Što o GDPR-u zna najbolji GDPR službenik u Hrvatskoj, a vi ne?

Što o GDPR-u zna najbolji GDPR službenik u Hrvatskoj, a vi ne?

Priznajte, niste ni znali da postoji titula najboljeg službenika za zaštitu podataka, a kamoli kako je zaslužiti.

Što se tiče zaštite osobnih podataka, proteklih godinu dana poslovanjima nije bilo veselo. Znali su da su kazne velike, ali su znali i da će ih pojedine, široko primjenjive odredbe GDPR-a stjerati u kut. Bez podataka na kojima su do sad donosili svoje poslovne odluke, uspješno online targetiranje kupaca i korisnika se čini(lo) neizvedivo. Sve je to dovelo do problema da se i danas o usklađivanju s GDPR-om razmišlja kao o odluci između toga da li staviti na rizik uspješnost poslovanja ili korisnike. A nekad se i ne razmišlja…

Iako je veoma problematično da se uopće o tome kalkulira, odluka koliko usklađenosti je dovoljno usklađenosti riješit će se narednih godina vrlo lako, ali tek nakon par presedana i nešto bolje vizije savjetodavnih tijela što bi bila najbolja praksa u određenim slučajevima. Do tada, čini se da je neuređenost neminovna. A možda i nije? Možda se samo trebaju uzdati u svoje službenike za obradu podataka, dopustiti im da rade u najboljem interesu korisnika, a u okviru specifičnosti poslovanja tvrtke pa čak i industrije. (Znate kako kažu, ograničenja potiču kreativnost).

Kako biti primjer zna Bruno Đurašević, Chief Compliance Officer te Data Protection Officer Uniqa osiguranja koji je ove godine zaslužio (prvu) titulu najboljeg službenika za zaštitu podataka u Hrvatskoj uručenoj na ZOP konferenciji. S Brunom i članovima Udruge za zaštitu podataka, organizatorima ovogodišnjeg ZOP-a, imala sam priliku razgovarati o protekloj GDPR godini, ali i narednoj te kako izaći na kraj s Uredbom, a ne izvući deblji kraj za tvrtku.

Stanko Cerin, predsjednik Udruge za zaštitu podataka i direktor Ostendo Consultinga, objasnio je za početak i kako on vidi ‘prijepornu’ GDPR situaciju:

Kao stručnjak koji se područjem zaštite osobnih podataka bavi puno dulje od postojanja GDPR-a, uočio sam cijeli niz dobrih i loših promjena koje je ova regulativa prouzročila u organizacijama koje obrađuju osobne podatke. Činjenicu da se za kršenje zaštite osobnih podataka odjednom propisuju vrlo visoke kazne, organizacije su u pravilu doživjele na dva načina.

Jedni su u GDPR-u prepoznali priliku za sustavno uređivanje upravljanja poslovnim informacijama u vlastitoj organizaciji i građenje još korektnijeg odnosa s klijentima. Drugi su prepoznali još jedno administrativno breme koje donosi dodatni trošak poslovanju. Izborom DPO-a godine promoviramo organizacije i DPO-e koji istinski brinu o zaštiti osobnih podataka. Vjerujemo da na ovaj način podižemo svijest o ispravnom pristupu.

Što čini najboljeg službenika?

Možda se pitate odakle odjednom titula najboljeg službenika za zaštitu osobnih podataka?

Osim mnogima poznatog AZOP-a, postoji i već spomenuti UZOP – Udruga za zaštitu osobnih podataka koja je zadužena za podizanje svijesti, edukacije te razmjene iskustava u području zaštite prava na privatnost u digitalnom društvu, a čiji se trud ove godine zaključio na svibanjskom ZOP-u. Upravo je na ovogodišnjem izdanju konferencije Bruno Đurašević preuzeo svoje priznanje za najboljeg DPO-a.

Max Schrems hrvatskim stručnjacima za zaštitu osobnih podatka na ZOP-u poručio je kako najzanimljiviji GDPR slučajevi tek predstoje.

Na natječaj su se mogli prijaviti samo oni službenici za zaštitu podataka o čijem je imenovanju obaviještena Agencija za zaštitu osobnih podataka. Kriteriji su bili specifična postignuća u okviru funkcije službenika za zaštitu podataka, stručne kompetencije te angažman i ugled u stručnoj zajednici, tumači Maja Šutalo, tajnica Udruge, inače odvjetnica i član ZOP organizacijskog odbora:

Odlike dobrog službenika za zaštitu podataka ovise o industriji i poslovnim procesima konkretnog poslovnog subjekta kod kojeg je imenovan. Stoga je za te odlike teško dati jedinstven recept na općenitoj razini. Svakako, uz potrebna specifična znanja i razumijevanje poslovnih procesa voditelja ili izvršitelja obrade kod kojeg je imenovan, ono što je odlika svakog dobrog službenika je mogućnost kvalitetnog balansiranja komunikacije u odnosu na upravu, zaposlenike, ispitanike i nadzorno tijelo.

