AKTUELNO22 23

april/travanj 2018.www.asadria.com

UTJECAJ GDPR-a NA POSLOVANJE U REGIJI I SVIJETU

IN FOCUS

JESMO LI SPREMNI ZA OPĆU UREDBU O ZAŠTITI PODATAKA

april/travanj 2018.www.asadria.com

“Podaci su nova nafta” – izjavio je Jo-nathan Taplin, direktor emeritus Anne-nberg laboratorija za inovacije na Uni-verzitetu u Južnoj Kaliforniji. I nije jedini stručnjak koji tako misli. Značaj velikih podataka nikada nije bio važniji, naroči-to ako se kombinuju s naprednom ana-litikom zasnovanom na vještačkoj inteli-genciji i potencijalom koji donosi internet stvari. U vremenu u kojem podaci mogu potaknuti veliki rast kompanija, potrebno je imati odgovarajući skup pravila koji će ne samo regulisati upravljanje privatnim podacima u cilju zaštite privatnosti ljudi nego će pomoći i u zaštiti samih kompa-nija od cyber kriminalaca. Opća uredba o zaštiti podataka, odnosno GDPR, upravo je takav obavezujući skup pravila kojim se reguliše upravljanje i zaštita ličnih poda-taka na području Evropske unije, ali i van nje, ukoliko se upravlja podacima građa-na Evropske unije. Ovaj posljednji detalj jedan je od glavnih razloga zbog kojeg

se proteklih mjeseci o GDPR-u sve više priča te se ubrzano organizuju konferen-cije i radionice o njegovoj implementaciji, budući da to znači da će se sve, pa i re-gionalne i prekookeanske kompanije koje sarađuju s evropskim firmama i pri tome upravljaju podacima građana Evropske unije morati prilagoditi regulativi te uvesti isti nivo sigurnosti za podatke.

Pojam ličnih podataka obuhvata bilo ka-kvu informaciju o pojedincu koja se može koristiti za direktno ili indirektno identifiko-vanje osobe, što uključuje sve od imena i fotografije, preko e-mail adresa, ban-kovnih podataka, postova na društvenim mrežama do zdravstvenih podataka i IP adrese računara. GDPR se odnosi ne samo na kompanije koje prikupljaju lič-ne podatke i odlučuju o njihovoj upotrebi (u GDPR regulativi nazvane “kontrolori”) nego i na kompanije koje procesiraju ta-kve podatke za kontrolore. Drugim riječi-ma, od regulative neće biti izuzeti ni cloud servisi.

Sigurnost i privatnost po jednakim pravilimaGDPR je zamijenio raniju Direktivu o za-štiti podataka 95/46/EC iz 1995. go-dine, koja je iz očitih razloga zastarjela u vremenu u kojem dolazi do neizbježnog uspona IoT-a. Jedan od pokazatelja da je pravo vrijeme za promjene u upravljanju podacima i njihovom osiguravanju jeste i nedavni slučaj u kojem je Cambridge Analytica, britanska politička konsultant-ska kompanija, na neprimjeren i neovla-šten način prikupila lične podatke 50 miliona korisnika Facebooka radi profilira-nja glasača u svrhu osmišljavanja pred-sjedničke kampanje Donalda Trumpa. Pri tome je Facebook znao za to protekle tri godine, ali nije obavijestio javnost o tome. Osim spomenutog prekograničnog prila-gođavanja regulativi, jedna od najčešće spominjanih praksi koje GDPR uvodi jeste i „princip ugrađene privatnosti“. To znači da se sistemi moraju od početka graditi sa zaštitom privatnosti, umjesto da im se to naknadno dodaje uz potencijalno nea-dekvatnu primjenu. Između ostalog, ovo podrazumijeva provođenje sveobuhvatne pseudonimizacije kao što je enkripcija te redakciju videa pri snimanju javnih povr-šina i ograničavanje pristupa samo onim podacima koje treba obraditi.

