"Kot posamezniki bomo postali boljši varnostniki naših podatkov, podjetja pa si bodo morala pridobiti zaupanje, da ne razmetavajo z osebnimi podatki," je bilo eno izmed glavnih sporočil AmCham Fokusa "Jutri čez eno leto. Splošna uredba o varstvu podatkov bo postala realnost". Ker bo čez leto in dan, torej 25. maja 2018, v veljavo stopila evropska uredba o varstvu podatkov (GDPR), ki prinaša enotno in posodobljeno zakonodajo o varstvu podatkov in bo veljala za vse članice Evropske unije, smo se na AmCham Fokusu vprašali, kako je z uvajanjem uredbe v praksi, kako bo sprejem uredbe vplival na poslovanje ter kako zagotoviti vse, kar uredba zapoveduje, in še vedno ostati konkurenčen.
Nova uredba govori o ščitenju osebnih podatkov posameznikov, ne glede na to, ali govorimo o organizacijah ali posameznikih. Kot je v uvodu povedal Marko Kavčič, vodja aktivnosti za skladnost z licenčnimi pravili v Microsoftu Slovenija, bo posameznik dobil več pravic, saj si želimo, da podjetja brez naše privolitve ne vedo vsega, podjetja pa se bodo morala temu prilagoditi in spremeniti poslovne procese. Uredba je tako pomembna, ker prinaša izjemno visoke kazni, do 20 milijonov EUR ali štiri odstotke letnega prihodka podjetja na svetovni ravni.
Poleg višjih glob za kršitve bodo med najpomembnejšimi spremembami še ta, da bo uredba prinesla poenotenje glede varovanja osebnih podatkov v evropskem okolju, veljala bo za vsa podjetja po vsem svetu, ki obdelujejo osebne podatke državljanov Evropske unije, strožji bodo pogoji za obdelavo osebnih podatkov, organizacije bodo morale imenovati pooblaščeno osebo za varstvo podatkov, obvezno bo poročanje o vdorih v baze, uveljavila se bo pravica do pozabe, privolitev k uporabi osebnih podatkov pa bo morala biti jasna in nedvoumna. Novost je tudi prenosljivost podatkov, saj bo posameznik lahko prevzel podatke in jih prenesel h konkurenčnemu ponudniku.
Najti bo treba načine, kako zagotoviti skladnost z uredbo, in si pridobiti zaupanje
Roland Marko, partner v odvetniški pisarni Wolf Theiss, je v prvem delu okrogle mize povedal, da je zavedanje podjetij, kaj uredba je in kaj prinaša, precej veliko. Ljudje se zanimajo za novosti, ki jih uredba prinaša, predvsem zato, ker bodo posledice, če ne bodo skladni z uredbo, velike. Se pa bo uvedba uredbe razlikovala za velika in manjša podjetja. Velika podjetja namreč v veliki večini že imajo ljudi, ki skrbijo za skladnost, večji izziv bo to za srednja in manjša podjetja, ki bodo morala najti način, kako vpeljati mehanizme, ki bodo zagotavljali skladnost z uredbo. "To je nekaj, kar mora priti v DNK podjetij," je poudaril Marko in dodal še, da nova uredba ureja področje posameznikovih podatkov in da bo tukaj največji izziv za podjetja pridobiti si zaupanje uporabnikov, saj bodo potem ljudje tudi lažje zaupali svoje podatke.
Robert Trnovec, generalni direktor Microsofta Slovenija, je povedal, da se v Sloveniji zavedamo, kaj prinaša nova uredba in da se podjetja pripravljajo na to. V času hitrega razvoja tehnologije pa je temelj vsega vzpostavitev zaupanja med stranko in ponudnikom. "Kot posamezniki bomo postali boljši varnostniki naših podatkov, podjetja pa si bodo morala pridobiti zaupanje, da ne razmetavajo z osebimi podatki. Ko bo to zaupanje vzpostavljeno, bo tudi podjetjem lažje," je povedal Trnovec in dodal, da bo v tem pogledu uredba podjetjem pomagala, da se bodo razvijala naprej. Dodal je še, da za Microsoft uredba ne pomeni bistvene novosti ali spremembe. "Naši produkti že upoštevajo številne uredbe, ta bo le še ena v vrsti, le da je bolj kompleksna," je dejal in dodal, da je potrebno imeti predvsem nadzor nad podatki. Povedal je še, da bo uredba ena podjetja prizadela bolj in druga manj. Predvsem podjetja, ki se ukvarjajo s prodajo in kupovanjem podatkov, se bodo morala bolj prilagoditi, je pa dejstvo, da se z uredbo vzpostavlja globalni standard varovanja podatkov.
Za podjetja je pomembno, da si zgradijo okvir za zagotavljanje varnosti osebnih podatkov. Kot je povedal Oliver Currie, vodja forenzičnih storitev pri PwC, bodo morala podjetja sprejeti holistični pristop in oceniti, kakšne podatke hranijo in kakšno tveganje nosijo s tem. Z osebnimi podatki bo potrebno ravnati proaktivno in zagotoviti, da bo njihovo varovanje skladno z vsemi pravili, tukaj bodo podjetja potrebovala praktične smernice. Upoštevati bo potrebno tudi stroške, ki bodo nastali z uvajanjem nove uredbe. Nekatera podjetja bodo morala po Currijevih besedah popolnoma pregledati ves sistem poslovanja in ugotoviti, kakšen vpliv bo imela uredba na poslovanje. V nekaterih primerih bo tako uredba močno povečala stroške za podjetja, velike spremembe bo prinesla predvsem vladam in bankam.
