Što o GDPR-u zna najbolji GDPR službenik u Hrvatskoj, a vi ne?

Što o GDPR-u zna najbolji GDPR službenik u Hrvatskoj, a vi ne?

Priznajte, niste ni znali da postoji titula najboljeg službenika za zaštitu podataka, a kamoli kako je zaslužiti.

Što se tiče zaštite osobnih podataka, proteklih godinu dana poslovanjima nije bilo veselo. Znali su da su kazne velike, ali su znali i da će ih pojedine, široko primjenjive odredbe GDPR-a stjerati u kut. Bez podataka na kojima su do sad donosili svoje poslovne odluke, uspješno online targetiranje kupaca i korisnika se čini(lo) neizvedivo. Sve je to dovelo do problema da se i danas o usklađivanju s GDPR-om razmišlja kao o odluci između toga da li staviti na rizik uspješnost poslovanja ili korisnike. A nekad se i ne razmišlja…

Iako je veoma problematično da se uopće o tome kalkulira, odluka koliko usklađenosti je dovoljno usklađenosti riješit će se narednih godina vrlo lako, ali tek nakon par presedana i nešto bolje vizije savjetodavnih tijela što bi bila najbolja praksa u određenim slučajevima. Do tada, čini se da je neuređenost neminovna. A možda i nije? Možda se samo trebaju uzdati u svoje službenike za obradu podataka, dopustiti im da rade u najboljem interesu korisnika, a u okviru specifičnosti poslovanja tvrtke pa čak i industrije. (Znate kako kažu, ograničenja potiču kreativnost).

Kako biti primjer zna Bruno Đurašević, Chief Compliance Officer te Data Protection Officer Uniqa osiguranja koji je ove godine zaslužio (prvu) titulu najboljeg službenika za zaštitu podataka u Hrvatskoj uručenoj na ZOP konferenciji. S Brunom i članovima Udruge za zaštitu podataka, organizatorima ovogodišnjeg ZOP-a, imala sam priliku razgovarati o protekloj GDPR godini, ali i narednoj te kako izaći na kraj s Uredbom, a ne izvući deblji kraj za tvrtku.

Stanko Cerin, predsjednik Udruge za zaštitu podataka i direktor Ostendo Consultinga, objasnio je za početak i kako on vidi ‘prijepornu’ GDPR situaciju:

Kao stručnjak koji se područjem zaštite osobnih podataka bavi puno dulje od postojanja GDPR-a, uočio sam cijeli niz dobrih i loših promjena koje je ova regulativa prouzročila u organizacijama koje obrađuju osobne podatke. Činjenicu da se za kršenje zaštite osobnih podataka odjednom propisuju vrlo visoke kazne, organizacije su u pravilu doživjele na dva načina.

Jedni su u GDPR-u prepoznali priliku za sustavno uređivanje upravljanja poslovnim informacijama u vlastitoj organizaciji i građenje još korektnijeg odnosa s klijentima. Drugi su prepoznali još jedno administrativno breme koje donosi dodatni trošak poslovanju. Izborom DPO-a godine promoviramo organizacije i DPO-e koji istinski brinu o zaštiti osobnih podataka. Vjerujemo da na ovaj način podižemo svijest o ispravnom pristupu.

Što čini najboljeg službenika?

Možda se pitate odakle odjednom titula najboljeg službenika za zaštitu osobnih podataka?

Osim mnogima poznatog AZOP-a, postoji i već spomenuti UZOP – Udruga za zaštitu osobnih podataka koja je zadužena za podizanje svijesti, edukacije te razmjene iskustava u području zaštite prava na privatnost u digitalnom društvu, a čiji se trud ove godine zaključio na svibanjskom ZOP-u. Upravo je na ovogodišnjem izdanju konferencije Bruno Đurašević preuzeo svoje priznanje za najboljeg DPO-a.

Max Schrems hrvatskim stručnjacima za zaštitu osobnih podatka na ZOP-u poručio je kako najzanimljiviji GDPR slučajevi tek predstoje.

Na natječaj su se mogli prijaviti samo oni službenici za zaštitu podataka o čijem je imenovanju obaviještena Agencija za zaštitu osobnih podataka. Kriteriji su bili specifična postignuća u okviru funkcije službenika za zaštitu podataka, stručne kompetencije te angažman i ugled u stručnoj zajednici, tumači Maja Šutalo, tajnica Udruge, inače odvjetnica i član ZOP organizacijskog odbora:

Odlike dobrog službenika za zaštitu podataka ovise o industriji i poslovnim procesima konkretnog poslovnog subjekta kod kojeg je imenovan. Stoga je za te odlike teško dati jedinstven recept na općenitoj razini. Svakako, uz potrebna specifična znanja i razumijevanje poslovnih procesa voditelja ili izvršitelja obrade kod kojeg je imenovan, ono što je odlika svakog dobrog službenika je mogućnost kvalitetnog balansiranja komunikacije u odnosu na upravu, zaposlenike, ispitanike i nadzorno tijelo.

