U svibnju 2019. godine Span Research proveo je istraživanje u povodu prve godine primjene GDPR-a u Hrvatskoj. Istraživanje je rađeno na temelju online ankete kojoj su pristupili kvalificirani ispitanici prema pozivu, tj. službenici za zaštitu podataka (DPO) ili osobe koje, uz svoju primarnu funkciju (najviše pravnika i IT lidera), obavljaju i ulogu DPO-a. Na temelju ankete objavljena je brošura pod nazivom Span Research GDPR Scan 2019.

Dosta izazova

Službenici za zaštitu podataka imali su (i još uvijek imaju) dosta izazova u poslu koji obavljaju. Na pitanje koja su to tri najveća izazova s kojima su se susretali ili se još susreću – ispitanici su na prvom mjestu izdvojili teškoće oko praktične primjene Uredbe u specifičnim situacijama unutar svojih organizacija – čak 58 posto vidi ih to kao najveći izazov u svom poslu. Na drugome mjestu su istaknuli količinu, širinu i složenost posla koji obavljaju – što je bio izazov za njih 53 posto. Top 3 zaokružuje neosviještenost kolega u organizaciji glede GDPR-a, što je kao jedan od bitnijih izazova istaknulo 46 posto ispitanika.

Koje je aktivnosti službenicima za zaštitu podatka i njihovim organizacijama bilo najteže odraditi u procesu usklađivanja s GDPR-om?

Organizacijama u Hrvatskoj i službenicima za zaštitu podataka najteže je bilo procijeniti aktivnosti koje su se trebale poduzeti kako bi njihove organizacije bile usklađene s Uredbom – što je kao teškoću izdvojilo 59 posto ispitanika. Oko 56 posto ispitanika istaknulo je usklađivanje svakodnevnih potreba poslovanja s GDPR aktivnostima, a na trećem mjestu bila je edukacija zaposlenika o pravilima ponašanja sukladno GDPR-u (za 40% ispitanika).

Što su organizacije u Hrvatskoj dosad poduzele u vezi sa zaštitom osobnih podataka?

Velika većina organizacija dosad je evidentirala obrade osobnih podataka i educirala svoje zaposlenike o tome kako postupati s osobnim podacima. Isto tako, većina organizacija uspostavila je proces upravljanja privolama, pravila o pristupanju osobnim podacima i usvojila procedure za slučaj proboja podataka.

Manje od polovice organizacija uvelo je tehnička ograničenja za manipulaciju osobnim podacima. Tek svaka treća organizacija provodi redovite revizije pohranjenih podatka i prepoznala je vrijednost enkripcije osobnih podataka pohranjenih u organizaciji.

Čišćenje baza od podataka koji tamo više ne pripadaju nešto je što će morati postati kultura u našim organizacijama. Možda je zabrinjavajuća činjenica da samo 12 posto tvrtki ima poseban budžet za GDPR, što upućuje na to da se još uvijek na GDPR ne gleda kao na dugoročnu stratešku aktivnost – što ona svakako jest.

Stupanjem GDPR-a na snagu ispitanici imaju prava koja organizacije (koje drže njihove osobne podatke) moraju štititi. Što su ispitanici dosad tražili od organizacija u Hrvatskoj?

Čak 41 posto organizacija koje su sudjelovale u istraživanju zaprimile su zahtjev za brisanjem osobnih podataka. Ispitanici su od približno 37 posto organizacija tražili pristup osobnim podacima, a 33 posto zahtijevalo ih je ispravak svojih osobnih podataka. Prigovor ispitanika na obradu osobnih podataka primilo je 27 posto organizacija. Ispitanici su u manjoj mjeri zahtijevali prijenos svojih podataka u druge organizacije i ulagali prigovore na profiliranje.

Učinci

Je li usklađivanje s GDPR-om imalo pozitivan učinak na organizacije u Hrvatskoj? Najveći pobjednik usklađivanja s GDPR-om je informacijska sigurnost. Više od 80 posto organizacija osjetilo je pozitivne pomake kad je u pitanju informacijska sigurnost. Posljedično tome, tvrtke su također pročistile podatke koje posjeduju, i sad se podaci dijele, pohranjuju i koriste puno bolje i transparentnije nego prije GDPR-a.

Usklađivanje je unaprijedilo i kulturu u više od pola hrvatskih organizacija koje su sudjelovale u istraživanju. Nadalje, imalo je pozitivan učinak na suradnju unutar same organizacije, podiglo kvalitetu odnosa s kupcima i dobavljačima te je kod nekih organizacija pomoglo optimizirati organizacijske procese.

Vjerujemo da će u budućnosti GDPR također imati više pozitivnih utjecaja na marketinške i prodajne aktivnosti nego što je to slučaj danas. U konačnici možemo očekivati i rast poslovnih prihoda onih organizacija koje će se prema svojim kupcima/korisnicima odnositi profesionalno i moralno te poštivati njihovu privatnost i privatnost njihovih osobnih podataka.

GDPR je tu da naše osobne podatke (i nas kao pojedince) zaštiti od neodgovornog i nemoralnog ponašanja organizacija i pojedinaca koji dolaze u dodir s našim podacima. GDPR bi trebao spriječiti neodgovorno i nemoralno postupanje s osobnim podacima. Trebao bi spriječiti poziv iz osiguravajuće kuće u tjednu u kojem nam istječe kasko – iako nikad nismo kontaktirali s tom tvrtkom, i ona ne bi trebala imati naše ime, prezime i broj mobitela. Trebao bi spriječiti neažurirane baze podataka u bankama i slučajeve u kojima banka ima dvije ili tri različite adrese našeg prebivališta, iako je samo jedna točna. Pogotovo bi trebao spriječiti pozive iz raznih call centara koji nam u istom danu nude parfeme, investicijsko zlato i kriptovalute – ujutro, popodne i navečer. Takav model poslovanja i ponašanja organizacija prema našim osobnim podacima i nama kao ljudima možda je bio prihvatljiv i uobičajen prije pojave GDPR-a, ali više ne smije biti.

GDPR je na početku, i sam naziv kaže da je to tek prva – opća uredba – General Data Protection Regulation. U budućnosti možemo očekivati posebne uredbe koje će se ticati samo određenih sektora. Tako bismo mogli dobiti HDPR, TDPR ili FDPR, tj. uredbe koje će regulirati postupanje osobnim (i ostalim) podacima u zdravstvu, transportu ili financijskom sektoru.

GDPR je već tu i neće nigdje nestati, ali će mu se pridružiti svi budući (X)DPR-ovi jer je svijet u kojem živimo izgrađen na podacima, a najvrednija sirovina budućnosti mora biti pravilno regulirana.

Ako ste službenik za zaštitu podataka i želite pročitati cijelo istraživanje ili sudjelovati u GDPR istraživanju, slobodno pošaljite mail na dalibor.suboticanec@span.eu.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.