Rješenja ne bi trebala biti jedinstvena

No što sa svim kvalifikacijama kada je sam predmet problematičan?

Najveći problemi u vezi GDPR-a protekle godine ticali su se činjenice da je Uredba neprecizna, što je rezultiralo većim ograničenjima za poslovanja, ali i nepotrebnim gnjavažama za korisnike. Mnogi u sferi svojeg poslovanja još nisu našli prihvatljivo GDPR rješenje kojim bi zaštitili korisnika, a dobili nužne podatke. Pitate se sigurno kako je tome pristupila osoba koja je proglašena najboljim službenikom.

Samorazumljivo je kako nova pravila mijenjaju poslovno okruženje, napominje Bruno te dodaje kako s obzirom na ustaljene poslovne prakse nije čudno da se nailazi na određeni otpor. Još veći problem od otpora je što zbog širine Uredbe, nailazimo na šarolikost rješenja. Međutim, Bruno smatra da odgovoran način postoji čak i kada nije jasno što bi točno bilo prihvatljivo rješenje:

Svaki put kada od vas traže privolu, zapitajte se što ako tu privolu ne dam ili još bolje što ako ju dam, a kasnije ju povučem. Hoće li takvo što utjecati na spremnost subjekta da s vama uđe u ugovorni odnos, a ako i uđete pod takvom uvjetovanom privolom, jednom kada privolu povučete hoće li to utjecati na taj odnos ili će vam reći da privolu ne možete povući. Već u ovom primjeru možete vidjeti brojne sukobe u odnosu na pojam privole, pojam s kojim se raspolagalo na različite načine prije stupanja na snagu Uredbe, ali i nakon toga. Iščitavajući odredbe Uredbe, smjernice i tumačenja nadzornih tijela dobivamo sliku kako pravila primijeniti na odgovoran način s ciljem zaštite prava i sloboda ispitanika.

Angažman Brune i njegovih kolega rezultirale su time da odredbe o zaštiti podataka postanu sastavni dio Zakona o osiguranju.

Kako zaključuje Bruno, neprecizne odredbe GDPR-a zapravo ne postoje:

Ono što postoji je činjenica kako se radi o Uredbi koja je po svojoj prirodi opća i koja postavlja jedinstvena pravila za sve sudionike obrade podataka. Izvor „nepreciznosti“, ako ćemo je tako nazvati, nalazi se upravo u tome. Ono što je industrija osiguranja na vrijeme prepoznala je da pravila Uredbe postoje kao filter kroz koji treba provući sve poslovne procese, a čime u konačnici dobivamo ne opća pravila, nego pravila zaštite privatnosti specifična za pojedinu gospodarsku granu, ali usklađena s načelima i pravilima Uredbe.

A gdje su uredbe i ‘neprecizne’, na struci je zadatak da ih se primjenom u praksi – precizira.

Najveća pogreška koja je mogla biti učinjena tijekom implementacije, ali i danas je zauzimanje stava kako postoje jedinstvena rješenja u odnosu na različite gospodarske grane, kako postoje obrasci i predlošci koji jednako dobro funkcioniraju za sve. Istina je upravo suprotna, a to je da pravila privatnosti treba postaviti specifično, ali uvijek u skladu s pravilima Uredbe.

Tko donosi odluku što je prihvatljivo?

Uostalom, treba li vam AZOP reći kako ćete riješiti kolačiće na svojoj web stranici, kada ni njima nisu usklađeni po Uredbi? Iako smo svi svjesni kako je AZOP-ov zadatak biti i savjetodavno tijelo kad je u pitanju traženje prihvatljivog rješenja, tko bolje od vas zna vaše poslovanje i ciljanu publiku kojoj se vaša tvrtka obraća? Kako je već objasnio Bruno, i kaos različitih tumačenja da se riješiti temeljitim iščitavanjem Uredbe, posebno ako u tome imate i kolege koji su voljni naći prihvatljivo rješenje.

