U trenutku dok čitate ovaj tekst, Zakon o provedbi opće uredbe o zaštiti podataka prihvaćen je u Vladi RH, Sabor ga je usvojio i Zakon je na snazi.
Međutim, nije prvi puta da se čeka zadnji trenutak, kako od strane donositelja propisa tako i od strane obveznika primjene propisa i naravno, svatko ima svoje argumente zašto nije mogao napraviti više i prije. I često u tim argumentima koji stižu sa sviju strana ima puno istine. Odgovornost se prebacuje na neku drugu stranu, na neke okolnosti na koje nitko nije mogao utjecati. Država nije uspjela pripremiti legislativu jer su se mijenjale vlade, jer se mijenjala radna grupa za izradu prijedloga zakona, nadzorno tijelo je čekalo smjernice i stavove Europske unije i nadležno ministarstvo. Nitko nije imao dovoljno resursa, niti osoba koje bi se posvetile pripremi. Obveznici primjene Opće uredbe su ljuti na sve jer nemaju dovoljno informacija, jer im je Opća uredba nerazumljiva i ne znaju kako je primijeniti, jer su edukacije općenite, jer im je to još jedna nametnuta obveza, a i bez toga pucaju po šavovima. No, kao i inače, istina je "negdje u sredini"; i svi su pomalo u pravu, i svi nose svoj dio odgovornosti.
Izvucimo najbolje za sve
Ali, namjera je ovog osvrta izraziti stav o tome što bismo mogli učiniti da iz ove situacije izvučemo najbolje i što je dobro i važno što nam Opća uredba donosi i kao pojedincima, poduzetnicima ili kao zaposlenicima i kako to postići, a da na tom putu ne zalutamo te kako se posvetiti najvažnijim aktivnostima.
Velika pažnja javnosti
Malo je koja tema o sigurnosti u posljednje vrijeme okupirala toliko prostora kao Opća uredba o zaštiti podataka. Bombastični naslovi o visokim kaznama koje mogu doseći i do 20 milijuna eura, odnosno četiri posto ukupnog godišnjeg prometa poduzetnika na svjetskoj razini, a što očekuje one koji se ne budu pridržavali zahtjeva Opće uredbe privukli su pažnju širokog kruga zainteresiranih. Ipak, je li ta svojevrsna javna rasprava vođena putem medija, stručnih skupova, predavanja i pisanih materijala, iskristalizirala stavove što je zaista novo, što je smisao Opće uredbe i kako je primijeniti na način da doprinese kvaliteti svake organizacije? Bojim se da nije.
Koji su uzroci nespremnosti?
Iako je prošlo dvije godine od kada je otpočelo razdoblje prilagodbe i implementacije, velik dio organizacija još je uvijek temeljito nespreman. Postavlja se pitanje koji su uzroci tome. Svakako jedan od glavnih je činjenica da dio organizacija svoje poslovanje nije prilagodio ni trenutno važećoj Direktivi 95/46, i Zakonu o zaštiti osobnih podataka, osim možda formalnom odlukom o imenovanju Službenika za zaštitu podataka. Ove će organizacije morati napraviti zahtjevan skok od dvije generacije legislative.
To je posebno osjetljivo kod organizacija koje možda nisu velike, ali zbog prirode poslovanja obrađuju veliki opseg osobnih podataka. Lako je zamisliti organizacije koje pružaju tehnološki napredne usluge informacijskog društva, prikupljaju i obrađuju ogromne količine osobnih podataka kao voditelji ili još češće izvršitelji obrade, a imaju ograničene ljudske resurse koji bi se posvetili implementaciji ili pak nisu ni razvili svijest o važnosti pravovremene prilagodbe. Nije teško zamisliti niti velike organizacije, koje, iako imaju ljudskih i ostalih resursa imaju vrlo složene i isprepletene poslovne procese unutar i izvan organizacije, kod kojih samo definiranje svih sustava pohrane osobnih podataka predstavlja izazov, a mapiranje osobnih podataka unutar i izvan organizacije traži upotrebu programske podrške. Usto, često se radi o vrlo tromim sustavima koje je teško pokrenuti.
