Za osebne podatke strank in zaposlenih bo treba bolj skrbeti

Evropska uredba o varstvu podatkov naj bi pripomogla k smiselni in varni digitalizaciji poslovanja podjetij.

Objavljeno
08. december 2017 15.03
Posodobljeno
10. december 2017 20.00
Miran Varga
Miran Varga

Uroš Majcen, svetovalec za informacijsko varnost v družbi S & T Slovenija, meni, da je nova evropska uredba o varstvu podatkov (angl. General Data Protection Regulation oziroma GDPR) nekaj najboljšega, kar se je lahko zgodilo v IT-krajini, saj bo pripomogla k smiselni in varni digitalizaciji poslovanja podjetij.

Uredba GDPR podjetjem nalaga ureditev upravljanja osebnih podatkov evropskih državljanov. Kako je treba skrbeti za poslovne podatke? Ali jim domača podjetja namenjajo dovolj pozornosti?

Uredba GDPR je prvi celovit odgovor na varovanje osebnih podatkov in velja enako za vse državljane v EU in države, brez izjem. Prinaša veliko pozitivnih sprememb, predvsem z vidika zavedanja, da ne moremo ad hoc ravnati z osebnimi podatki. V digitalnem svetu ljudje puščamo digitalni odtis povsod, to pa je mogoče izkoristiti za različne namene.

GDPR podjetjem pomeni več izzivov. V poslovnih okoljih sta bili na prvem mestu razpoložljivost in funkcionalnost aplikacij, ne pa varnost. Zdaj bo nasprotno, varnost in zaupnost podatkov bosta postala prioriteti. Domača podjetja jima sicer še ne namenjajo dovolj pozornosti, razen izjem.

Zakon o varstvu osebnih podatkov (ZVOP-1) se je zaradi gospodarske krize kaj hitro nehal izvajati, pritisk na banke in zavarovalnice je bil veliko manjši kot sicer. Izjem zdaj ne bo. Pritisk na podjetja bo večji, saj so ona tista, ki morajo dokazovati stalno skladnost z uredbo. Podjetja bi se morala zavedati, da je uredba GDPR trajna in kot taka uvaja dolgoročne spremembe, o katerih podjetja še ne razmišljajo.

Se slovenska podjetja sploh zavedajo sprememb, ki jih čakajo? Bodo te pretežno tehnične, organizacijske ali pravne narave?

Smo v prehodnem obdobju, ko bi se morali pripravljati na začetek veljavnosti uredbe GDPR. Ta je vendarle napisana že leto in pol, šele zadnja dva meseca pa opažamo spremembe v razmišljanju podjetij, raven zavedanja se dviguje. Spremembe so sicer vseobsežne.

Najprej bodo verjetno na vrsti pravne, saj so najlažje izvedljive – podjetja poskrbijo za pripravo notranji pravil, pregledajo pogodbe in člene ter poskrbijo za morebitne dopolnitve. Organizacijske spremembe so vedno prisotne ter odvisne od trenutnega stanja in urejenosti področja podatkov. Še največ izzivov bo po tehnični plati, saj vse spremembe niso nujno hitro izvedljive. Sistema upravljanja identitet ali pa rešitev kontrole revizijske sledi ne moreš implementirati v nekaj tednih.

Ali obstaja recept, kako podjetje hitro privesti do skladnosti z GDPR?

Poslovna okolja že sicer delujejo tako, da se ljudje vprašajo, ali je že kdo drug našel rešitev za njihov izziv. V bistvu bodo skladnost z uredbo GDPR najhitreje in najlažje dosegla podjetja, ki so v preteklosti že poskrbela za skladnost poslovanja po ZVOP-1 ali pa uvedla standard ISO27001 – ta okolja potrebujejo le še kakšno manjšo nadgradnjo.

Sicer pa uredba GDPR temelji na analizi tveganj in iskanju odgovorov nanje. Dobra praksa s področja GDPR se ustvarja šele zdaj. Ponudniki imajo za reference le pretekle sorodne projekte s področij analize tveganj in informacijske varnosti ter revizij.

