Prije gotovo dvije godine, točnije 27. travnja 2016. godine, Europski parlament i Vijeće su donijeli uredbu koja izvan funkcije stavlja staru direktivu iz 1995. godine koja uređuje zaštitu podataka. Navedena uredba, punim nazivom „Opća uredba o zaštiti podataka“, odnosno na engleskom jeziku „General Data Protection Regulation“ (skraćeno GDPR kako je najčešće zovemo) ima nekoliko zanimljivih karakteristika. Prvo, radi se o uredbi, dakle pravnom aktu Europske unije, koji nije potrebno pojedinačno implementirati u zakonodavstvo pojedine zemlje članice EU. Nadalje, GDPR se često povezuje s zaštitom osobnih podataka, no kad se dobro pročita naslov uredbe, vidljivo je da je riječ „osobnih“ izostavljena jer GDPR pokriva širi spektar od samih osobnih podataka. GDPR stupa na snagu za nešto više od mjesec dana, točnije 25. svibnja 2018. u svim zemljama članicama EU, ali i izvan teritorija zemalja članica EU ukoliko se tamo obrađuju podaci pojedinaca iz EU. To znači da u slučaju obrade podataka u SAD-u, Kini ili Australiji vrijede GDPR pravila. Obrada podataka može biti automatizirana i neautomatizirana, što znači da, bez obzira obrađuju li se podaci računalno ili na papirima, vrijede identična pravila zaštite podataka.

Zašto GDPR?

GDPR je donesen kako bi se standardizirala i ujednačila pravila za upravljanje podacima pojedinaca iz EU gdje god se oni nalaze. Do sada je svaka zemlja članica uređivala ta pitanja putem vlastitog zakonodavstva, a temeljem direktive koja stupa van snage nakon što GDPR stupi na snagu. Takvo zakonodavstvo je u nekim zemljama članicama bilo vrlo uređeno dajući pojedincima prava kakva propisuje GDPR, no u nekim drugim zemljama članicama takva prava gotovo da nisu ni postojala. Vrlo često se zaboravlja kako se GDPR donosi kako bi se definirala pravila zaštite podataka i gleda ga se kroz drakonske kazne koje uredba propisuje. No, te drakonske kazne ne bi trebale biti stvarni razlog zbog kojeg se diže svijest o zaštiti podataka, već samo podsjetnik na posljedice nebrige o zaštiti podataka i o činjenici koliko je još važno raditi na podizanju svjesnosti o važnosti zaštite podataka. I to su velike posljedice koje su brojčano izražene u iznosima (u milijunima eura), odnosno postotku ukupnog godišnjeg prometa tvrtke na svjetskoj razini, a gleda se koji je iznos veći. No, nećemo o kaznama…

Dok pokušavamo shvatiti razloge donošenja ovako restriktivnih pravila za zaštitu podataka, dovoljno je da pogledamo sami sebe i zapitamo se gdje su naši osobni podaci, tko njima upravlja i na koji način… I shvatimo da nemamo pojma. I to je zastrašujuće i to je upravo razlog zbog kojeg se GDPR donosi – kako bi se podaci pojedinaca obrađivali, pohranjivali, čuvali i brisali na odgovarajući način te da ti isti pojedinci mogu svojim podacima upravljati. GDPR propisuje nekoliko mogućnosti – ispravak netočnih podataka, obvezu brisanja podataka i mogućnost izvoza (preuzimanja) podataka koje pojedinac u bilo kojem trenutku može zahtijevati od strane koja obrađuje njegove podatke.