n Piše: Senad Matić-Karić i Vesna Matić-Karićredakcija@asadria.com

OD 25. MAJA NA SNAGU STUPA GDPR, ODNOSNO OPĆA UREDBA O ZAŠTITI PODATAKA (GDPR)EVROPSKE UNIJE, KOJA ĆE DRASTIČNO PROMIJENITI ODNOS KOMPANIJA PREMA PRIVATNIM PODACIMA NA INTERNETU. TO JE BIO POVOD DA RAZGOVARAMO S REGIONALNIM STRUČNJACIMA, KOJI SU NAM DALI SVOJE VIĐENJE OVE REGULATIVE I SPREMNOSTI FIRMI DA JOJ SE PRILAGODE

“GDPR prvenstveno donosi bolju zaštitu građana i veću kontrolu nad obradom osobnih podataka. Postrožena pravila sama po sebi donose i uređen sustav te veću kontrolu i sigurnost u obradi. Novost je ‘pravo na brisanje’, poznato i kao ‘pravo na zaborav’ (engl. Right to be forgotten)”, objašnjava stručnjakinja za zaštitu ličnih podataka, GDPR, informa-cijsku sigurnost i pametne tehnologije te šefica Katedre za ekonomske i finansij-ske znanosti na Pravnom fakultetu Sveu-čilišta u Splitu doc. dr. sc. Marija Boban. Načelo ovog prava je omogućiti pojedin-cima da zatraže brisanje ili uklanjanje ličnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. „Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google, koji svoje domene ima u svim državama EU (naprimjer Google.hr), brisati “linkove” sa svim instancama, što će predstavljati i trošak novca i vremena”, dodaje Boban, napominjući da će to ipak rezultirati ključ-nom stvari koja Evropu najviše zanima – većom kontrolom koju će građani Evrop-ske unije imati nad obradom svojih ličnih podataka.

Pravo na brisanje, prijenos, saglasnostTomislav Štefe, direktor prodaje u za-grebačkoj kompaniji za informatičku sigurnost Sagena informatički inžinje-ring, na slikovit način objašnjava značaj GDPR-a: “Važno je shvatiti da GDPR re-gulativa donosi najvažniju promjenu u za-štiti osobnih podataka u posljednjih 20 godina. Ponekad znam reći poslovnim partnerima na sastancima i prezenta-cijama da zamisle osobne podatke kao novčanice ili neke druge osobne doku-mente. Kada bi, naprimjer, netko kopao

po vašem novčaniku i tražio novac, to se smatra isključivo kažnjivim djelom. Isto tako, kada ubuduće netko bude pristu-pao vašim osobnim podacima, morat će se znati tko to smije raditi i na koji način. Ako to radi neovlašteno, platit će kaznu.” Štefe dodaje da bi normal-no bilo da “cijenimo i čuvamo podatke kao što je normalno da zaključamo vra-ta stana i prozore kuće. Sada se samo dogovaramo putem ove Uredbe da je to obavezno”. Još jedan ključni novitet jeste pravo na prijenos podataka, pri čemu korisniku treba omogućiti da svo-je lične podatke koji se mogu povezati s njim prenese iz jednog u drugi sistem za procesiranje podataka, sve dok to ne podrazumijeva kršenje intelektualnih prava. Ovo uključuje ne samo podatke koje je korisnik sam dao kompaniji nego i one o njegovom ponašanju, a podatke mora dobiti u nekom često korištenom i uobičajenom elektronskom formatu.