Na kakšne težave najpogosteje naletijo podjetja, ko se lotijo reševanja upravljanja podatkov?

Težav je več in so večplastne. Dejstvo je, da brez razumevanja vodstva teh stvari ne moreš rešiti, saj so preobsežne. Podjetja pogosto naredijo napako že, ko mislijo, da gotovo vedo, kje vse hranijo osebne podatke in kaj vse morajo narediti.

Na težave bodo naletela tudi podjetja, ki menijo, da bodo zanje obstajale izjeme. A tokrat se zahtevata red in disciplina pri izvajanju uredbe. V praksi težave nastopijo takrat, ko podjetja ugotovijo, kje imajo kakšne vrste podatkov, saj postane velik izziv sestavljanje interne ekipe, ki bi bila nalogi kos. Organizacije in podjetja so kadrovsko podhranjena, kaj šele s.p., saj preprosto nimajo (dovolj) ljudi z zahtevanim znanjem.

Kakšne napake ponavadi delajo podjetja, ki se zahtevnega področja lotevajo v lastni režiji in s pomanjkljivim znanjem?

Omenili smo, da je že samo razmišljanje v slogu »Zmoremo sami«, napačno. Če ne drugače, naj vsaj verifikacijo rešitve opravi zunanji izvajalec, ki ima zahtevana strokovna znanja in ni vezan na nikogar v podjetju. To pomeni, da nastopa nepristransko. To podjetjem lahko ponudi drugačen pogled in s tem osvetli področja, ki so jih v podjetju morda prezrli.

Uroš Majcen Foto: arhiv S & T Slovenija

Pri zagotavljanju skladnosti z GDPR je najpomembnejši že prvi korak – analiza stanja. Če podjetja ne opredelijo natančno, kje imajo osebne podatke in kaj z njimi počnejo, bodo napake vlekla naprej, težave pa se bodo potencirale.

Podjetja na primer vedo, da imajo podatke v podatkovni bazi, ne vedo pa, kaj vse hranijo zaposleni na delovnih postajah, prenosnikih, telefonih in kako s temi podatki delajo. Opozoril bi, da je GDPR dolgotrajen proces. Dober načrt je osnova vsega. Za načrt si raje vzameš več časa in postaviš zdrave temelje – tudi če si pri tem pomagaš z zunanjimi svetovalci. Napake so namreč lahko zelo drage.

Z uredbo GDPR bodo posamezniki pridobili več pravic – katere bodo po vašem mnenju najbolj izkoriščali in zakaj?

V ospredju bosta predvsem dve pravici – pravica vedeti in pravica do pozabe. Številna podjetja bodo imela težavo, če jim (več) sto ljudi hkrati odda zahtevek za pojasnilo, katere njihove osebne podatke hranijo in obdelujejo, nato pa še zahtevek za izbris.

To bo v praksi videti kot hekerski (DDoS) napad na podjetja. A tak scenarij je povsem realen, denimo po manj uspešni e-poštni kampanji, ko se bodo ljudje želeli odjavljati. Če bo »odjavljeni« in »izbrisani« uporabnik čez 14 dni spet prejel reklamno sporočilo podjetja, bo ogenj v strehi in prijave pri ustreznih službah. Podjetja morajo zato narediti vse, da se ti scenariji ne bodo uresničili. GDPR daje veliko moči posameznikom naproti institucijam, v bistvu ščiti šibkejšega proti močnejšemu.

Na papirju se kot najzahtevnejša sliši pravica v odnosu do avtomatske obdelave podatkov – kako naj jo podjetje uresniči v praksi, da bo zadovoljno tako podjetje kot njegove stranke?

Gre za širši kontekst. EU gre v drugo smer kot ZDA, kjer se rešitve vse bolj podrejajo umetni inteligenci, strojnemu učenju in samodejni obdelavi podatkov. Težava nastane, ko posameznik ne ve, kako je prišlo so nekega rezultata.

