Sve što treba da znate o GDPR-u, pre nego što stupi na snagu
Počevši od 25. maja, 2018. godine, savremeno poslovanje, koje podrazumeva skladištenje i obradu korisničkih podataka, biće strože regulisano u okviru Evropske unije. Od poslednje regulacije na evropskom nivou, 1995. godine, usled intenzivnog tehnološkog razvoja, došlo je do velikih promena na polju bezbednosti podataka, te je neophodna primena novih propisa. Kako bi bilo jasnije na koji način nove zakonske odredbe utiču na Srbiju, redakcija PC Press-a u saradnji s Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti, SHARE Fondacijom i Udruženjem ISACA,organizuje jednodnevni BIZIT seminar pod naslovom „GDPR – digitalna prava i obaveze”. Seminar će ovu temu posmatrati s tri aspekta: pravnog, poslovnog i aspekta informacione bezbednosti i biće održan 14. marta, počev od 10 časova u Klubu poslanika, Tolstojeva 2, Beograd.
Pojava društevenih mreža i globalna ekspanzija komunikacionih kanala rezultirale su sveopoštom digitalizacijom poslovnih tokova, koja je pretvorila korporativne sisteme u virtuelni svet bez granica. To znači da se naši lični podaci nalaze širom interneta (sam Facebook ima preko milijardu korisnika, koji ostavljaju informacije!), u masovnim bazama podataka, ne samo društvenih mreža, već i rezervacionih sistema, banaka, telekom operatera, kao i svih organizacija čija delatnost zahteva skladištenje i obradu korisničkih podataka. Sve ovo učinilo je naše podatke izuzetno dostupnim, ali samim tim i ranjivim, te je Evropska unija odreagovala u vidu donošenja regulative – Opšte uredbe o zaštiti podataka o ličnosti (General Data Protection Regulation) ‑, koje će morati da se pridržavaju i mnogi sektori u Srbiji, ukoliko žele da nastupaju na području Evropske unije kroz B2B odnose i B2C transakcije
Šta je GDPR i zašto baš sad?
Razlozi za uvođenje GDPR‑a (General Data Protection Regulation) su dvostruki. Prvo, imajući u vidu potencijal, koji razvoj digitalne ekonomije nosi sa sobom, Evropska unija želi da omogući korisnicima korporativnih sistema veću kontrolu nad svrhama u koje se njihovi podaci koriste, radi jačanja njihovog poverenja u digitalne ekosisteme. Drugo, cilj je da se obezbedi transparentno legalno okruženje, sa jedinstvenim zakonom o zaštiti podataka, za sve zemlje, članice Evropske unije, koji bi, po procenama iste, trebalo da uštedi preduzećima ukupnu sumu od čak 2.3 milijarde eura godišnje.
Zašto je uopšte GDPR bitan? Ukoliko vas pitaju da li želite da neko ima na raspolaganju vaše lične podatke, koje može da skladišti, a zatim i proda, vaš odgovor će verovatno biti negativan. Međutim, upravo ti podaci preduslov su za korišćenje usluga koje kompanije nude preko društvenih mreža, online rezervacionih sistema ili računarstva u oblaku, a budući da nijedna od ovih tehnologija nije postojala 1995. godine, kada je oblast bezbednosti podataka poslednji put regulisana, potreba za donošenjem novog zakona o zaštiti podataka je više nego jasna.
Kakve promene donosi GDPR?
Svrha GDPR‑a je da unapredi aktuelne procedure za upravljanje ličnim podacima kroz niz novih i pooštrenih zahteva. Ono što bi sve kompanije trebalo da znaju prilikom tranzicije iz starog sistema u novi i sveobuhvatniji sistem pravila jeste da će kazne za nepoštovanje budućih propisa dostizati iznose od deset miliona evra, što dovoljno govori o neophodnosti usaglašavanja njihovog poslovanja s navedenom regulativom.
Oni koji upravljaju podacima (kontrolori), kao i oni koji ih obrađuju (procesori), treba da budu detaljno upoznati sa GDPR‑om. Uloga kontrolora pripada bilo kojoj organizaciji (kompaniji, dobrotvornom društvu ili vladi) i podrazumeva navođenje u vezi sa tim kako i zašto se lični podaci obrađuju, dok procesor može da bude bilo koja IT firma, koja se bavi obradom podataka. Posao kontrolora je da osigura poštovanje propisa od strane procesora, koji mora da se pridržava istih, jer će, u slučaju upada u bazu podataka (data breach), biti podložan neuporedivo većoj odgovornosti nego što je to bio slučaj dosad.