"Upoštevanje uredbe bo pomenilo ključno prednost na trgu"
V drugem delu okrogle mize je tudi Andrej Tomšič, namestnik informacijske pooblaščenke Republike Slovenije povedal, da sta pri implementaciji uredbe pomembna predvsem zaupanje, ki ga morajo zgraditi podjetja do posameznikov, in izbira. "Vsi smo posamezniki, vsi zbirajo podatke o nas. Ključna sta torej zaupanje in izbira, podjetja, ki bodo znala to narediti, pa bodo prosperirala," je povedal. Dodal je še, da je osnovni namen uredbe ta, da vrnejo uporabnikom nazaj njihove osebne podatke. "Upoštevanje uredbe bo za podjetja pomenilo konkurenčno prednost na trgu, podjetja bodo skrbela za to, da si ne bodo delala slabe reklame," je še povedal in dodal, da je ključna prepoznava vrednosti podatkov. "Ne čakati, da se ti nekaj zgodi, ampak stori nekaj, da se to ne zgodi," je dejal Tomšič.
Nataša Pirc Musar, partnerica, direktorica in odvetnica v Pirc Musar odvetniški družbi, je dejala, da uredba niti ne prinaša tako veliko novosti, je pa naredila korak naprej pri informirani privolitvi, saj mora biti privolitev posameznika k uporabi njegovih osebnih podatkov nedvoumna, posameznik mora aktivno soglašati, mora vedeti, kakšne podatke daje in v kaj je privolil, jezik pa mora biti razumljiv. Povedala je, da je bilo na tekst uredbe podanih več kot 7.000 amandmajev, saj so osebni podatki dobičkonosni že od nekdaj, da pa se je ozaveščanje posameznika glede vrednosti osebnih podatkov v EU premaknilo za svetlobna leta. Kot pomembno je izpostavila tudi dejstvo, da je uredba tehnološko nevtralna. "Ko je nastala prva direktiva na tem področju, internet sploh še ni bil v splošni uporabi. To pomeni, da bo nova uredba zdržala na dolgi rok, saj je tehnološko nevtralna in se ne rabi prilagajati novim tehnološkim spremembam," je povedala.
Tudi Matjaž Štiglic, direktor informacijskih tehnologij v podjetju KPMG je povedal, da za podjetja, ki so že zdaj delovala v skladu z zakonodajo, nova uredba ne bo prinesla večjih sprememb. Kot enega izmed pomembnih izzivov pa je izpostavil možnost, da podjetja za delo najamejo drugo podjetje, kar prinaša nove izzive. "Veliko je podpogodbenikov, ki obdelujejo drugačne podatke. Zato smo vzpostavili celoten sistem določanja tega, kdo je podpogodbenik in kaj storiti, če pride do nestrinjanja med njimi," je še povedal Štiglic in podjetja opozoril, da če se še niso začela ukvarjati z novo uredbo, je zdaj skrajni čas, da to začnejo.
Samo v Evropi po nekaterih ocenah 28.000 DPO-jev
Prinaša pa uredba tudi uvedbo mesta pooblaščene osebe za varstvo podatkov (t.i. Data Protection Officer). V skladu z nekaterimi predvidevanji bo samo v Evropi takih oseb 28.000. Kot je povedala Nataša Pirc Musar, je pomembno, da bo ta oseba imela avtoriteto in da bo neodvisna, saj bo odgovarjala za celotno področje varstva osebnih podatkov. Dodala je še, da uredba ne dela razlik med malimi in velikimi podjetji ter da bodo morala vsa podjetja, ki operirajo z občutljivimi podatki, imeti DPO-je. Matjaž Štiglic je ob tem dodal, da podjetja v veliki večini že imajo pooblaščenca osebnih podatkov, nekoga, ki skrbi za skladnost z zakonodajo, zdaj bodo ti ljudje najverjetneje postali pooblaščenci za varstvo podatkov. "Ves čas moramo vedeti, kako se obdeluje podatke, kdo jih obdeluje in kako se obdelujejo, zato se je dobro zavarovati z nekom, ki to res zna," pa je povedal Tomšič.
Glede nadzora podjetij je Tomšič povedal, da popolnega nadzora nikjer ni in ga tudi ne bo, da pa se ne splača kršiti zakonodaje, saj so predpisane kazni zelo visoke. Nadzorni organi so v vsaki državi Evropske unije, EU pa pritiska za enotno delovanje nadzornih organov, zato se krepi sodelovanje med državami članicami. Dodal je še, da uredba enoti evropski prostor, a da bodo razlike vedno obstajale, saj pravila nikoli ne bodo povsem enaka v vseh državah članicah.
Primeri iz prakse
Da se na uredbo aktivno pripravljajo tudi slovenska podjetja in s kakšnimi izzivi se ob tem soočajo, so nam s primeri iz prakse prikazali Maja Golovrški, direktorica službe za skladnost poslovanja v Zavarovalnici Triglav, Peter Govekar, projektni vodja GDPR projekta v A1 Slovenija, Jasna Kajtazovič, direktorica službe za razvoj in marketing v Abanki in Nenad Mrdaković, vodja službe za skladnost poslovanja v Petrolu.
Partnerja:
Medijski partner: