Tiskane izdaje
Evropska uredba o varstvu osebnih podatkov, ki jo uporablja tudi Slovenija, je stara 21 let. Prihodnjega maja bo začela veljati precej strožja ureditev.
Čeprav ta prispevek berete v ponedeljek, si poskušajte zamisliti naslednji scenarij – petek je, ura je sedem zvečer, v podjetju razen varnostnika ni nikogar več. Poleg tega je ponedeljek dela prost dan, podjetje pa je pravkar doživelo hekerski napad ali vdor.
Do zdaj si razen informatikov nihče ni pulil las, po novem pa bo zelo drugače. Tudi precej dražje. Splošna uredba o varstvu osebnih podatkov (GDPR), ki jo maja 2018 uvaja Evropska unija in bo veljala v vseh državah članicah, podjetjem nalaga, da morajo oblastem in organom pregona pa tudi morebitnim prizadetim strankam in uporabnikom natančno poročati o vdoru in kraji ali zlorabi osebnih podatkov. Za to imajo le do 72 ur časa, vključno z vikendi ali prazniki.
Dvainsedemdeset ur je dvainsedemdeset ur. Kazen za nespoštovanje določil iz omenjene uredbe je visoka in lahko znaša do štiri odstotke globalnega (!) prometa podjetja ali do 20 milijonov evrov – odvisno od tega, kateri znesek je višji. Jasno je, da si takšne kazni ne more privoščiti nobeno podjetje, še manj pa izgubo ugleda in posledično izgubo strank.
Podatke strank bo treba obvladovati in varovati
V času treh dni po vdoru in kraji ali zlorabi podatkov informatike ter varnostne strokovnjake v podjetju čaka veliko dela. Ne le da morajo zakrpati luknje, skozi katere so napadalci vstopili v podjetje, zaposlenim morajo omogočiti čim manj moteno delo, poleg tega pa morajo sodelovati tudi s preiskovalci – tem mora biti podjetje sposobno takoj pokazati, katere podatke o svojih strankah hrani, kje in kako jih hrani (vključno z varnostnimi kopijami) ter tudi ustrezna dovoljenja (privolitve) za hrambo teh podatkov.
Za zagotavljanje skladnosti z uredbo GDPR mora biti podjetje ustrezno organizirano in opremljeno. Samo pomislite, koliko podatkov o strankah danes podjetja (ne)upravičeno zbirajo, hranijo in obdelujejo. Tehnologija lahko posameznika prepozna tako neposredno kot posredno, saj podjetja zbirajo podatke, kot so vrsta naprave, IP-naslov in piškotki v brskalnikih, podatki o lokaciji ter različni družbeni, gospodarski in/ali kulturni identifikatorji. Podjetja, ki bi torej rada vedela vse o svojih strankah, posledično nosijo tudi velik del odgovornosti za posedovanje osebnih podatkov v primeru njihove zlorabe.
Zasebnost uporabnikov in integriteta osebnih podatkov
Prenovljena evropska regulativa ima jasen cilj: zavarovati zasebnost uporabnikov in integriteto osebnih podatkov o strankah, ki jih zbirajo podjetja. Hkrati bomo posamezniki pridobili pravico, da izvemo, kje in za kakšne namene se naši podatki hranijo in obdelujejo, ter pravice in možnosti omejitve nadaljnje obdelave podatkov. Prav tako bomo od podjetij lahko zahtevali brisanje zbranih podatkov.
Zagotavljanje skladnosti poslovanja z novo uredbo GDPR bo za številna podjetja zahtevno in drago opravilo. Podjetja namreč podatke o strankah hranijo v različnih sistemih, zato izbris iz enega sistema ne pomeni avtomatičnega izbrisa iz drugega sistema ali baze podatkov. Kompleksno delo čaka tudi podjetja, ki imajo vpreženo analitiko, saj bodo morala upoštevati različne zahteve uporabnikov. Posledično bodo morala nekatere podatke anonimizirati, druge psevdonimizirati (torej zamenjati osebne podatke), tretje kriptirati ...
Do začetka nastopa veljavnosti uredbe GDPR je le še dobro leto. Za zagotavljanje skladnosti ob upoštevanju obsega in zahtevnosti sprememb to res ni veliko časa. Podjetja, ki so se naloge že lotila, še kako dobro vedo, koliko izzivov jih čaka, saj so podatki nepogrešljiva sestavina vseh poslovnih procesov in sistemov.
