OSOBNI PODACI Kako se pripremiti za izbjegavanje drakonskih kazni od 25. svibnja 2018.

Velik interes za temu o zaštiti osobnih podataka koju organiziraju Lider i Alfatec. Oni koji se bave podacima, a nisu stigli na prošlotjednu radionicu o novim pravilima EU, mogu se prijaviti na novu, koja će se održati 29. rujna.

Kako izbjeći drakonske kazne za nezakonitu upotrebu osobnih podataka i spremno dočekati punu primjenu uredbe moglo se doznati na radionicu u organizaciji poslovnog tjednika Lider i tvrtke Alfatec Group. Radionica se sastojala od dva dijela. U prvom dijelu polaznike radionice Marko Cukrov iz Alfateca upoznalo je sa sadržajem uredbe i svim bitnim stavkama kako bi jasnije mogli razumjeti koje su njihove obveze za usklađivanje s GDPR-om.

Cukrov je istaknuo da u Hrvatskoj kasnimo s procesom prilagodbe te kako je danas osobni podatak postao materijalna vrijednost koju se sukladno tome i štiti. Nova uredba propisuje daleko rigorozniju zaštitu osobnih podataka nego što su dosad činila nacionalna zakonodavstva. Ispitanik ima niz prava koja predstavljaju određene probleme za izvršitelje i voditelje obrade u odnosu na brzo identificiranje i pronalaženje relevantnih podataka. Neka od ključnih prava ispitanika su ono na pristup, koje mu daje pravo saznati obrađuju li se osobni podaci, svrhu obrade, kome će podaci biti otkriveni itd., pravo na prenosivost podataka, koje podrazumijeva da bi ispitanik u bilo koje vrijeme trebao imati dopuštenje primiti sve podatke o sebi. Nadalje, pravo na zaborav odnosno zahtjev za brisanje podataka osobito je zahtjevno i izazovno s tehničke i procesne strane. Osim toga, privola ispitanika trebala bi se davati jasnom potvrdom radnjom, a šutnja, unaprijed označeno polje ili manjak aktivnosti ne bi se smjeli smatrati privolom. Ispitanik ima mogućnost povlačenja privole, a voditelj i izvršitelj obrade dužni su dokazati da su povukli privolu.

Koraci prema usklađenosti s GDPR uredbom su, istaknuo je Cukrov, definiranje projekta, analiza stanja i rizika, donošenje i implementacija te provođenje strategije. Pritom je analiza najizazovnija, a upravo u tom dijelu brojne domaće kompanije uvelike kasne. Istaknuta je i važnost službenika za zaštitu osobnih podataka, koji bi trebao biti širokih znanja, a u provođenje uredbe trebali bi biti uključeni svi u kompaniji od uprave preko odjela ljudskih resursa, prodaje, marketinga itd.

Resursi kojima bi kompanije i organizacije trebale raspolagati za usklađivanje s GDPR-om raznovrsni su. Najistaknutija osoba je službenik za zaštitu podataka, ali on ne može sam, treba imati projektni tim, proračun, a poželjno je koristiti se i konzultantskim uslugama koje se tiču pravnog aspekta i informacijske sigurnosti.

U drugom dijelu radionice, koji je vodio Tomislav Musić iz Alfateca, prikazan je projektni plan za GDPR. Projekt se sastojao od logički posloženih koraka gdje se u svakom koraku radi presjek s uredbom. Da biste bili sukladni GDPR uredbi, morate znati gdje su vam osobni podaci, tko sve ima pristup njima te spriječiti njihovu zloupotrebu. Uloga službe IT sigurnosti u tom je kontekstu iznimno važna i ima za cilj minimizirati mogućnost proba, detektirati ih i umanjiti rizike u slučaju proba. Za kontrolu i zaštitu podataka trebalo bi se koristiti enkripcijom i pseudonimizacijom (tokenizacijom) kao alternativom potpunoj enkripciji. Alfatecovi stručnjaci naglasili su da je u cijelom tom procesu, pogotovo kada je riječ o sigurnosti, sustav ranjiv koliko mu je ranjiva najslobađa točka, a to je najčešće ljudski faktor. To znači da je edukacija ljudi iznimno važna, a koliko je tema zanimljiva različitim kompanijama i organizacijama svjedoči velik interes, mnogo pitanja i aktivno sudjelovanje sudionika u raspravama. Iduća radionica na temu GDPR-a održat će se 29. rujna.