Koliko je bitno da se na ovim pitanjima radi kolektivno, govori i činjenica da Bruno zasluge za svoju titulu najviše pripisuje trudu koji je uložio u promicanje teme zaštite podataka općenito, kao i potrebi za zauzimanjem jedinstvenih stajališta u odnosu na industriju osiguranja:

Hrvatski ured za osiguranje prepoznao je ovo nastojanje te osnovao posebnu radnu grupu za implementaciju Uredbe. Industrija osiguranja prepoznala je kako promjene koje u poslovanje uvodi Uredba treba rješavati na ujednačenom nivou, suglasno, budući da otvorene teme utječu na sve sudionike tržišta. Užitak je promatrati kako svi sudionici industrije rade zajedno na pronalasku rješenja i svakako je čast voditi takvu grupu stručnjaka koja kroz dugotrajne rasprave i analize zauzima stavove kako bi se poslovanje moglo nesmetano odvijati.

Nije teško pripremati materijale, iščitavati tumačenja nadzornih tijela i smjernice kada ste okruženi takvim kolegama, napominje Bruno te objašnjava da je pronaći motivaciju bilo puno lakše, nego priznati da dan traje samo 24 sata:

Kao što sam rekao tijekom dodjele nagrade, ovo smatram uspjehom industrije osiguranja te koristim i ovu priliku da se ponovno zahvalim svima koji su aktivno sudjelovali u radnoj grupi, čiji je angažman u konačnici rezultirao odredbama o zaštiti podataka koje su postale sastavni dio Zakona o osiguranju.

Godinu dana nakon, još nam je (svima) nejasno…

Iako je GDPR stupio na snagu u svibnju 2018. svi koji s njim imaju veze svjesni su toga da je to bio tek početak ‘pravog’ usklađivanja. Kako ističe i Bruno, proteklu godinu primjene Uredbe obilježio je kontinuirani rad na unaprjeđivanju uspostavljenih Sustava zaštite podataka:

Usvojena pravila i procese kontinuirano treba preispitivati, donositi odluke i zauzimati stajališta kako bi u svakom trenutku mogli ispuniti uvjet „odgovornosti“ koji je jasno propisan. Proteklo vrijeme, a i nedavna obljetnica pokazali su kako teme privatnosti i zaštite podataka u društvu i medijima svoj vrhunac postižu upravo oko datuma te obljetnice. U tom smislu smatram najizazovnijim upravo podizanje svijesti o važnosti zaštite privatnosti te edukaciju o pravima i slobodama ispitanika jer, bez obzira na sve ostale uloge koje preuzimamo kroz poslovno djelovanje, svi smo mi upravo ispitanici – osobe o čijim se osobnim podacima radi.

No osim poziva da se naglasak uvijek stavi na zaštitu korisnika i njihovih podataka, Bruno zaključuje i kako je protekla godina pokazala koliko s poslovne strane još postoji mjesta za napredak, posebno po pitanju podjele uloga osoba koja će biti zadužene za usklađivanje s GDPR-om:

Ono što mogu istaknuti s poslovne strane kao kontinuirani izazov je identificiranje uloga obrade podataka. Pojedini subjekti koje sudjeluju u obradi podatka i dalje ne prihvaćaju činjenicu kako, u svakom procesu obrade, nisu nužno voditelji obrade osobnih podataka i kako sama činjenica da nekom subjektu prenose podatke, ne čini taj subjekt izvršiteljem obrade.

Krećemo u drugu sezonu – s fokusom na potrošače

Marketing Data GIF - Find & Share on GIPHY

Uz sve okolnosti koje su Bruni i kolegama potvrdile da je prihvatljivo rješenje moguće pronaći, GDPR ipak zahtjeva neke nužne promjene, slaže se i on. Jer, kako je već spomenuto, implementirani sustavi zaštite osobnih podatka tek su početak te kao i svaki drugi sustav, zahtijeva daljnje praćenje i poboljšavanje, objašnjava:

U tom smislu ključna je provedba revizije sustava kako bi se utvrdilo koja pravila je potrebno prilagoditi promijenjenim okolnostima poslovanja i tržišta, a koja pravila je potrebno uvesti npr. u odnosu na povećan trend digitalizacije poslovanja. Dobro osmišljeni revizijski programi, prilagođeni specifičnim okolnostima obrade, jasni u odnosu na mjere, planirane radnje, rokove i odgovornosti trebaju pružiti potporu trajnom unapređivanju sustava.

