O-STA

Spremembe, ki jih prinaša nova uredba o varstvu podatkov

"Znanje je moč" je že dolgo znan rek, ki pa je danes še posebej resničen. Znanje, ki ga imajo podjetja, je ključno za njihov uspeh, za to, da se s pametnejšo analizo podatkov še bolj približajo kupcem, izboljšajo svoje poslovne procese in celotno poslovanje podjetja. Podatki so postali pomemben kapital podjetij. Tista, ki se zavedajo dragocenosti podatkov, in ki iz zbranih oz. ustvarjenih podatkov znajo ustvarjati dodano vrednost, so v veliki konkurenčni prednosti. Vendar pa morajo biti vseskozi zelo pozorna na varovanje podatkov, s katerimi upravljajo, in na skladnost s postavljeno zakonodajo.

S tem ko se je povečala vrednost podatkov, pa se je povečal tudi nadzor nad njihovim zbiranjem, shranjevanjem in uporabo ter nad tem, kdo, kdaj in kje ima do njih dostop. Mediji po svetu pogosto poročajo o kršitvah varovanja osebnih podatkov v vseh industrijah, zato so se začele pojavljati dodatne spodbude podjetjem, da poskrbijo za varnost svojih podatkov. Za to morajo poskrbeti že skozi kulturo podjetja, poslovne procese in usposabljanje zaposlenih o zavedanju in spoštovanju vrednosti njihovih podatkov.

Nova pravila glede varstva osebnih podatkov

Postaviti pravo raven varovanja podatkov pa ni zgolj domena podjetij, ampak ima tukaj glavno vlogo država, ki vse bolj postavlja in uveljavlja tovrstne standarde. Maja 2018 bo v veljavo prišla Splošna uredba EU o varstvu podatkov (SUVP ali angleško General Data Protection Regulation - GDPR), ki določa nova, poostrena pravila glede varstva osebnih podatkov. Določa pa tudi kriterije, po katerih bodo morala podjetja sama oceniti, ali bodo potrebovala tudi pooblaščeno osebo za varstvo osebnih podatkov, ki bo odgovorna za pravilno upravljanje s podatki. Predlog zakona v Sloveniji je šele v branju, parlament pa naj bi zakon sprejel marca 2018. Po pogovoru z direktorjem slovenske družbe Oracle Software, Rajkom Novakom, ugotavljamo, da podjetja večinoma še nimajo sistemskih rešitev, ki jih uredba zahteva. To pomeni, da bodo imela pred veljavo zakona samo 2 meseca časa, da poslovno in tehnično vpeljejo vse spremembe, kar je glede na zajetnost sprememb zelo malo. Podjetja, ki ne bodo upoštevala uredbe GDPR, bodo kaznovana z denarno kaznijo, ki bo znašala do 4 % njihovega letnega prometa.

Katere podatke ščiti nova uredba?

Kot razlagajo v Oraclu, je SUVP primarno namenjena zaščiti osebnih podatkov fizičnih oseb, podjetjem pa s tem prinaša več dela in stroškov s spremembo IT sistemov. Opažajo pa, da nekatera podjetja SUVP pragmatično izkoriščajo za centralizacijo in konsolidacijo podatkov. To se kot stranski učinek izraža v manjšem silosu podatkov in bolj jasni sliki o toku podatkov v lastni organizaciji, kar kasneje prinaša pozitivne učinke celotni organizaciji. Podjetja bodo morala za varovanje osebnih podatkov tako v veliki meri poskrbeti na tehnični ravni, nam je pojasnil Robert Korošec iz Oracla.

Kako se torej podjetja lotevajo te naloge? V procesu prilagajanja novi uredbi so pomembne tri faze: ocena stanja, preprečevanje in sledljivost.

- Ocena stanja: Ocena stanja je ključna, saj morajo imeti podjetja jasno sliko celotnega poslovanja in upravljanja s podatki na vseh ravneh podjetja, da lahko ocenijo, kje se pojavljajo težave in jih tudi odpravijo.

- Preprečevanje: Ko imajo podjetja pregled nad tem, kje se nahajajo njihovi podatki in kako se uporabljajo, morajo imeti možnost določiti in uveljaviti pravila, ki preprečujejo nepooblaščena dejanja. To vključuje zaščito pred grožnjami znotraj in zunaj organizacije, ki so lahko naključne ali zlonamerne. Nato morajo sprejeti ukrepe za zaščito občutljivih podatkov, do katerih lahko imajo dostop samo pooblaščene osebe znotraj podjetja. Takšni ukrepi so med drugim šifriranje podatkov, tokenizacija, maskiranje podatkov, anonimizacija podatkov in poostren nadzor dostopa do podatkov. V kolikor podjetja upravljajo z različnimi vrstami podatkov, morajo pogledati tudi kateri ukrep je najbolj primeren za katero vrsto podatkov. Anonimizacija podatkov o strankah na primer zelo malo vpliva na uporabnost tovrstnih podatkov pri analizi prodajnih trendov, po drugi strani pa drastično zmanjšuje njihovo občutljivost.

- Sledljivost in odkrivanje: Podjetja morajo vzpostaviti sisteme, ki so sposobni pametno oceniti, kdo dostopa do informacij, kdaj in zakaj ter se primerno odzvati na predhodno določene kriterije tveganj tako, da zabeležijo in odkrijejo nepooblaščen dostop do zaščitenih podatkov.

Pravice, ki jih z uredbo dobijo fizične osebe

Veliko ljudi še ne ve, kakšne spremembe SUVP prinaša fizičnim osebam. Že danes Zakon o varovanju osebnih podatkov (ZVOP) zagotavlja fizični osebi pravico, da pri podjetju izve, za katere namene se zbirajo osebni podatki in kdo je imel vpogled v njihove osebne podatke. SUVP to dviguje še na raven više, in sicer z uvedbo dodatnih pravic. Poleg pravice do izbrisa, popravka in prenosa podatkov, SUVP uvaja še "pravico do pozabe", ki bo po mnenju strokovnjakov iz Oracla tudi v praksi verjetno najbolj uporabljana pravica v Sloveniji.