Na primer da vam Google ali neka mobilna aplikacija nekaj predlaga – ali samodejno odloči. Denimo, da vam sistem v banki izračuna, da niste kreditno sposobni. EU z GDPR nalaga, da mora biti človeški dejavnik v procesu odločanja še vedno prisoten, saj se tako zmanjša možnost napak algoritmov.

Podjetja pač ne bodo mogla prosto obdelovati podatkov brez privolitev posameznika. Ta mora vedeti, katere podatke o njem ima in kaj počne z njimi. Nekatera podjetja bodo v velikih težavah, predvsem tista, ki so si podatke strank med seboj tudi prodajala.

Informacijski sistemi in druge rešitve do zdaj niso bili načrtovani s ciljem, da izbrišejo podatke, ampak da jih kar se da zanesljivo hranijo. Kako bodo podjetja poskrbela za celovit in zanesljiv izbris osebnih podatkov? Je ta sploh mogoč glede na to, da so podatki v različnih sistemih, dokumentih, e-pošti in še marsikje?

Ključno je vedeti, kje so osebni podatki – brez te informacije jih tudi izbrisati ne morete. Podjetja morajo v poslovne procese vključiti tehnična sredstva za izbris. In razumeti delovanje različnih rešitev. Iz arhiva, ki je sicer zbirka osebnih podatkov, teh ni treba izbrisati – če pa se arhiv restavrira, mora podjetje iz arhivske kopije izbrisati osebne podatke.

Kompleksne organizacije z velikimi bazami podatkov in veliko različnimi aplikacijami bodo imele velike težave – ročno upravljanje podatkov se ne upošteva. Je pa na trgu oživel razvoj rešitev, ki poiščejo podatke, jih lovijo in nato prikažejo v preglednem vmesniku. Dobra praksa je tudi kriptiranje osebnih podatkov – ob morebitni odtujitvi je varnostno tveganje bistveno manjše.

Kakšne so dobre prakse za doseganje skladnosti z GDPR? Kje začeti in česa ne pozabiti oziroma izpustiti?

Dobra praksa je vzeti uveljavljeno in v praksi dokazano metodologijo. Začeti je preprosto – razumeti, da nas GDPR zadeva, ugotoviti, kje imamo podatke in ali imamo pravno osnovo za njihovo rabo.

Pomembne so tri faze: analiza (kje smo in kje imamo osebne podatke), proces (kako ravnati z njimi) ter pravna podlaga (ali jih lahko sploh obdelujemo). Podjetje po analizi podatkov čakajo formalno-pravni ukrepi, saj mora pregledati privolitve o osebnih podatkih oziroma le-te pridobiti na novo. Šele nato so na vrsti tehnični ukrepi – EU zagovarja več pristopov, ki bodo dolgoročno učinkoviti –, osebno mi je najbolj všeč pojem minimizacije količine podatkov.

Podjetja preprosto ne rabijo vseh podatkov na različnih koncih. Prav tako je treba ob načrtovanju arhitektur, procesov in podatkov upoštevati zasebnost in varnost podatkov ter ju vgraditi v vse rešitve. Seveda pa podjetja ne smejo pozabiti na izobraževanje zaposlenih glede ravnanja z osebnimi podatki strank.

Imate sistemski integratorji prednost pred drugimi ponudniki, ki tipično ponujajo le eno vrsto rešitev za reševanje izzivov, povezanih z GDPR?

Sistemski integrator, ki ima svetovalce, inženirje in programerje, organizaciji lahko ponudi doseganje skladnosti z GDPR na ključ. S tem se naročniku zmanjša tveganje. S & T na tem področju strankam omogoča tako triurne izobraževalne delavnice, namenjene ozaveščanju in podajanju informacij, kako se pripraviti na uredbo GDPR, kot izdelavo analiz in izvedbo ukrepov. Projekt doseganja skladnosti lahko skupaj s stranko uresničimo v nekaj mesecih. Naročnik mora poskrbeti za to, da pregleda delo integratorja – torej, da tudi on opravi domačo nalogo.