Čak i ukoliko se sedišta kontrolora i procesora nalaze izvan teritorije Evropske unije (ovo je bitno za Srbiju), sve dok su u kontaktu sa podacima koji pripadaju državljanima iste, i kontrolor i procesor imaju obavezu da se pridržavaju GDPR‑a.
Kada i kako se obrađuju podaci po GDPR‑u?
Nakon što regulativa stupi na snagu, kontrolori moraju da osiguraju transparentnu i zakonitu obradu podataka, s jasnom svrhom, po čijem ispunjenju podaci, ukoliko više nisu potrebni, treba da budu izbrisani. Šta u toj formulaciji znači „zakonita“ obrada podataka?
Za početak, obrada podataka može biti zakonita samo u slučaju pristanka onoga kome navedeni podaci pripadaju (subjekta). Za razliku od dosadašnje „pasivne“ prakse, koja se bazirala na upotrebi pre‑ticked boxes, pristanak sada mora da dođe isključivo u vidu aktivne, potvrdne akcije od strane subjekta, s mogućnošću povlačenja u svakom trenutku. Ukoliko vaš trenutni model za obezbeđivanje pristanka ne ispunjava navedeni uslov, nakon što GDPR stupi na snagu, moraćete da ga uskladite sa novim standardom ili da prestanate sa prikupljanjem podataka.
U ostalim slučajevima, povod za obradu podataka može da predstavlja poštovanje ugovorne ili zakonske obaveze, zaštita interesa koji su od vitalnog značaja za opstanak subjekta, kao i ostvarivanje javnog interesa ili sprečavanje prevare.
Minimum jedan od gorenavedenih uslova mora da bude ispunjen da bi se pristupilo obradi podataka.
Šta GDPR podrazumeva pod ličnim podacima?
Odluka o uvođenju GDPR‑a značajno je proširila definiciju ličnih podataka, u koje sada spadaju i identifikatori, kao što su IP adrese. Ostali podaci, koji se odnose na ekonomske, kulturološke i zdravstvene informacije, takođe će se smatrati ličnim podacima, na osnovu kojih se može ustanoviti identitet osobe.
Shodno tome, i pseudonimi će, u zavisnosti od toga koliko je lako ili teško na osnovu njih utvrditi nečiji identitet, moći da se ubroje pod lične podatke. Takođe, svi podaci koji su spadali u lične pod dosadašnjim Zakonom o zaštiti podataka (Data Protection Act), zadržaće nepromenjen status po stupanju GDPR‑a na snagu.
Pravo pristupa podacima i „pravo na zaborav“
Subjekti mogu da upute zahtev za pristup svojim podacima u „razumnim“ vremenskim intervalima, na koji kontrolori moraju da odgovore u roku od mesec dana. I kontrolori i procesori moraju da budu maksimalno transparentni i jasni prilikom objašnjavanja subjektima kako se prikupljaju njihovi podaci, šta se radi sa njima, kao i kako se obrađuju. Štaviše, subjekti imaju pravo da znaju zašto se njihovi podaci obrađuju, koliko dugo se skladište i ko sve može da ih vidi, kao i da zatraže korekciju ukoliko primete da su podaci netačni ili nekompletni.
Osim prava na pristup svojim podacima, subjekti imaju pravo da zatraže i da njihovi podaci budu izbrisani ukoliko više nisu značajni za svrhu zbog koje su prikupljeni – „pravo na zaborav“. Po ovom pravilu, zahtev za brisanje podataka moguć je ukoliko je subjekat povukao svoj pristanak za prikupljanje podataka ili ukoliko nije zadovoljan načinom na koji se podaci prikupljaju. Nakon toga, kontrolor je odgovoran za obaveštavanje drugih organizacija, kao što je npr. Google, o potrebi da se obrišu linkovi koji vode ka kopijama navedenih podataka, kao i same kopije.
Kontrolori moraju da skladište podatke u masovno korišćenim fajlovima, kao što je CSV, kako bi mogli besplatno da premeste podatke subjekta u drugu organizaciju, u slučaju da subjekat to zatraži.
Šta se dešava u slučaju upada u bazu podataka?