Rješenja ne bi trebala biti jedinstvena

No što sa svim kvalifikacijama kada je sam predmet problematičan?

Najveći problemi u vezi GDPR-a protekle godine ticali su se činjenice da je Uredba neprecizna, što je rezultiralo većim ograničenjima za poslovanja, ali i nepotrebnim gnjavažama za korisnike. Mnogi u sferi svojeg poslovanja još nisu našli prihvatljivo GDPR rješenje kojim bi zaštitili korisnika, a dobili nužne podatke. Pitate se sigurno kako je tome pristupila osoba koja je proglašena najboljim službenikom.

Samorazumljivo je kako nova pravila mijenjaju poslovno okruženje, napominje Bruno te dodaje kako s obzirom na ustaljene poslovne prakse nije čudno da se nailazi na određeni otpor. Još veći problem od otpora je što zbog širine Uredbe, nailazimo na šarolikost rješenja. Međutim, Bruno smatra da odgovoran način postoji čak i kada nije jasno što bi točno bilo prihvatljivo rješenje:

Svaki put kada od vas traže privolu, zapitajte se što ako tu privolu ne dam ili još bolje što ako ju dam, a kasnije ju povučem. Hoće li takvo što utjecati na spremnost subjekta da s vama uđe u ugovorni odnos, a ako i uđete pod takvom uvjetovanom privolom, jednom kada privolu povučete hoće li to utjecati na taj odnos ili će vam reći da privolu ne možete povući. Već u ovom primjeru možete vidjeti brojne sukobe u odnosu na pojam privole, pojam s kojim se raspolagalo na različite načine prije stupanja na snagu Uredbe, ali i nakon toga. Iščitavajući odredbe Uredbe, smjernice i tumačenja nadzornih tijela dobivamo sliku kako pravila primijeniti na odgovoran način s ciljem zaštite prava i sloboda ispitanika.

Angažman Brune i njegovih kolega rezultirale su time da odredbe o zaštiti podataka postanu sastavni dio Zakona o osiguranju.

Kako zaključuje Bruno, neprecizne odredbe GDPR-a zapravo ne postoje:

Ono što postoji je činjenica kako se radi o Uredbi koja je po svojoj prirodi opća i koja postavlja jedinstvena pravila za sve sudionike obrade podataka. Izvor „nepreciznosti“, ako ćemo je tako nazvati, nalazi se upravo u tome. Ono što je industrija osiguranja na vrijeme prepoznala je da pravila Uredbe postoje kao filter kroz koji treba provući sve poslovne procese, a čime u konačnici dobivamo ne opća pravila, nego pravila zaštite privatnosti specifična za pojedinu gospodarsku granu, ali usklađena s načelima i pravilima Uredbe.

A gdje su uredbe i ‘neprecizne’, na struci je zadatak da ih se primjenom u praksi – precizira.

Najveća pogreška koja je mogla biti učinjena tijekom implementacije, ali i danas je zauzimanje stava kako postoje jedinstvena rješenja u odnosu na različite gospodarske grane, kako postoje obrasci i predlošci koji jednako dobro funkcioniraju za sve. Istina je upravo suprotna, a to je da pravila privatnosti treba postaviti specifično, ali uvijek u skladu s pravilima Uredbe.

Tko donosi odluku što je prihvatljivo?

Uostalom, treba li vam AZOP reći kako ćete riješiti kolačiće na svojoj web stranici, kada ni njima nisu usklađeni po Uredbi? Iako smo svi svjesni kako je AZOP-ov zadatak biti i savjetodavno tijelo kad je u pitanju traženje prihvatljivog rješenja, tko bolje od vas zna vaše poslovanje i ciljanu publiku kojoj se vaša tvrtka obraća? Kako je već objasnio Bruno, i kaos različitih tumačenja da se riješiti temeljitim iščitavanjem Uredbe, posebno ako u tome imate i kolege koji su voljni naći prihvatljivo rješenje.