Nekoliko definicija

Na strani obraditelja podataka razlikujemo dva ključna subjekta – voditelj obrade podataka (eng. data controller) i izvršitelj obrade (eng. data processor). Voditelj obrade podataka je definiran Člankom 4. stavak 7. i označuje fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje prikuplja i obrađuje osobne podatke te je odgovoran za njih. S druge strane, Člankom 4. stavak 8. definiran je izvršitelj obrade koji u ime voditelja obrade obrađuje osobne podatke, isto kao fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo. Dakle, nitko nije amnestiran od dosega GDPR-a! Voditelj obrade i izvršitelj obrade mogu biti jedna te ista osoba, tijelo javne vlasti (…), no voditelj obrade može eksternalizirati poslove izvršitelja drugoj strani, što se često i radi – poput knjigovodstvenih servisa, marketinških agencija, pružatelja ITK usluga i slično. To je važno znati stoga što nama, kao pojedincu i subjektu obrade podataka, voditelj obrade mora naglasiti tko su sve izvršitelji obrade – odnosno mi imamo pravo znati tko sve upravlja našim podacima u ime voditelja obrade podataka.

Najčešća osnova obrade podataka pojedinaca je privola, odnosno dozvola za obradu podataka koju pojedinac daje voditelju obrade podataka. Privola je osnova za obradu podataka i ispitanik je u bilo kojem trenutku može povući. Privola može biti zasebni dokument ili sastavni dio nekog ugovora (npr. Ugovor o pružanju određene usluge), no privola mora na nedvojbeni način definirati u koje svrhe će se prikupljati i obrađivati podaci pojedinaca. Privola se ne smije podrazumijevati, mora biti dana dobrovoljno, ne smije biti automatski definirana (npr. unaprijed označena kvačica na obrascu), mora biti pisana razumljivim jezikom te mora obuhvaćati sve aktivnosti obrade podataka od strane voditelja obrade. Dakle, prilikom davanja privole, mi kao pojedinci moramo znati tko će, kako i koliko obrađivati naše osobne podatke. U bilo kojem trenutku privolu možemo povući, odnosno ona automatski prestaje važiti nakon što istekne period obrade podataka.

Voditelj obrade podataka bi trebao u svakom slučaju znati gdje se nalaze podaci (fizički i logički u IT sustavu) ispitanika (pojedinca), tko njima ima pristup (i temeljem čega), na koji način se vrši obrada, tko su izvršitelji obrade, gdje se nalaze privole za obradu te kako se podaci štite od neovlaštenog korištenja. Svi navedeni postupci moraju biti dokumentirani, odnosno integrirani u poslovne procese i to je najveća potrebna promjena u tvrtkama. Jer većina tvrtki uopće nema dokumentirane poslovne procese, a kamoli da bi u njima bile implementirane mjere zaštite i upravljanja podacima podataka, što je u stvari razlog donošenja samog GDPR-a.

Otkrij, upravljaj, zaštiti i izvještavaj o podacima

Prema Microsoft preporukama, svaka tvrtka bi trebala proći kroz četiri faze, odnosno koraka koji bi trebali osigurati ispravnu implementaciju GDPR-a: otkrivanje – gdje se podaci sve nalaze, upravljanje – definiranje kako se upravlja i obrađuju podaci, zaštita – implementacija kontrola za zaštitu podataka koji se obrađuju i izvještavanje – čuvanje dokumentacije i upravljanje zahtjevima za obradu podataka. Iako se čini jednostavno, tvrtke (tijela javne vlasti, agencije…) koje obrađuju podatke pojedinaca bi navedene korake trebale implementirati duboko u svoju kulturu poslovanja kako bi zaštita podataka postala sastavni dio poslovanja, a ne izuzetak kao što je to bio slučaj do sada, o kojem se razmišlja u svakom koraku poslovanja. Prilikom baratanja podacima, pitanja koja bi trebali kontinuirano pitati sami sebe su: imam li pravo na pristup ovim podacima, smijem li ih pohraniti na neki drugi izvor, smijem li ih dostaviti kolegi koji me podatke tražio itd.

Kao i do sad, tvrtke određene veličine moraju zapošljavati službenika za zaštitu podataka, koji je osposobljeni pojedinac za savjetovanje i odgovoran je za zaštitu podataka. Sve nepoznanice i specifične primjere navedeni službenik mora moći adresirati.