Veliki razlog nespremnosti svakako je i nedovoljna pažnja koja se posvećuje sigurnosti, a napose informacijskoj sigurnosti u širem smislu. Osobni podatak je samo jedna od informacija, povjerljiva informacija, koja je predmet zaštite u smislu informacijske sigurnosti. Organizacije koje su zaista implementirale sustav upravljanja informacijskom sigurnošću u vlastite procese, neovisno po kojem standardu ili vlastitoj metodologiji, imaju puno lakši zadatak prilagodbe zahtjevima Opće uredbe o zaštiti podataka. Većina organizacijsko-tehničkih mjera zaštite čiju provedbu od strane voditelja obrade i izvršitelja obrade propisuje Uredba te su organizacije već implementirale. Također, kroz zahtjeve za upravljanjem uslugama treće strane, te su organizacije već u najvećem dijelu regulirale odnose sa svojim izvršiteljima obrade i podizvršiteljima u smislu očuvanja povjerljivosti, integriteta dostupnosti podataka, izvještavanja, što uključuje i osobne podatke.
Problem razumijevanja
Radi se o generičkom dokumentu i to je ono što obveznike primjene često iritira. Čujemo mišljenja, pa to je tako općenito, kako ću ja to primijeniti u svojem poduzeću? I stvarno je tako, dokument je pisan na način da se u njemu nađu svi obveznici, od najmanjih, što uključuje fizičke osobe koje obavljaju neku gospodarsku djelatnost, do korporacija i multinacionalnih kompanija. Svi su unutra i nitko nije zadovoljan. Ali možemo postaviti stvari i na drugačiji način. Piše li u zakonu o računovodstvu sve? Je li moguće pročitati zakon i ustrojiti računovodstvo koje zadovoljava sve zahtjeve? A ovo se odnosi na bilo koje regulirano područje. Teško. Dakle nedostaju podzakonski akti, smjernice, mišljenja, praksa, kompetentni stručnjaci, savjetnici, edukatori, konzultanti i svi ostali koji mogu pomoći.
Jedan od mogućih putova
Kako iz ove situacije, kako dalje? I oni s puno znanja i iskustava su često zbunjeni, ali na ovom mjestu želim ukazati na ono što držim važnim. Važno je prepoznati što su osnovni ciljevi Opće uredbe o zaštiti podataka, važno je znati i razumjeti načela na kojima se ona zasniva i temeljem toga prepoznati što nam je u implementaciji prvo za činiti. Ako implementaciju zahtjeva Opće uredbe usporedimo s konstrukcijom automobila, tada to znači da prvo treba izgraditi podvozje, motor, i upravljački mehanizam. Karoserija, sjedala, klima uređaj, i držač za šalicu nisu osnovni dijelovi automobila. Njih ćemo dizajnirati i dodati na osnovu koju smo izgradili.
Dakle, kad krećemo u implementaciju Opće uredbe o zaštite podataka treba prepoznati vanjski i unutarnji kontekst u kojem organizacija posluje s obzirom na osobne podatke. Ili ako se vratimo na automobile, po kakvom mi to terenu vozimo, kakvi su uvjeti na cesti, ima li ceste, koga vozimo, koliko putnika, jesu li odrasli, djeca, bolesni, ranjeni….
Kad se tako pozicioniramo, mišljenja sam da je optimalno primijeniti procesni pristup i čitav postupak implementacije bazirati na njemu. Upravljanje sigurnošću osobnih podataka je, držim, samo jedan od aspekata sustava upravljanja rizicima u organizaciji i treba ga implementirati u sve procese. To nikako na smije biti neki paralelni sustav koji je sam sebi svrha jer neće funkcionirati osim kao kulisa, koja neće biti organski dio sustava. Neće funkcionirati ni prilikom nadzora od strane nadležnog nadzornog tijela jer neće biti živ i funkcionalan. Stoga treba ući u procese, mapirati osobne podatke i na tom temelju započeti implementaciju. Prepoznavanje sustava pohrane, ili kako su se oni do sada imenovali, zbirki osobnih podataka, bit će jedan od rezultata analize procesa.
Koraci koji slijede su prepoznavanje uloge u kojoj se konkretna organizacija nalazi s obzirom na sustave pohrane odnosno je li riječ o voditelju ili izvršitelju obrade, što katkad baš i nije lako, te formiranje evidencija aktivnosti obrade za voditelja i izvršitelja obrade prema zahtjevima Opće uredbe o zaštiti podataka. Ako primijenimo već spomenuti procesni pristup, tada s ovim koracima ne bi trebalo biti većih problema jer on omogućava sustavno prepoznavanje svih informacija koje ove evidencije prema zahtjevima Opće uredbe o zaštiti podataka trebaju sadržavati.