Koliko je bitno da se na ovim pitanjima radi kolektivno, govori i činjenica da Bruno zasluge za svoju titulu najviše pripisuje trudu koji je uložio u promicanje teme zaštite podataka općenito, kao i potrebi za zauzimanjem jedinstvenih stajališta u odnosu na industriju osiguranja:

Hrvatski ured za osiguranje prepoznao je ovo nastojanje te osnovao posebnu radnu grupu za implementaciju Uredbe. Industrija osiguranja prepoznala je kako promjene koje u poslovanje uvodi Uredba treba rješavati na ujednačenom nivou, suglasno, budući da otvorene teme utječu na sve sudionike tržišta. Užitak je promatrati kako svi sudionici industrije rade zajedno na pronalasku rješenja i svakako je čast voditi takvu grupu stručnjaka koja kroz dugotrajne rasprave i analize zauzima stavove kako bi se poslovanje moglo nesmetano odvijati.

Nije teško pripremati materijale, iščitavati tumačenja nadzornih tijela i smjernice kada ste okruženi takvim kolegama, napominje Bruno te objašnjava da je pronaći motivaciju bilo puno lakše, nego priznati da dan traje samo 24 sata:

Kao što sam rekao tijekom dodjele nagrade, ovo smatram uspjehom industrije osiguranja te koristim i ovu priliku da se ponovno zahvalim svima koji su aktivno sudjelovali u radnoj grupi, čiji je angažman u konačnici rezultirao odredbama o zaštiti podataka koje su postale sastavni dio Zakona o osiguranju.

Godinu dana nakon, još nam je (svima) nejasno…

Iako je GDPR stupio na snagu u svibnju 2018. svi koji s njim imaju veze svjesni su toga da je to bio tek početak ‘pravog’ usklađivanja. Kako ističe i Bruno, proteklu godinu primjene Uredbe obilježio je kontinuirani rad na unaprjeđivanju uspostavljenih Sustava zaštite podataka:

Usvojena pravila i procese kontinuirano treba preispitivati, donositi odluke i zauzimati stajališta kako bi u svakom trenutku mogli ispuniti uvjet „odgovornosti“ koji je jasno propisan. Proteklo vrijeme, a i nedavna obljetnica pokazali su kako teme privatnosti i zaštite podataka u društvu i medijima svoj vrhunac postižu upravo oko datuma te obljetnice. U tom smislu smatram najizazovnijim upravo podizanje svijesti o važnosti zaštite privatnosti te edukaciju o pravima i slobodama ispitanika jer, bez obzira na sve ostale uloge koje preuzimamo kroz poslovno djelovanje, svi smo mi upravo ispitanici – osobe o čijim se osobnim podacima radi.

No osim poziva da se naglasak uvijek stavi na zaštitu korisnika i njihovih podataka, Bruno zaključuje i kako je protekla godina pokazala koliko s poslovne strane još postoji mjesta za napredak, posebno po pitanju podjele uloga osoba koja će biti zadužene za usklađivanje s GDPR-om:

Ono što mogu istaknuti s poslovne strane kao kontinuirani izazov je identificiranje uloga obrade podataka. Pojedini subjekti koje sudjeluju u obradi podatka i dalje ne prihvaćaju činjenicu kako, u svakom procesu obrade, nisu nužno voditelji obrade osobnih podataka i kako sama činjenica da nekom subjektu prenose podatke, ne čini taj subjekt izvršiteljem obrade.

Krećemo u drugu sezonu – s fokusom na potrošače

Marketing Data GIF - Find & Share on GIPHY

Uz sve okolnosti koje su Bruni i kolegama potvrdile da je prihvatljivo rješenje moguće pronaći, GDPR ipak zahtjeva neke nužne promjene, slaže se i on. Jer, kako je već spomenuto, implementirani sustavi zaštite osobnih podatka tek su početak te kao i svaki drugi sustav, zahtijeva daljnje praćenje i poboljšavanje, objašnjava:

U tom smislu ključna je provedba revizije sustava kako bi se utvrdilo koja pravila je potrebno prilagoditi promijenjenim okolnostima poslovanja i tržišta, a koja pravila je potrebno uvesti npr. u odnosu na povećan trend digitalizacije poslovanja. Dobro osmišljeni revizijski programi, prilagođeni specifičnim okolnostima obrade, jasni u odnosu na mjere, planirane radnje, rokove i odgovornosti trebaju pružiti potporu trajnom unapređivanju sustava.

A kada je u pitanju pristup koji će se zauzeti u unaprjeđenju sustava, Bruno dodaje i da je zaštita podataka samo dio „Consumer Centricity“ regulatorne logike koja u središte stavlja zaštitu interesa potrošača i taj trend će se svakako nastaviti u budućnosti, ističe. Osim toga, dodaje kako je u skladu s tim bitno mijenjati i stavove poslovanja:

Ono što je na svakom odgovornom subjektu tržišta je da prepozna ta nova pravila ne kao ograničenje i opterećenje već kao dodanu vrijednost na uslugu koju pruža te komparativnu prednost u odnosu na druge sudionike tržišta. Nikako ne smijemo zaboraviti da su ispitanici prije i poslije stupanja na snagu Uredbe bili i ostali naši klijenti.