A kada je u pitanju pristup koji će se zauzeti u unaprjeđenju sustava, Bruno dodaje i da je zaštita podataka samo dio „Consumer Centricity“ regulatorne logike koja u središte stavlja zaštitu interesa potrošača i taj trend će se svakako nastaviti u budućnosti, ističe. Osim toga, dodaje kako je u skladu s tim bitno mijenjati i stavove poslovanja:

Ono što je na svakom odgovornom subjektu tržišta je da prepozna ta nova pravila ne kao ograničenje i opterećenje već kao dodanu vrijednost na uslugu koju pruža te komparativnu prednost u odnosu na druge sudionike tržišta. Nikako ne smijemo zaboraviti da su ispitanici prije i poslije stupanja na snagu Uredbe bili i ostali naši klijenti.

Sljedeći kandidati pričekat će početak 2020.

ZOP projekt, a u sklopu njega i izbor najboljeg službenika za zaštitu osobnih podataka, organizirat će se i 2020. godine. Upute za prijavu kandidata za najboljeg DPO 2020. bit će objavljene na web stranicama ZOP-a početkom iduće godine.

Premda su u Udruzi bili više nego ugodno iznenađeni kvalitetom pristiglih prijava i ove godine, bude li ih sljedeće godine još i više, imaju najbolji dokaz da je u protekloj godini napravljen pomak naprijed po pitanju svijesti poduzetnika o zaštiti osobnih podataka. Stoga im iskreno želim pregršt prijava.

ponuda

Komentari

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Novost

Ni WiFi pojačivači vam ne pomažu? MESHtar pokriva svaki kut stana ili kuće, bez po muke.

Stabilan Wi-Fi je nevjerojatno teško postići, pogotovo ako imate nezgodan tlocrt prostorija ili više kvadrata. Srećom, postoje sustavi koji te probleme mogu zaobići.

Kultura 2.0

Treba li vam teta u Pošti pretvoriti Bitcoin u kune?

Hrvatska Pošta pokrenula je projekt mjenjačnica za kriptovalute u suradnji s tvrtkom Electrocoin i time može postati jedna od najprogresivnijih tvrtki u Hrvatskoj. Pitanje je - hoće li?

Tehnologija

Više od 100 inženjera Instituta RT-RK u Osijeku razvija softver za BMW, Audi i Mercedes

Tvrtka Institut RT-RK Osijek broji više od stotinu zaposlenika, a stalno su u potrazi za novim kadrom do kojeg uspješno dolaze stipendiranjem studenata u Osijeku.

Što ste propustili

Startupi i poslovanje

Superbet akvizirao Axilis Brune Kovačića – Zagreb postaje inovacijski centar digitalnog klađenja

Bruno Kovačić za Netokraciju ekskluzivno otkriva kako je softversku agenciju koju je osnovao kao student preuzeo Superbet, a koji je nedavno osigurao 175 milijuna eura za širenje.

Startupi i poslovanje

Dati otkaz zaposleniku u mješovitoj stvarnosti dobar je PR, ali XR doista pomaže razvoju mekih vještina

Zamislite dan kad svojim zaposlenicima nećete plaćati tečajeve već će te ih poslati u susjednu sobu da prođu simulaciju - taj dan mogao bi biti veoma blizu, a evo i što od njega očekivati.

Intervju

Adriana Bandl, PMI: ‘Digitalnu transformaciju i CX treba demistificirati unutar same tvrtke’

Kako studij psihologije može pomoći u karijeri razvoja korisničkog iskustva i digitalne transformacije ispričala nam je Adriana Bandl iz tvrtke PMI.

Društvene mreže

Zašto neki i dalje dijele lančane statuse očito lažnog sadržaja na Facebooku?

Zašto su neki od nas brzoprsti, skloni dijeljenju lančanih Facebook statusa i poruka koje sadrže lažne informacije, kao što je to nedavno napravio direktor Hrvatske turističke zajednice? Iza svega stoji fenomen star koliko i čovječanstvo - iskonski strah.

Kultura 2.0

Što je za vas Instagram bez (broja) lajkova? Manji pritisak, bolji sadržaj

Instagram pomalo po svijetu povlači zavjesu svoje verzije bez lajkova, a dojmovi su i par mjeseci nakon još podijeljeni. Pa iako influenceri plaču jače – korisnici će biti oni na koje će promjena utjecati najviše.

Kultura 2.0

Jesu li video igre – u svijetu i u Hrvatskoj – umjetnost?

Ako je i limenka umjetnikovog izmeta umjetnost, zašto ne bi umjetnost bile i linije kodova uz prateću računalnu grafiku? Razmatrajući odabrane teorije umjetnosti istražujem mogu li se videoigre smatrati umjetnošću.