Paralelno s implementacijom evidencija aktivnosti obrade potrebno je definirati set dokumentacije kojim se zahtjevi Opće uredbe spuštaju na razinu organizacije. Kao što temeljem zakona o radu, organizacije donose svoje pravilnike o radu i druge akte, odluke, upute, obrasce… tako i Opću uredbu treba transponirati u organizaciju donošenjem seta dokumentacije koji se na osnovnoj, najvišoj razini može definirati politikama koje govore što želimo postići, procedurama koje govore kako ćemo to postići i tko je za što odgovoran, i na najnižoj razini obrascima, registrima, dokumentima i sl. U Općoj uredbi o zaštiti podataka nigdje ne piše da je potreban ovakav set dokumentacije, ali piše da voditelj obrade i izvršitelj obrade moraju biti u mogućnosti dokazati sukladnost sa zahtjevima, piše da se trebaju znati nadležnosti, uloge i odgovornosti. Što to znači nego na neki način opisati i propisati sustav upravljanja sigurnošću osobnih podataka i osigurati dokumentirane informacije o aktivnostima.
Kad znamo kojim sustavima pohrane raspolažemo, koje i čije osobne podatke imamo, od koga smo ih dobili, kome ih dajemo na uvid, gdje se sve nalaze, kako i gdje se čuvaju, jesmo li voditelj ili izvršitelj obrade što i kako moramo postići u smislu ostvarivanja prava ispitanika i osobnih podatka, te kako i tko će što raditi i najvažnije kroz koje poslovne procese se obrade osobnih podataka provlače, potrebno je implementirati primjerene organizacijsko-tehničke mjere koje će osigurati odgovarajuću razinu sigurnosti obrade osobnih podataka te sposobnost osiguravanja kontinuirane povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade. To bi u organizacijama koje nemaju implementirane sustave upravljanja informacijskom sigurnošću moglo biti dosta zahtjevno, ali i u ovom slučaju prvo se implementiraju osnovne mjere i kontrole.
Naravno da definiranje i implementacija cjelovitog sustava upravljanja sigurnošću osobnih podataka nije jednako zahtjevna u svim organizacijama jer su vrlo različite njihove pozicije u odnosu na osobne podatke kojima raspolažu i obrade koje vrše, ali je najvažnije početi s osnovnim, pa postepeno graditi sustav. U međuvremenu će i praksa iskristalizirati optimalne pristupe za pojedine specifične i složenije sustave kod kojih za sada postoje određene dileme u pogledu definiranja i implementacije.
Na čemu se prolazi ili pada
Iako ne zvuči novo i originalno svakako želim naglasiti da implementacija zahtjeva Opće uredbe o zaštiti podataka u organizacijama prolazi ili pada na tri stupa. Prvi je svijest, podrška i posvećenost uprave i najvišeg menadžmenta ovom cilju; drugi je osiguranje kompetentnih kadrova koji će se posvetiti oblikovanju, implementaciji, održavanju i sustavnom unaprjeđenju sustava upravljanja sigurnošću osobnih podataka; treći je sustavna edukacija svih zaposlenika u organizaciji i partnera o važnosti očuvanja sigurnosti osobnih podataka.
I nemojmo biti licemjerni, nije to samo još jedna nepotrebna obveza koja nam je nametnuta u našim organizacijama, jer kad se nađemo s druge strane, kad su naši osobni podaci u pitanju, kad netko zloupotrijebi naše osobne podatke, tada smo jako ljuti, tada zazivamo kazne, tada osuđujemo one koji naše osobne podatke nisu zaštitili na pravi način.
Zaključak ovog sasvim osobnog razmišljanja bi bio u stilu one znane izreke: "Ako ti život da limun, napravi limunadu". Iskoristimo ono najbolje što nam Opća uredba o zaštiti podatka propisuje, poboljšajmo svoje procese, učinimo naše organizacije sigurnijim i boljim i nadajmo se da će i drugi koji obrađuju naše osobne podatke učiniti isto!