IT u svojstvu zaštite podataka

Iz svega navedenog je vidljivo kako IT odjeli tvrtki nisu ti koji su odgovorni za provođenje GDPR-a, no velika odgovornost leži na njima stoga što se većina podataka danas nalazi upravo u elektronskom obliku u IT sustavima. Također, današnji su IT sustavi disperzirani i često se ne nalaze kod voditelja obrade podataka, već su eksternalizirani kod nekog drugog subjekta kojeg smatramo izvršiteljem obrade podataka. Stoga su IT odjeli dužni osigurati da izvršitelji obrade upravljaju podacima na način koji je u skladu s GDPR-om. U primjeru Microsofta, korisnik cloud usluge je voditelj obrade podataka, a Microsoft je izvršitelj obrade pružajući korisniku određene cloud usluge. Stoga je Microsoft već prije više od godine dana u svoje ugovore s korisnicima cloud usluga ugradio odredbe koje se tiču GDPR-a, a u cloud proizvode tehnološke mehanizme koji korisnicima osiguravaju jednostavniju implementaciju zahtjeva koje GDPR stavlja pred njih. Tehnološka rješenja su samo jedan od kotačića koje svaka tvrtka mora implementirati kako bi na odgovarajući način štitila podatke svojih korisnika.

Ukoliko se dogodi povreda podataka, bilo na strani voditelja obrade ili izvršitelja obrade, voditelj obrade je dužan bez odgađanja, u maksimalnom roku od 72 sata obavijestiti nadzorno tijelo, ali i ispitanike, o toj povredi. Time se uvodi striktna obveza za sve voditelje obrade podataka, bez obzira gdje se u svijetu oni nalaze, za objavu navedene povrede.

Bez obzira što postoje razne teorije o GDPR-u, poput one da je on namijenjen „velikima“, kako se u stvari radi o modernom „Y2K BUG-u“ te da je GDPR prenapuhani balon, zaštita podataka pojedinaca je dovedena na jednu višu, standardnu razinu kako zaštita i upravljanje podacima u današnjem svijetu to i zahtijevaju. Iako je hrvatski zakon o primjeni GDPR-a još u javnoj raspravi, bez obzira na to hoće li se ili neće donijeti do 25. svibnja 2018, primjena GDPR-a se ne odgađa – to ne smijemo zaboraviti. Neke tvrtke (tijela javne vlasti, agencije…) nisu niti krenule razmišljati o GDPR-u, neke su na pola puta, a neke (rijetke) su na kraju. Uskoro ćemo vidjeti aneksiranja raznih ugovora, traženja prviola od ispitanika, a nadam se i edukacije ispitanika (građana) o promjenama koje GDPR donosi i prava koja pojedinci imaju. Kako bi tvrtkama (tijelima javne vlasti, agencijama…) olakšao GDPR put, Microsoft je besplatno na adresi www.microsoft.com/gdpr stavio na raspolaganje, uz veliki broj preporuka i dokumentacije, alat koji može pomoći korisnicima na GDPR putu. „GDPR Assessment“ je alat koji omogućava samo-evaluaciju kroz 10-ak pitanja koja će korisnicima pomoći identificirati područja koja jesu ili nisu u skladu s GDPR uredbom. Također, svim Microsoft cloud korisnicima je omogućeno korištenje „Compliance managera“ koji omogućava upravljanje kontrolama, dodjelu zadataka, prikupljanje dokaza i izvještavanje o uskladivosti kako bi našim korisnicima olakšali put ka GDPR-u s Microsoftom kao izvršiteljem obrade podataka u Microsoft Cloud proizvodima. Također, ne treba zaboraviti kako svaki Microsoft cloud proizvod ima svoj dedicirani prostor za uskladivost za razne regulatorne ili pravne zahtjeve, pa tako i za GDPR.

25. svibnja dolazi uskoro… Razmislite kako u svakodnevnom poslu upravljate podacima i osvijestite se gdje se vaši podaci nalaze i kako drugi njima upravljaju, jer upravo je to bit samog GDPR-a, a ne kazne.