10 mitova o GDPR-u koje treba raskrinkati

Nedostatna priprema za GDPR može rezultirati značajnim, skupim i vrlo nepoželjnim posljedicama

4775
Implementacija GDPR-a

Opća uredba o zaštiti osobnih podataka stupa na snagu 25. svibnja 2018. godine u svim državama članicama Europske unije. Riječ je o uredbi kojom Europska komisija želi ojačati i ujednačiti zaštitu osobnih podataka kojima upravljaju organizacije unutar EU te osobnih podataka stanovnika Unije kojima upravljaju organizacije sa sjedištem izvan EU-a.

Svaka organizacija koja posluje u Europskoj uniji morat će uskladiti poslovanje sa standardima GDPR-a. Mnoge tvrtke, posebice u EU, već su mnogo učinile kako bi se uskladile. Druge tek počinju razmatrati posljedice GDPR-a i suočene su sa sve kraćim rokom u kojem bi trebale uskladiti svoje poslovanje s Uredbom.

GDPR Radionice: Što i kako? – ožujak, travanj, svibanj 2018. – Prijavi se i ostvari 5% popusta na cijenu radionice

O GDPR-u se mnogo govori i piše, često i pogrešno, upozoravaju iz Agencije za zaštitu osobnih podataka koja će u Hrvatskoj nadgledati provedbu Uredbe. Treba čitati Uredbu (preporuka je čitati izvorni tekst na engleskom) i tumačenja regulatora. Poželjno je i obratiti se regulatoru ako ima nejasnoća.

Ovom prilikom osvrnut ćemo se na nekoliko mitova o GDPR-u koji odvode korisnike na pogrešan put. Za magazin CIO analizirali su ih Duncan Brown I Pete Lindstrom.

1. GDPR je poput Y2K

Neke tvrtke suočavaju se s GDPR-om istom histerijom kakva je prevladavala u doba milenijskog buga Y2K, pristupajući GDPR-u kao projektu s definiranim datumom završetka. No, GDPR nije aktivnost ograničena rokom, već kontinuirani proces koji treba uvesti u poslovanje. Mnoge tvrtke također vjeruju da su pojave poput Y2K-a i GDPR-a prenapuhane. Ali usklađenost s GDPR bi trebala biti obvezatna pozicija za legitimne tvrtke.

>>Što biste trebali znati o novoj Uredbi o zaštiti osobnih podataka

2. Nitko neće biti novčano kažnjen

Opća uredba o zaštiti osobnih podataka propisuje visoke kazne za kršenje propisa, do 4 posto ukupnog godišnjeg prometa poslovnog subjekta ili 20 milijuna eura. Mnogi smatraju da se rizici zbog tako visokih kazni preuveličavaju. No, ciljana provedba je moguća i vjerojatna. Regulatori bi se mogli usmjeriti na istaknute kompanije ili kompanije s izraženim greškama u procesuiranju podataka. Pretpostavka da nitko neće biti novčano kažnjen je visokorizična.

3. Svi će biti kažnjeni s 4 posto ukupnog godišnjeg prometa

Novčana kazna ovisit će o raznim faktorima: vrsti podataka koji su pogođeni, razini nepažnje, prethodnim propustima tvrtke… Kazne od dva ili četiri posto ukupnog godišnjeg prihoda izricat će se ovisno o tome kakve su greške počinjene.

4. Neusklađenost je jednaka sigurnosnom propustu

Važno je uskladiti poslovanje sa svim temeljnim principima obrade osobnih podataka navedenima u Općoj uredbi. Regulator će vjerojatno nastojati poslati poruku izricanjem visokih novčanih kazni tvrtkama koje krše osnovna načela Uredbe – pogotovo ako to rade namjerno – čak i ako nije riječ o povredi sigurnosti, tako da se može očekivati izricanje kazni za neusklađenost.

5. Za povrede sigurnosti, novčana kazna je samo 2 posto

Voditelji zbirke podataka, tvrtke koje određuju svrhu i sredstva obrade osobnih podataka, mogu dobiti više kazne zbog povrede sigurnosti, a tvrtke koje obrađuju osobne podatke mogu biti optužene za sigurnosne propuste, ali kazne mogu biti manje. Rizici bi mogli biti veći ako nevladine organizacije podignu tužbu u ime velikog broja pogođenih klijenata.