Stručnjakinja za IT i telekomunikacijske sisteme dr. Sabina Baraković napominje da će prijenos ličnih podataka građana Evropske unije biti omogućen jedino u slu-čaju da su svi sigurnosni uslovi zadovolje-ni. “Prilikom prenosa podataka u zemlje za koje Evropska unija nije dala odobrenje kompanije moraju tražiti specijalnu pravnu saglasnost. Kompanije koje obrađuju lične podatke u ime drugih također će imati di-rektne obaveze i odgovornost, te se mogu smatrati odgovornim za zloupotrebu po-dataka. Iz tog razloga morat će s kom-panijama koje prikupljaju podatke jasno definisati uslove obrade ličnih podataka, te održavati sigurnost podataka kroz od-govarajuće tehničke i organizacijske mje-re”, kaže Baraković.Saglasnost za korištenje podataka i pravo na informisanost o svrsi i lo-kaciji procesiranja podataka područja su koja GDPR dodatno definiše, budući da kompanije neće više moći tražiti pri-stanak za korištenje podataka kroz duge dokumente pune pravne terminologije. Umjesto toga, saglasnost mora biti jasna, razumljivo napisana i odvojena od drugih aspekata korištenja softvera i računar-skih usluga. Također je treba biti moguće lako povući. Na sličan način funkcioniše i pravo na informisanost – kompanija mora korisniku besplatno isporučiti kopiju ličnih podataka u elektronskom formatu i oba-vijestiti ga o tome da li i kako se njegovi podaci obrađuju.Zatim imamo DPO-a, odnosno službe-nika za zaštitu podataka. Kompanije će, ovisno o vrsti i obimu u kojem uprav-ljaju osjetljivim ličnim podacima, morati angažovati DPO-a. Bitno je spomenuti da se ovo može odnositi i na male firme, bez obzira na to što se u ranijim fazama definisanja GDPR-a upošljavanje službe-

AKTUELNO24

nika za zaštitu podataka odnosilo samo na kompanije sa više od 250 zaposle-nika. U principu, DPO će biti potreban firmama koje u velikom obimu sistemat-ski i regularno nadgledaju lične podatke, kao i onima koje procesiraju bilo koju kategoriju ličnih podataka, uključujući i one koji otkrivaju etničko porijeklo te političku i religijsku opredijeljenost, kao i lične podatke koji se odnose na krivične presude i prestupe.I na kraju, blagovremeno prijavljivanje sigurnosnih incidenata podrazumijeva da se cyber sigurnosni incidenti koji pred-stavljaju rizik za pojedince moraju brzo prijaviti bez nepotrebnog odugovlačenja. „Tačnije, kompanije moraju informisati odgovarajuća nadležna tijela o curenju podataka najkasnije 72 sata od otkriva-nja”, naglašava Baraković. Obavezujuću prirodu GDPR-a prate vrlo visoke kazne u slučaju nepridržavanja njegovih stavki. Maksimalna kazna za ozbiljne propuste kao što su odsustvo odgovarajuće sagla-snosti korisnika za procesiranje njegovih podataka ili nedovoljna zaštita privatno-sti iznosi 4% globalnih godišnjih prihoda ili 20 miliona eura, šta god bude veće. Za druge prestupe poput neblagovreme-nog obavještavanja o hakerskom napadu koji je ugrozio lične podatke – kompanije mogu biti kažnjene iznosom od 2% pri-hoda.

Prilagođavanje i troškovi provedbeJedno je sigurno: GDPR nije regulativa čije će uvođenje biti moguće izvesti jed-nokratno, nego je riječ o kontinuiranom procesu koji će uvijek biti dio poslovanja kompanija. Mnogi stručnjaci se slažu u ocjeni da više od ispunjavanja samih teh-ničkih uslova kompanije moraju biti spre-mne prilagoditi unutrašnju organizaciju i filozofiju rada novim okolnostima.

“U uvođenju Opće uredbe o zaštiti po-dataka jako je bitno da vodeći ljudi kom-panija budu upoznati s tim, znači od uprava, pravnih i finansijskih službi pa sve do IT sektora. Ponekad se misli da se Uredba odnosi samo na IT sektor, ali to nije tako. To je zato što su danas većinom podaci digitalizirani. No, Ured-ba se odnosi na sve u kompaniji, a IT sektor ponajviše operativno pomaže da se ona primijeni”, kaže Štefe.