Ni pa nujno, da sistemski integrator opravi vse delo na področju zagotavljanja skladnosti, v praksi bodo podjetja sistemske integratorje verjetno najemala tudi za posamezne naloge, na primer verifikacijo uvedenih rešitev. V Sloveniji je veliko organizacij podrejenih zakonu o javnemu naročanju, zato je treba upoštevati tudi ta vidik pri izvedbi projektov zagotavljanja skladnosti z GDPR.

GDPR je trenutno marketinško pogosto zlorabljana beseda – številni ponudniki jo izkoriščajo za novačenje strank, ki jim obljubljajo vse, čeprav zagotavljajo le delno rešitev.

Zagrožene kazni za kršitve uredbe so visoke. Menite, da bo v Sloveniji veliko kršiteljev? Kdo bo skrbel za odkrivanje, dokazovanje in kaznovanje kršitev?

V Sloveniji je izvedbeni zakon uredbe GDPR ZVOP-2, izvedbeni organ pa informacijski pooblaščenec. Kazni je treba gledati skozi prizmo dejanskega stanja – če bi bile majhne, bi jih velika podjetja preprosto plačevala in nadaljevala kršitve. Slovenska podjetja so v evropskem merilu majhna, zato bodo tudi kazni pri nas manjše.

Prepričan sem, da 25. maja prihodnje leto inšpektorji ne bodo stali pred podjetji in jih kaznovali za vsako malenkost. Inšpekcijski organ se mora odzvati na morebitno prijavo, nadzor bo vsekakor vzpostavljen.

Je mogoče pričakovati pravno in finančno soodgovornost ponudnikov? Bodo ti v primeru uvedbe rešitve tudi soodgovarjali za njeno morebitno slabšo implementacijo, če se dokaže, da je ta kriva za zlorabo podatkov ali kakšno drugo kršitev uredbe?

Seveda. To je sicer stvar pogodbenega razmerja med ponudnikom in naročnikom, a bo deljena odgovornost v večini primerov veljala. Obe strani morata poskrbeti za kakovostno rešitev.

Je uredba GDPR morda hkrati priložnost za ureditev ali optimizacijo procesov ter nadgradnjo poslovnih rešitev? Je to sploh smiselno početi sočasno?

GDPR prinaša več strateških sprememb. Pojmi, kot so minimizacija podatkov, indeks zasebnosti podatkov, zasnova zasebnosti podatkov, so povsem novi in vplivajo na to, kako se podjetja lotevajo gradnje arhitektur in infrastrukture. Prej so delala na razpoložljivosti, zanimalo jih je predvsem to, ali bo rešitev kos bremenu.

Po novem pa je varnost osebnih podatkov najpomembnejša, kar pomeni strateški premik v zasnovi in izvedbi. Res je, da bo programska oprema nekoliko dražja, podjetja bodo potrebovala dlje časa za uvedbo, a dolgoročno bomo vsi imeli boljše IT-rešitve in boljšo IT-krajino. In šele takšna digitalizacija poslovanja bo res smiselna, zato osebno uredbo GDPR zelo podpiram.

Vas pri uredbi GDPR kaj moti?

Ne. Moti me le trenutno dojemanje podjetij – ta jo vidijo predvsem kot strošek in nadzor. A povem vam: nihče izmed nas ne bi želel živeti v avtomatiziranem svetu, kjer bi nam podjetja, stroji ali algoritmi kar vzeli vse podatke in z njimi počeli karkoli.

Tudi posameznik bo moral postati bolj kritičen – danes se redkokdo kaj vpraša ob namestitvi mobilne aplikacije in kaj vse ta želi od njega (podatke in dovoljenja) v zameno za manjšo funkcionalnost, na primer na prižiganje bliskavice –, skoraj nihče pa se ne vpraša, kaj se nato dogaja z njegovimi osebnimi podatki. Zloraba osebnih podatkov, posebno zdravstvenih, danes posamezniku lahko uniči življenje, zato jo je treba preprečiti. GDPR je trenutno najboljši recept za to.