6. Sve sigurnosne povrede moraju se prijaviti u roku od 72 sata

Morat će se prijaviti samo incidenti kod kojih su povrijeđeni osobni podaci. Obveza izvješćivanja ovisit će o tome ima li tvrtka ulogu “kontrolera” ili “procesora”. Trebaju li “kontroleri” izvijestiti o incidentu i u kojem roku, ovisit će o riziku. “Procesor” pak mora obavijestiti “kontrolera” o povredi osobnih podataka bez odlaganja.

>>Kakve poslovne prilike pruža Uredba o zaštiti osobnih podataka?

7. Bolje je ne prijaviti sigurnosni incident

Neki su uvjereni da će izbjeći novčanu kaznu ako prikriju sigurnosne incidente i ne prijave ih regulatoru. No, incident će vrlo vjerojatno biti otkriven, a tvrtka će biti dodatno kažnjena zbog zataškavanja.

8. Sve podatke treba kriptirati

GDPR zahtijeva da tvrtke provode mjere kako bi osigurale razinu sigurnosti koja odgovara vjerojatnosti i ozbiljnosti rizika u određenoj situaciji, uključujući pohranu i prijenos. Sigurnosne mjere trebaju biti temeljene na potencijalnom riziku, ovisno o dostupnoj tehnologiji i troškovima. Trebaju li podaci biti kriptirani ili ne, ovisi o procjeni rizika.

9. Briga o podacima može se prepustiti trećoj strani

Može, pri tome je ključno osigurati da ugovori pokrivaju moguće rizike. Procesori će morati provjeravati I klijente i supotpisnike ugovora. Trebat će utvrditi ne samo potencijalne informacijske sigurnosne rizike, nego i rizike s aspekta odgovornosti, iako to možda neće podlijegati regulatornim kaznama.

10. Lokacija podataka nije sigurnosni problem

Iako mjesto na kojem su pohranjeni podaci možda nije sigurnosni problem, postoji faktor koji bi mogao biti važan za cjelokupnu sigurnost. Neke tvrtke smatraju da ispravno šifrirani podaci mogu biti sigurnije pohranjeni izvan EU, ako samo one imaju ključeve potrebne za pristup. Međutim, geografska lokacija osobnih podataka strogo je regulirana zakonom o zaštiti osobnih podataka, a mnogi regulatori unutar Unije smatraju da je mjesto pohrane podataka sigurnosno pitanje.

Zaključak

Implementacija GDPR-a je složen pothvat koji zahtijeva pristup “korak-po-korak” utemeljen na zajedničkoj viziji IT odjela, pravnog odjela, vlasnika i izvršnog menadžmenta. Nedostatna priprema za GDPR može rezultirati značajnim, skupim i vrlo nepoželjnim posljedicama.

Želite li doznati više o GDPR-u, na koga se sve odnosi Uredba o zaštiti osobnih podataka i kako prilagoditi svoje poslovanje nakon stupanja Uredbe na snagu – provjerite termine radionica koje organizira tvrtka Pragmatekh uz medijsko partnerstvo portala točkanai.hr i ostvarite popust od 5% na cijenu radionica – GDPR radionice 

RADIONICA: GDPR – ŠTO I KAKO?
Cijena: 700,00 Kn + pdv po polazniku.
Termini u ožujku 2018: 29.03.
Termini u travnju 2018: 5.04., 12.04., 19.04. i 26.04.

DPO TRENING – 5-dnevna edukacija za službenike za zaštitu podataka
Cijena: 8.800,00 Kn + pdv po polazniku.
Termini u travnju 2018: 9. – 13.04. ili 9. – 10.04. i 18.- 20.04.

GDPR INTENZIV – 4-dnevna edukacija za voditelje projekata usklađenja poslovanja s EU Uredbom o zaštiti podataka
Cijena: 7800,00 Kn + pdv po polazniku.
Termini u travnju 2018: 9. – 12.04. ili 9. – 10.04. i 18.- 19.04.

Organizator:  Pragmatekh Zagreb, dvorana 2. kat, Kušlanova 2.

Korisnici portala i newslettera točkanai.hr ostvaruju popust od 5% na cijene svih radionica.

Prijava na GDPR Radionice: ispunite i pošaljite obrazac. U polje Prijava dodati datum kada želite pohađati radionicu. Nakon prijave poslat ćemo vam ptvrdu termina radionice i ponudu ili račun za plaćanje.

    Ime *

    Prezime *

    Email *

    Telefon

    Tvrtka *

    Prijava *

    Vaša poruka *

    Upotrebom ovog obrasca prihvaćate pohranu i rukovanje vašim podacima na ovoj web stranici.

    Više o Radionicama:

    september

    No Events

    october

    No Events