croz-gdpr

Svaka tvrtka će s podacima svojih korisnika morati pristupati vrlo ozbiljno i sustavno – ili će plaćati globe i naštetiti svojoj reputaciji

Glavna tema seminara o informatičkoj sigurnosti za korisnike tvrtke CROZ, „Sigurnosno prijepodne“, ovaj put bila je Europska uredba o zaštiti osobnih podataka – GDPR (General Data Protection Regulative). Ta uredba stupa na snagu za nešto manje od dvije godine (sasvim precizno: 24. svibnja 2018.), no za nju bi se trebalo već sada pripremiti.

Najupečatljivija informacija iz te regulative je da će svaka tvrtka, ogriješi li se o taj zakon Europske unije, morati platiti globu od 20 milijuna eura ili četiri posto od svog ukupnog godišnjeg prihoda, već prema tome što je veći iznos. Druga informacija po važnosti je da će tvrtke morati o gubitku podataka odmah obavijesti i korisnika čiji su podatak izgubili, a ne samo Agenciju o zaštiti osobnih podataka. Treće i ne manje važno, kad je u pitanju Europska unija, njene uredbe automatski vrijede kao zakoni u svim zemljama članicama, za razliku od direktiva EU koje su (tek) smjernice na temelju kojih države definiraju svoje vlastito zakonodavstvo. Dakle, s uredbama EU nema „zezanja“ – sankcija za to je vrlo skupa i ne mjeri se samo novcem već i (često nenadoknadivo) izgubljenom reputacijom. Prijetnja navedenom globom bit će, smatraju stručnjaci, snažan poticaj razvoju tržišta informatičke sigurnosti u našoj zemlji.

Hrvatska ima Zakon o informatičkoj sigurnosti još od 2005. godine. Utemeljen je na normi ISO 27001, no primjenjivao se sporadično i vrlo je tanak u smislu sankcija za nepoželjna ponašanja. Unatoč tome, potaknuo je ulaganja u tu djelatnost, čemu je dodatno pridonijela i regulativa Hrvatske narodne banke iz 2008., koja je detaljno definirala što sve banke koje rade u našoj zemlji moraju napraviti po pitanju informacijske sigurnosti i zaštite podataka svojih klijenata. Tada je uvedena funkcija IT revizora u bankama, a ta funkcija morala je biti odvojena od ICT odjela. Primjenom GDPR regulative pitanje informatičke sigurnosti postaje ozbiljno pitanje za svaku tvrtku, ne samo za banke, telekome i maloprodajne lance – to je pitanje za sve koji u svom poslu barataju podacima svojih korisnika.

Tu se sad postavlja pitanje što je sve osobni podatak? Navedena uredba Europske unije to definira vrlo široko – to je ime, prezime, OIB, broj kreditne kartice, GPS lokacija, IP adresa, kolačić u web preglednicima, MAC adresa računala, i da sad ne duljimo – sve što se izravno i neizravno u nekom scenariju može točno povezati s nekim korisnikom je podatak koji svakako treba zaštititi. Svaka tvrtka u svijetu koja rukuje s podacima građana EU podliježe ovoj Uredbi (to znači i Google, Facebook, Amazon, Yahoo, itd.). To znači da će, nakon što GDPR uredba stupi na snagu, svaki posjet AZOP-a (Agencije za zaštitu podataka u Hrvatskoj) nekoj tvrtki moći (i vrlo vjerojatno će) rezultirati nekom sankcijom.

Što se tiče krajnjeg korisnika, on ima veća prava nego do sada. Prema GDPR uredbi, korisnik od svake tvrtke može zatražiti da izbriše njegove podatke, svaka tvrtka mora korisniku reći koje podatke o njemu prikuplja, za što ih koristi i koliko dugo ih čuva. Prema Uredbi EU podaci o korisnicima moraju se čuvati što kraće „i ne duže nego što je to poslovno potrebno.“ Međutim, prilično je nejasno što to znači za pojedine industrije i pojedine tvrtke. Primjerice, prema Zakonu o obveznim odnosima korisnik može u roku od pet godina podnijeti tužbu protiv tvrtke ako smatra da se ona nije pridržavala propisa o zaštiti njegovih podataka.

Kao i u svakom drugom zakonu i u GDPR uredbi ima klauzula za čije tumačenje će vam trebati pomoć dobro upućenih pravnika. Primjerice, dosta općenita formulacija „tvrtka mora primijeniti sve odgovarajuće i tehničke mjere u zaštiti osobnih podataka“ u GDPR uredbi spominje se više od dvadeset puta u raznim kontekstima. Stoga, svaka tvrtka će s podacima svojih korisnika morati pristupati vrlo ozbiljno i sustavno – ili će plaćati globe i nepovratno naštetiti svojoj reputaciji.

Podijelite: