu kao još jedan u nizu administrativnih tereta kojima države regije guše vlastito poduzetništvo i pokazuju da su i dalje tek na početku tranzicije u tržišna gospodarstva.”
Šta je s kompanijama iz SAD-a?
Pojedini mediji tvrde da polovina velikih kompanija iz SAD-a neće na vrijeme biti spremna za nove regulative. Kako i koliko bi se ova potencijalna nespremnost američkih kompanija mogla odraziti na njihovo dalje poslovanje s evropskim firmama pojasnio je Štefe: “Nemam gotove statističke podatke, ali na bazi mnogo iskustva u komunikaciji sa stranim partnerima stječe se dojam da se stranci ozbiljno pripremaju. To se vidi i po brojnim inozemnim GDPR konferencijama, samitima, eventima te mnogi IT vendori sve više nude razna rješenja za implementaciju GDPR-a na operativnoj razini.”
S njime se slaže i Šalamun, koji tvrdi da su kompanije iz SAD-a već dugi niz godina imale dosta stroge zakone vezane za potencijalne zloupotrebe ličnih podataka, tako da, kako smatra, neće biti problema koji se prognoziraju u pojedinim medijima. Delić ipak napominje da postoje poznati slučajevi u kojima su kompanije iz SAD-a odustale od daljih poslovnih aktivnosti vezanih za EU, bez obzira na to je li riječ o poslovanju u EU ili samo o korištenju podataka građana Evropske unije. Međutim, on smatra da su to ipak sporadični slučajevi te da će se svaka ozbiljnija kompanija koja ima EU kao tržište prilagoditi promjenama. Ipak, podijelio je s nama i jednu zanimljivu informaciju iz prve ruke koja pokazuje da stvari ipak nisu tako jednostavne. “U praksi je očito kako prilagodba ide sporije kad je u pitanju netko iz SAD-a. Upravo smo u procesu pregovora s kompanijom koja godišnje zarađuje desetke milijuna dolara, a s kojom nikako da usuglasimo stavove o prilagodbi GDPR-a”, rekao je Delić.
Potencijalni zastoji u provedbi GDPR-a
Zanimalo nas je i koliki izazov će kompanijama predstavljati da novim pravilima prilagode ne samo sebe i svoje sisteme nego i vanjske saradnike te krajnje korisnike njihovih usluga. U vezi s tim, Štefe naglašava da je provođenje GDPR-a izazov za sve u lancu, jer “kako podaci cirkuliraju među sudionicima poslovnih tvrtki bilo bi logično da ako su zaštićeni i kontrolirani u tvrtki A, onda nisu nezaštićeni i lako dostupni u tvrtki B“, zbog čega smatra da poslovni partneri prije svega trebaju dobro iskomunicirati i redefinisati način poslovanja kako bi bio usklađen sa GDPR-om.
Lučić tvrdi da je Opća uredba o zaštiti podataka istovremeno i izazov i prilika. “Većini organizacija koje upravljaju podacima bit će izazov, kako organizacijski tako i financijski. No to je istovremeno prigoda da te organizacije unaprijede unutarnje i vanjske procese u vezi s upravljanjem privatnim podacima. S druge strane, otvara se mogućnost jednom dijelu tvrtki da ponude dodatne usluge, da prošire broj svojih korisnika, a to znači i nova radna mjesta specijalizirana za upravljanje i zaštitu podataka, informacijsku i kibernetičku sigurnost”, kaže on. Ipak, određeni zastoji u prilagodbi postoje, što potvrđuje i Delić: “Pokazuje se na operativnoj razini kako često postoje nerazumijevanja između subjekata, posebno kad se govori o odnosu voditelja obrade i izvršitelja obrade. Često moramo vrijeme potrošiti s trećim stranama objašnjavajući im osnovnu terminologiju ili prakse kako bi se pojedinci prilagodili. Ljudima je najveći problem što ne shvaćaju svoje uloge i odgovornosti u cijelom konceptu, pa često iz straha nastane problem koji zapravo ne postoji”, rekao je Delić.
Prednosti i mane nove regulative
Prelesnik naglašava da je trenutni GDPR rezultat kompromisa usljed lobiranja i konfliktnih interesa tokom procesa njegovog usvajanja. Međutim, ona ističe da je jedna od glavnih prednosti GDPR-a “proaktivan pristup, zasnovan na principu odgovornosti, tj. usvajanju novih preventivnih mjera”. “Kada je riječ o manama, bojimo se da željena harmonizacija EU pravila neće biti postignuta na željenom nivou, budući da nekoliko nacionalnih zakona o zaštiti podataka može ponovno dovesti do fragmentacije legislative”, dodaje Mojca. Prema Mariji Boban, jedna od prednosti je to što “posebnu kategoriju predstavljaju upravo osobni podaci djece, gdje je ponajprije postavljena dobna granica 16 godina, ali i mogućnost predviđanja niže dobne granice za davanje privole za obradu osobnih podataka djece i do 13 godina, čime se podiže zaštita prava djece”. Ona također ističe da su “mjere sigurnosti koje Uredba propisuje za posebne kategorije osobnih podataka, posebno u rastućem sustavu e-zdravstva kao i novu definiciju regulacije mrežnog identifikatora i genetskih i biometrijskih podataka kao osobnih podataka, uistinu velika novost i više nego dobrodošle jer nisu bile pokrivene dosadašnjim zakonodavstvom”. S druge strane, Boban kao mane procesa implementacije ističe nepripremljenost i troškove.