25IN FOCUS

Utjecaj na zemlje van Evropske unijeŠto se tiče kompanija iz zemalja koje nisu dio Evropske unije, a koje sarađuju s onima iz EU, Baraković se slaže da će ove promjene neizbježno utjecati i na njih. “Budući da kompanije iz Bosne i Hercegovine sarađuju sa kompanijama iz Evropske unije te obrađuju i koriste podatke građana Evropske unije, to znači da se Uredba odnosi i na njih. Uredba u potpunosti mijenja način na koji se podaci prikupljaju, koriste, obrađuju, pohranjuju i tretiraju na bilo koji način. Stoga je usklađivanje sa zahtjevima Uredbe kompleksan proces pun izazova koji će značajno utjecati na poslovanje kompanija širom svijeta, pa tako i u Bosni i Hercegovini”, kaže Baraković i dodaje: “Da bi se uskladile s Uredbom, kompanije u BiH moraju prilagoditi svoje poslovanje na način da koriste jednostavan, jednoznačan i razumljiv jezik komuniciranja s vlasnicima ličnih podataka, te da po zahtjevu vlasnika svaku radnju koja uključuje njihove lične podatke odrade u najkraćem mogućem roku uz dokaz da je zatražena radnja i izvršena. Također, moraju dobiti dozvolu za obradu ličnih podataka, dok za obradu podataka maloljetnih osoba moraju dobiti saglasnost njihovih roditelja. Dodatno, kompanije moraju omogućiti uskraćivanje saglasnosti za slanje poruka u direktnom marketingu.”

april/travanj 2018.www.asadria.com

april/travanj 2018.www.asadria.com

”Zajedničko digitalno tržište je najsnažnije pojedinačno tržište na svijetu. Tko želi sudjelovati, pristat će na nova pravila.”

Alen Delić, viši savjetnik za informatičku sigurnost, Diverto; predsjednik Odbora za kibernetičku i informacijsku sigurnost, HUMS

Marija Boban, doc. dr. sc., šefica Katedre za ekonomske i finansijske znanosti, Pravni fakultet Sveučilišta u Splitu

Tomislav Štefe, direktor prodaje, Sagena informatički inžinjering

Alen Šalamun, tehnološki direktor, REAL Security

On je također detaljnije pojasnio na šta je bitno obratiti pažnju prilikom prilago-đavanja GDPR-u i navodi neka rješenja za bezbolniju prilagodbu: “U samom uvođenju postoji nekoliko faza: upoznavanje i diza-nje svjesnosti Uprave o Regulativi, rad s pravnom službom te rad s IT sektorom i svima ostalima. Mi ponajviše kao dugogo-dišnji Platinum partner renomirane kom-panije McAfee nudimo tzv. toolove kojima se Uredba može lakše implementirati. Da-kle, postoji softver kojim možete pokrenuti tzv. discovery podataka koji vam pronalazi osobne podatke (matični broj osobe, bro-jeve dokumenata i sl.) i onda te podatke dalje možete lakše strukturirati i definirati njihov pristup i ovlaštenja. Također, Ured-ba nalaže da se i osobe koje rade s baza-ma podataka moraju kontrolirati, pa u tu svrhu nudimo DAM (Database Activity Mo-nitor) rješenja koja dodatno štite baze po-dataka te kontroliraju tko je sve imao pri-stup bazi, što i kada se po bazi podataka radilo. Ukoliko dođe do problema uzroko-vanog hakerskim napadom, potrebno ga je brzo rješavati. Za ovu potrebu nudimo korisnicima SIEM (Security Information Event Management) alate koji prate rad cijelog sustava i vide iz kojeg izvora napad dolazi. Takvi alati vam drastično skraćuju vrijeme potrebno za izolaciju problema, a samim time i vrijeme da sustav zakrpite i stabilizirate”, objašnjava Štefe. S druge strane, član Nacionalnog vijeća za kibernetičku sigurnost Hrvatske i ne-kadašnji predsjednik vijeća HAKOM-a Dra-žen Lučić vjeruje da će se mnogi problemi i nedoumice vezane za ovu problematiku rješavati u hodu i dodaje: “Vrlo brzo će se vidjeti koliko su kompanije zaista spremne, a koliko je to bila samo samoreklama isti-canjem.” On također smatra da je u prvoj