Na organizacijama je da obaveste nadležnog organa o svakom upadu u bazu podataka (data breach), u roku od 72 sata nakon prepoznavanja istog. Dužina roka je tolika da verovatno nećete ni saznati svaki detalj upada, ali tokom inicijalnog kontakta s nadležnim organom, trebalo bi navesti prirodu ugroženih podataka, aproksimativan broj potencijalno oštećenih subjekata i moguće posledice po njih, kao i mere koje su preduzete radi sanacije aktuelnog stanja. Ovde do izražaja dolaze bezbednosna rešenja, koja vode organizacije od detekcije ilegalne aktivnosti na mreži do reakcije, u kratkom vremenskom roku, tako što među milionima događaja na mreži, analizom korisničkog ponašanja i korelacijom podataka, uspevaju vrlo precizno da odrede svaku anomaliju, a samim tim i da osiguraju pravovremene zaštitu i sanaciju.
Još pre kontaktiranja nadležnog organa, potrebno je obavestiti i ugrožene subjekte. Oni koji ne ispoštuju navedeni vremenski rok za obaveštavanje nadležnog organa o nastanku bezbednosnog incidenta, mogu da se suoče s kaznom i u vrednosti od 2% od svog godišnjeg globalnog prihoda ili deset miliona eura, u zavisnosti od toga šta je od navedenih veće.
Važno je ipak znati da, uprkos činjenici da će maksimalne kazne postati oštrije po uvođenju GDRP‑a, sama regulativa nalaže da kazne treba da budu recipročne prekršajima. Štaviše, ukoliko pokažete da ste vredno radili na usklađivanju svog poslovanja sa GDPR‑om, ICO (Information Commissioner’s Office) će uzeti to u obzir, te verovatno neće izdati onoliku kaznu koliku bi inače izdao, u sučaju prekršaja.
Kako GDPR utiče na Srbiju?
Srbija još uvek ne pripada Evropskoj uniji, ali veliki broj kompanija nastupa na njenom području kroz B2B odnose i B2C transakcije, te je potrebno da što pre usaglase svoja poslovanja sa GDPR‑om, kako na korporativnom, tako i na strateškom nivou.
Strateški nivo podrazumeva usvajanje novog Zakona, koji će biti usklađen sa navedenom regulativom, kako bi Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti, te kako bi se omogućio „uvoz“ ličnih podataka iz Evropske unije. Delovanje na korporativnom nivou bazira se na podizanju kolektivne svesti menadžmenta i zaposlenih o značaju nove regulative za održivost poslovanja, kao i na formiranju kompetentnog tima, zaduženog za usklađivanje poslovanja sa GDPR‑om.
Na državi je da podstakne implementaciju regulative kroz stvaranje infomativno‑edukativnog okruženja, koje će uticati na kompanije da shvate neophodnost usklađivanja svog poslovanja sa GDPR‑om. Sličnog mišljenja je i Ivan Mladenović, regionalni menadžer kompanije Clico, distributera mrežnih i sigurnosnih rešenja za jadransku regiju, koji kaže da će „GDPR, koji stupa na snagu u maju naredne godine, pogoditi ne samo kompanije sa sedištem u EU, već i sve kompanije koje posluju sa EU. Iz tog razloga će naš fokus u narednom periodu biti na edukaciji tržišta i partnerskom odnosu sa kompanijama koje moraju da se uhvate u koštac sa specifičnim i kompleksnim bezbednosnim rešenjima kako bi nesmetano nastavili svoje poslovanje u regionu“.
CLICO misija
CLICO, najveći specijalizovani distributer (s dodatom vrednošću – VAD) mrežnih i sigurnosnih sistema na poljskom i istočnoevropskom tržištu, pomno prati razvoj informacionih tehnologija i procenjuje vrednost globalnih trendova, kako bi razumeo potrebe korporativnih sistema i, u skladu s njima, ponudio najefikasnije alate za zaštitu podataka, kao što su HPE, Aruba, Arista Networks, Juniper Networks, Forcepoint, Thales, Rubrik, Ucopia, SonicWall, Tufin, Rapid7, A10 Networks, Linkify, Pulse Secure, Mobile Iron. CLICO Competence Center, sačinjen od vrhunskih security inženjera, omogućava ljudima da saznaju sve o oblasti bezbednosti podataka, kako o dostupnim rešenjima i proizvodima, tako i o propisima koje nova regulativa (GDPR) donosi, a koji su im bitni za nastavak poslovanja.