Sljedeći kandidati pričekat će početak 2020.

ZOP projekt, a u sklopu njega i izbor najboljeg službenika za zaštitu osobnih podataka, organizirat će se i 2020. godine. Upute za prijavu kandidata za najboljeg DPO 2020. bit će objavljene na web stranicama ZOP-a početkom iduće godine.

Premda su u Udruzi bili više nego ugodno iznenađeni kvalitetom pristiglih prijava i ove godine, bude li ih sljedeće godine još i više, imaju najbolji dokaz da je u protekloj godini napravljen pomak naprijed po pitanju svijesti poduzetnika o zaštiti osobnih podataka. Stoga im iskreno želim pregršt prijava.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Digitalni marketing

Digitalna industrija je u ku*cu, ali Social Dilemma je jeftina Skynet drama koja to ne zna reći

Social Dilemma nije više #1 izbor na Netflixu, a mnogi su već dali svoje mišljenje neovisno o tome jesu ga gledali. Ovo je kritički osvrt na odlično vizualno ostvarenje dokumentarca koji otvara mnoga pitanja, ali i isceniranu dramu o zlim društvenim mrežama koja daje malo odgovora - često površnih.

Startupi i poslovanje

Mate Rimac transparentno o financijama, svojoj plaći, kampusu i uključivanju radnika kao suvlasnika Rimac Automobila

U izuzetno dobrodošlom primjeru transparentnosti koji rijetko viđamo u svjetskoj, a kamoli hrvatskoj tehnološkoj industriji, Mate Rimac je na YouTubeu objavio sat vremena dug pregled izvještaja Rimac Automobila za treći kvartal 2020. Izdvajamo neke od zanimljivijih informacija.

Startupi i poslovanje

Borealis: Kako je programer Dennis Puzak startup “fail” pretvorio u uspješnu agenciju za digitalne proizvode

Dennis je počeo kao programer i teško zarađene novce uložio u startup - koji nije uspio. No naučeno iskustvo u samo je nekoliko godina pretvorio u agenciju za digitalne proizvode koje želi zadržati malom i izuzetno kvalitetnom.

Što ste propustili

Kultura 2.0

4 koraka koja će vas sigurno pripremiti za Black Friday i Cyber Monday!

Prije par godina još se i moglo dogoditi da neke web trgovine potpuno ignoriraju Black Friday, ali ne i u 2020. Puno je izbora, a vremena su neizvjesna - kako pronaći najbolje ponude? Ovi savjeti mogli bi vam poslužiti.

Startupi i poslovanje

Kriza medicinskog kanabisa splitsku tvrtku Agilno pripremila za healthtech boom 2020.

Tržište medicinskog kanabisa prošle je godine doživjelo velike probleme, a što je uvelike utjecalo na glavni projekt splitske tvrtke Agilno - Strainprint aplikaciju. Kako su poučeni tim iskustvom pivotirali u smjer healthtecha?

Kultura 2.0

Sigurnije ne znači lošije – iskustvo, što dvostruka autentifikacija donosi za kupce i trgovce?

Do kraja godine u svim zemljama EU počet će primjena regulative koja će naše digitalne transakcije osigurati s dvostrukom autentifikacijom. Postoje vrlo dobri razlozi zašto zbog toga ne bismo trebali gunđati, već biti sretni i zadovoljni.

Izrada web stranica

WordPressov prvi VIP partner u srednjoj i istočnoj Europi je – hrvatski Neuralab!

Zagrebačka digitalna agencija sad je među samo 30-ak svjetskih tvrtki koje su potvrdile svoj status u kvaliteti razvoja na sustavima koje koristi većina svjetskih web stranica i internetskih trgovina.

Najava

Kako ostvariti developersku karijeru u Osijeku – saznaj 30.11. uz domaće IT stručnjake!

Hrvatska IT scena ne gradi se samo u Zagrebu! Zato ova Digitalna karijera ide u Osijek. Kako razviti IT karijeru i u drugim gradovima Hrvatske saznat ćemo uz tvrtke koje upravo tamo traže pojačanje.

Startupi i poslovanje

Hrvatsko-slovenski Mercury PSI i danski Nets skupa kreću u digitalizaciju plaćanja diljem Europe

Biometrijske isprave, beskontaktna plaćanja i društvo bez gotovine: sve su ovo ideje koje nam dolaze iz danskog Netsa, a odnedavno ih razvijaju i domaći stručnjaci iz Nets CEE.