Naši sagovornici vjeruju u pozitivan efekat Uredbe. Tako Lučić smatra da će uspješno uvođenje GDPR-a “sigurno imati pozitivan doprinos razvoju i podizanju razine informacijske sigurnosti. To automatski znači novi i veći izazov kibernetičkim kriminalcima, koji će se morati znatno više potruditi u svojim nečasnim namjerama ili će, što je realnije očekivati, potražiti lakše mete.” On spominje i aspekt povećanja nivoa svijesti o sigurnosti podataka kod korisnika IT usluga. “To će imati pozitivan učinak na gospodarstvo jer će ohrabriti korisnike novih tehnoloških usluga da ih koriste više, češće i s povjerenjem”, kaže Lučić. Međutim, on kao i Marija Boban dodaje da manu predstavljaju troškovi uvođenja GDPR-a, kao i “opasnost da će uvođenje GDPR-a usporiti ili čak odgoditi uvođenje suvremenih tehnoloških rješenja koja se zasnivaju na obradi privatnih podataka i/ili obradi i čuvanju velike količine podataka. Tipičan primjer su telekomunikacije i uvođenje komunikacije stroj – stroj (Machine-to-Machine – M2M) i interneta stvari (Internet of Things – IoT), temeljenih na 5G tehnologiji za npr. koncept pametnih gradova.”
Jedan framework za sve?
Zapitali smo se postoji li mogućnost da ovakav skup pravila postane dio svjetske scene i uđe u upotrebu u cijelom svijetu ukoliko se pokaže uspješnim na primjeru Evropske unije. Naši sagovornici ne samo da su potvrdili da je to moguće nego kažu da se to, zapravo, već i desilo. “U pravilu, ovo i jest ulazak na svjetsku scenu – na mala vrata”, ističe Boban, a Katulić objašnjava da Uredba već ima veliki utjecaj na kompanije sa sjedištem daleko od EU: “Njena primjena na takva poduzeća, ukoliko prate ili obrađuju podatke europskih građana i sudjeluju na europskom tržištu, osigurat će transfer pravnih standarda u zakonodavstva daleko od Unije, kako je bilo i s Direktivom koju je, primjerice, Argentina gotovo doslovno implementirala u vlastitom zakonodavstvu, a takvih primjera će sada biti mnogo više. Uredba je postala svjetski standard zaštite podataka i prije početka primjene.” Lučić ipak nije toliko uvjeren da bi isti framework bio odmah prihvaćen u cijelom svijetu. “Svakako da bi uspješno uvođenje GDPR-a u EU postalo jedan obrazac za primjenu u svijetu. No, ako i dođe do preslikavanja primjene GDPR-a, to će u idućih desetak godina biti ograničeno na manji dio svijeta i to onaj koji se gospodarski, zakonodavno i politički može usporediti s EU”, kaže on. GDPR nesumnjivo predstavlja dobru platformu za sigurniju cyber budućnost. Međutim, raznolikost stručnih mišljenja iznesenih u ovoj temi pokazuje da se treba vidjeti koliko je ta sigurnija budućnost zaista blizu.
Videonadzor i GDPR
Voditelj marketinga u Alarm automatici Siniša Radulović tvrdi da će Uredba imati veliki utjecaj na sisteme videonadzora, ali i na sve ostale sisteme pomoću kojih se skupljaju lični podaci. “Važno je prilagoditi procese i procedure te u svakome trenutku znati što se događa s informacijama – gdje se nalaze i na koji su način pohranjene, tko sve ima pristup, koje su procedure u slučaju zahtjeva za brisanjem podataka itd. Današnja tehnologija i softveri omogućavaju većinu stvari koje definira Uredba, ostalo će trebati nadograditi i prilagoditi pravilima”, kaže Radulović.
Jesu li se kompanije pripremile za GDPR?
Direktor prodaje u Sagena informatičkom inžinjeringu Tomislav Štefe smatra da su se kompanije trebale već pripremiti i vremenski definirati aktivnosti, jer vremena više nema mnogo: “Imate ogroman rast digitalne ekonomije i informacija općenito. Svake minute na Zemlji stvori se 1,74 petabajta novih podataka. U tih istih šezdeset sekundi izvedu se 244 kibernetička napada na razne osobe, institucije i kompanije. U toj jednoj minuti tim kompanijama, osobama i institucijama ukrade se gotovo četiri tisuće novih podataka, što je nešto više od pet milijuna podatkovnih zapisa u jednom danu!”, upozorava Štefe.
