Organizacije često zapostavljaju upravo najvažniji GDPR zahtjev

Sve je više znakova da je GDPR promašio svoj plemenito postavljeni cilj. Pojednostavljeno rečeno, ova se regulativa sastoji od samo dva zahtjeva: zahtjev za zakonitu obradu podataka i zahtjev za njihovom zaštitom. Dok je pojam zakonite obrade vrlo detaljno razrađen u samom GDPR-u, pa čak i dodatno pojašnjen nizom smjernica WP 29, EDPB i brojnih regulatora, pojašnjenja vezana uz samu zaštitu osobnih podataka su vrlo štura i nejasna. Upravljanje rizikom zaštite osobnih podataka se štoviše, čitajući Uredbu lako može pomiješati sa DPIA i dovesti voditelje i izvršitelje obrade u dodatnu zabludu.

Prosječni hrvatski DPO ne razumije osnove zaštite podataka

Na ponavljanje loše prakse „compliance driven“ upravljanja zaštitom podataka u GDPR-u, u svom članku upozorava i Forrester. Pri tom se navode i slični propuste kod uvođenja HIPAA regulative za zaštitu osobnih podataka u zdravstvu u SAD-u i PCI DSS u kartičnoj industriji. Gartnerova, ali i sva ostala izvješća iz godine u godinu ukazuju na sve veći broj povreda osobnih podataka. Unatoč visokoj tehnološkoj ovisnosti, organizacije koje zapošljavanju vlastite stručnjake za IT sigurnost i dalje su rijetke. Imajući na umu da velika većina DPO-a nemaju odgovarajuća znanja iz područja razumijevanja IT sustava i zaštite podataka, ovaj je problem za njihove organizacije još i veći. Rezultati ispitivanja znanja potrebnih za obavljanje poslova i zadataka DPO-a koji se provode prema programu za koje je AZOP izdao pozitivno mišljenje, jasno ukazuju na rašireni nedostatak razumijevanja informacijske sigurnosti i njene uloge u zaštiti osobnih podataka. U tu svrhu je pokrenut i posebni program edukacije pod nazivom „Informacijska sigurnost za službenike za zaštitu podataka“.

Nadzorna tijela nisu spremna

Ništa bolja situacija nije ni kod većine nadzornih tijela koja se prilikom inspekcijskih nadzora više fokusiraju na formalnu ispunjenost zahtjeva nego na samu srž GDPR-a. Naravno da je lakše provjeriti je li voditelj obrade imenovao DPO-a, nego provjeriti ima li imenovani DPO odgovarajuća znanja. Naravno da je lakše provjeriti sadrži li evidencija aktivnosti obrada popunjeno polje „opis organizacijskih i tehničkih kontrola“ nego ocijeniti jesu li te kontrole primjerene i rade li uopće. Trebamo imati razumijevanja i shvatiti da je GDPR za nadzorna tijela velika promjena u načinu rada, a promjene traju. Želimo li stvarno podići razinu zaštite osobnih podataka, AZOP će se morati transformirati u snažan centar kompetencija za zaštitu osobnih podataka. To podrazumijeva izgradnju multidisciplinarnog tima sačinjenog od stručnjaka za kibernetičku sigurnost, upravljanje rizicima, forenziku i pravo. Članak o Uberu  pokazuje da je upravo to put kojim nadzorna tijela moraju krenuti.

Osobne podatke ne treba razdvajati od drugih važnih podataka

Masovno uvođenje naprednih obrada osobnih podataka, IoT uređaja, mobitela i cijelog niza tehnoloških rješenja koja nam život čine ugodnijim dolazi s ozbiljnim rizikom. Svakim danom naši životi sve više ovise o računalima, računala sve više znaju o nama i sve je više podataka koji se mogu zloupotrijebiti. Ne samo osobnih podataka, već i niza podataka o radu ključnih sustava za održavanje ljudskog života kakav danas poznajemo. Struja, voda, novac, avio prijevoz, hrana, cestovni promet, …  sve to ovisi o informacijskim sustavima. Zaštita ovih sustava i podataka u njima mnogo je više od pukog vođenja evidencija privola.
Da, obrade osobnih podataka moraju biti u skladu sa pravnom osnovom. Da, mnogi će morati imenovati DPO-a i ispuniti cijeli niz formalnih pravnih zahtjeva iz Uredbe, no to nam neće pomoći kada dođe do ozbiljnog incidenta.

Ako slova “DP” u GDPR ne shvatimo ozbiljno, naš će način života ovisiti samo o – sreći.