Kad se pravilima Opće uredbe o zaštiti osobnih podataka ili GDPR-u pridruži i zakon o kolačićima ili ePR, oštećenici koji pretrpe materijalnu ili nematerijalnu štetu dobit će novo oružje za zaštitu privatnosti
Ima dosta istine u onoj šali koju danas mnogi svojataju: ‘Koliko sam puta prihvatio neke uvjete na internetu, ne bih se čudio da sam potpisao da doniram svoj bubreg.‘ Vrlo malo razmišljamo o svom digitalnom otisku, koliko informacija o sebi sami, bez ikakve prisile, ostavljamo online, ali i koliko podataka o sebi, što potrebnih, što nepotrebnih, ostavljamo u rukama institucija, kompanija i društvenih mreža, digitalno ili na papiru, koji se onda drže i spremaju tko zna gdje. Niti znamo gdje svi ti naši podaci završavaju niti tko njima i u koje svrhe barata.
Nova dimenzija čuvanja
A takve su informacije nekome zlonamjernome zlata vrijedne i može ih iskoristiti za grozne stvari, pa čak i za destabilizaciju cijele jedne države, ako se trudi i ako baš hoće. Nije to baš toliko teško, dovoljno je pogledati neke dokumentarce o malverzacijama u izbornim procesima u nekim državama u koje su bile uključene pojedine društvene mreže. No, ima i hakera zlih namjera koji će nam s par jednostavnih poteza očistiti račune i dovesti nas u neugodnost. A još je gore ako nam takvu neugodnost priušti organizacija kojoj smo vjerovali da čuva naše privatne podatke i koja si na taj način može stvoriti nevjerojatan i težak reputacijski rizik. Zato je danas od krucijalne važnosti štititi te podatke i njima pametno upravljati. Što individualno, što u biznisu.
– Čuvanje podataka danas, u odnosu na čuvanje podataka do prije samo pet godina, poprimilo je potpuno novu dimenziju. Danas je svrha postojanja podataka njihova obrada, pa se čuvanje mora promatrati kroz prizmu zaštite podataka tijekom obrade, transfera i pohrane. To podrazumijeva zaštitu od neovlaštenog pristupa, zaštitu integriteta i raspoloživosti podatka. Organizacije su danas ograničene u donošenju odluka o obradama osobnih podataka i za svaku takvu obradu moraju imati prihvatljivu pravnu osnovu. Bez nje, obrade se smatraju nezakonitima, pristup podacima od strane organizacije koja ih obrađuje postaje neovlašteni pristup, a rezultati obrada postaju nezakoniti – upozorava Stanko Cerin, predsjednik Udruge za zaštitu osobnih podataka.
Zakon o kolačićima
No, tko to kontrolira? Da je kontrola slaba znaju i u Europskoj uniji pa su osmislili rješenje: nova pravila o e-privatnosti ili ePrivacy Regulation (ePR). Riječ je o skupu pravila kojima se nastoji osigurati ‘pravo na privatni život‘ za korisnike elektroničkih komunikacija koji nadopunjuje GDPR. Kao takva, pravila o e-privatnosti imat će prednost nad GDPR-om u situacijama u kojima se primjenjuju oba zakona. A za razliku od GDPR-a, pravila o e-privatnosti ne primjenjuje su samo na osobne podatke, već i na marketing između organizacija (B2B marketing).
– Pravila o e-privatnosti nazvana su ‘zakon o kolačićima‘, jer su potaknula mnoge organizacije da uvedu izjave o kolačićima i mehanizme pristanka koji su krajnjim korisnicima onemogućili pristup web-stranicama (cookie wall), osim ako nisu prihvatili kolačiće. U prijedlogu Komisije koja radi na pravilima navodi se da za kolačiće kojima se koristi samo za anonimnu obradu informacija više neće trebati pristanak krajnjega korisnika. To bi trebalo značiti manje klikanja po prihvaćanju raznih grupa kolačića, što bi trebalo biti manje zbunjujuće za krajnjega korisnika. Dodatno su još neki kolačići izuzeti od pristanka krajnjega korisnika, npr. kolačići za komunikaciju, sigurnost, naplatu ili prikupljanje podataka plaćanja te otkrivanje ili zaustavljanje prijevare. No, pravila donose i mjere vezane uz izravni marketing, gdje se izravni marketing više ne smije prakticirati bez privole ispitanika. Prema tome, legitimni interes kao opravdanje obavljanja izravnog marketinga više neće biti prihvatljiva zakonita obrada – upozorio je Darie Marić, predsjednik Uprave Xiphosa, tvrtke specijalizirane za informacijsku sigurnost.
Rješenja za zaštitu
On tvrdi da postoje iznimke u kontekstu prodaje proizvoda ili usluge postojećim korisnicima (tzv. opt-out). U slučajevima kada organizacija od svojih korisnika pribavi elektroničke kontaktne podatke, ona se može služiti tim podacima za izravni marketing svojih sličnih proizvoda ili usluga ako je korisnicima jasno i izričito pružena mogućnost besplatnog i jednostavnog prigovora na takvu uporabu. Pravo na prigovor organizacija mora ponuditi u trenutku prikupljanja i pri svakom slanju poruke, kaže Marić.
A što to znači za subjekte koji prikupljaju podatke? Više posla, više upravljanja ili, ukratko, da na servisima na koje te podatke pohranjuju organizacije više neće smjeti štedjeti.
– Danas na tržištu postoji velik broj rješenja za zaštitu podataka. Postoje razna komercijalna rješenja, kao i besplatna open source rješenja. Komercijalna su vrlo često vrlo skupa i mogu si ih priuštiti veće organizacije, a open source rješenja zahtijevaju stručno znanje implementacije. Zato se mnoge organizacije odlučuju na open source rješenja jer smatraju da im je to u konačnici povoljnije – ističe Marić.
Kod potrage za najboljim rješenjem, Marić savjetuje da treba razmotriti rješenja koja omogućuju otkrivanje i klasifikaciju podataka, vatrozid, sigurnosno kopiranje i oporavak, antivirusnu zaštitu, sustave za otkrivanje i sprječavanje upada (IDS/IPS), upravljanje zapisima (SIEM), sprječavanje gubitka podataka (DLP), kontrolu pristupa, kriptiranje podataka, kao i fizičku sigurnost.
Za sve potrebe
I Span ima bogato iskustvo u planiranju, uvođenju i upravljanju rješenja o privatnosti, počevši od pretrage i klasifikacije podataka, zaštite podataka, prevencije gubitka podataka te u upravljanju podacima, kako u lokalnim IT okružjima, tako i u oblaku i na mobilnim uređajima.
– Podržavamo rješenja različitih proizvođača, fokusirajući se pri tome na one koji su prepoznati kao vodeći u industriji. Imamo stručnjake koji su certificirani za rad s više proizvođača i praktično iskustvo u implementaciji njihovih rješenja u najvećim hrvatskih i svjetskim kompanijama – poručili su iz te kompanije te dodali kako je potrebno zaštititi različite oblike podataka, kako one strukturirane (npr. relacijske baze podataka), tako i nestrukturirane (npr. dokumenti), kao i u različitim oblicima njihove pojavnosti (pohranjeni, u prijenosu…). Postoje, poručuju iz Spana, zaista odlična rješenja koja zadovoljavaju različite potrebe, ali ključno je da rješenja moraju pomoći u zaštiti podataka, ali i u upravljanju podacima, odnosno njihovom zadržavanju ili brisanju, bez obzira gdje se nalazili, u lokalnom IT okružju, u oblaku, na mobilnim uređajima ili pojedinim aplikacijama.
Dubravka Dolenc, konzultantica za područje prava privatnosti, kao jedno od dobrih rješenja navodi ono tvrtke Ascaldera, čija je osnovna namjena ne samo digitalna usklađenost s uredbom o zaštiti osobnih podataka nego i održavanja te usklađenosti, odnosno kontinuiteta u tome. Ta aplikacija omogućava pregled i izvršavanje svih obveza koje za voditelje obrade, odgovorne osobe nameće nova Uredba o e-privatnosti.
– Na jednom mjestu vide se pregledno i jasno popisane sve aktivnosti obrade za osobne podatke koje neki pravni subjekt obrađuje s navedenim zbirkama tih podataka, odgovorne osobe za te podatke, kao i sve druge informacije o obradama prema Zakonu. Aplikacija se također može povezati sa zbirkama osobnih podataka i ima ugrađen alat za pretragu (točno se zna gdje se podaci nalaze) prema tim podacima pa kad npr. netko izvan kuće podnese neki zahtjev ili upit vezan uza svoje osobne podatke, gdje se sve nalaze, koji je pravni temelj i ostalo, u aplikaciju se unosi ime i prezime te osobe i dobije se odmah jasan pregled, gdje se sve u podaci obrađuju, u kojim sektorima, u kojim zbirkama, tko je sve odgovoran za te podatke i zahtjev te osobe automatski odlazi svakoj od osoba u čijim sustavima se ti podaci obrađuju – kaže Dolenc.
Koraci za poboljšanje
Cerin iz Udruge tvrdi da je identifikacija osobnih podataka prvi veliki korak ka poboljšanju njihove zaštite. Kombinacijom top-down pristupa koji počinje od analize poslovnih procesa i pristupa odozdo prema gore koji se temelji na identifikaciji podataka u IT sustavima utvrđuje koje podatke organizacija stvarno ima, gdje su i čemu služe. Uspješnu detekciju osobnih podataka i njihova kretanja po IT sustavima praktički je nemoguće uspješno provesti bez pomoći DLP (data loss prevention) ili sličnog IT rješenja.
– Drugi korak je uništavanje podataka za čiju obradu ne postoji pravna osnova te procjena rizika zaštite podataka koji se zadržavaju. Ovisno o rezultatima ove procjene, primijenit će se kombinacija zaštitnih mjera poput redefiniranja odgovornosti, procesa i procedura te uspostave tehničkih mjera poput enkripcije i slično. Sve ovo moralo bi sustavno biti obuhvaćeno uspostavom sustava upravljanja zaštitom osobnih podataka integriranog s ostalim sustavima upravljanja u organizaciji – istaknuo je Cerin.
Slaba karika
U cijelom tom procesu zaštite privatnosti najvažniji je element, slažu se Liderovi sugovornici, edukacija zaposlenika, koji su najčešće slaba karika u zaštiti podataka. Edukacijom ta slaba karika postaje jaki element zaštite podataka. Detaljnim revizijama organizacije otkrivaju nedostatke te njihovim ispravkom štite se od potencijalnih tužbi i kazni – ‘Revizija je jeftinija od kazne‘!
Što se kazni tiče, pravila se nadovezuju na kazne koje propisuje GDPR, tako da su maksimalne kazne 20 milijuna eura ili četiri posto globalnoga godišnjeg prometa organizacije koja nije sukladna, ovisno o tome što je veće. Dodatno, oštećenici koji pretrpe materijalnu ili nematerijalnu štetu zbog kršenja Pravila o e-privatnosti također imaju pravo na naknadu štete od počinitelja povrede. Veliki su to iznosi da bi se s njima kockalo, zato pamet u glavu i – čuvajte našu privatnost!