fazi primjene bitno da “određeni problemi ne budu povod za kažnjavanje organizaci-ja i odgovornih pojedinaca u njima, nego poticaj za prilagodbu rješenja stvarnim uvjetima poslovanja i rada organizacija”. Konkretnije informacije vezane za same troškove provedbe GDPR-a dobili smo od Alena Šalamuna, tehnološkog direktora slovenske firme REAL Security. On napo-minje da će troškovi biti u korelaciji s time kako su organizacije pratile opće smjernice razvoja IT sigurnosnih sistema. “Kompani-ja koja nema osnovne elemente kao što su

firewall, IPS sistem, backup sistem, SIEM sistem, DLP i slično imat će, naravno, vi-soke troškove, ali ne zbog samog GDPR-a. To su sistemi koje bi već odavno morali imati. S druge strane, kompanija kojoj fali samo pravna strana – definicija baze ličnih podataka i interni pravilnik – neće imati vi-soke troškove. Predviđa se da će troškovi implementacije za velike FTSE kompanije iznositi oko 480.000 eura, a za Fortune kompanije oko 800.000 eura. Na držav-nom nivou, riječ je o velikim ciframa u sva-kom slučaju”, objašnjava Šalamun. Što se

tiče samog REAL Securityja, on napominje da su njihovi troškovi nešto manji, jer ne moraju zapošljavati nove radnike, a već su imali i skoro sve potrebne sisteme, tako da svoj trošak procjenjuju na 25.000 eura.

Neki i dalje nespremni GDPR je stupio na snagu 2016. godine, a obavezujući postaje nakon dvogodišnjeg perioda predviđenog za prilagođavanje po-slovanja regulativi, tačnije 25. maja ove godine. Uprkos vremenu rezervisanom za prilagođavanje, trenutno vladaju podi-

jeljena mišljenja o tome jesu li kompanije spremne za GDPR. Štefe iz Sagene dijeli korisnike u dvije grupe kada je riječ o nji-hovoj spremnosti za novu regulativu: “Dok se neki jako dobro pripremaju, naručuju konzalting usluge ili šalju svoje djelatnike na stručne seminare, ima i onih koji, da tako kažem, ne poduzimaju ništa, imaju pristup da je bolje pričekati i vidjeti kako će drugi nešto napraviti, pa onda isto im-plementirati kod sebe. Osobno mislim da je to potpuno promašen put. Ne govorim to iz razloga kako bi se tvrtkama prodao

AKTUELNO26 TOPICS

april/travanj 2018.www.asadria.com

januar/siječanj 2018.www.asadria.com

Tihomir Katulić, doc. dr. sc., profesor asistent, Katedra za pravnu informatiku, Pravni fakultet Sveučilišta u Zagrebu

Dražen Lučić, član Nacionalnog vijeća za kibernetičku sigurnost Hrvatske; nekadašnji predsjednik vijeća HAKOM-a

Mojca Prelesnik, informacijska povjerenica Slovenije

Sabina Baraković, dr., stručnjakinja za IT i telekomunikacijske sisteme

Siniša Radulović, voditelj marketinga, Alarm automatika

Videonadzor i GDPR

Voditelj marketinga u Alarm automatici Siniša Radulović tvrdi da će Uredba imati veliki utjecaj na sisteme videonadzora, ali i na sve ostale sisteme pomoću kojih se skupljaju lični podaci. “Važno je prilagoditi procese i procedure te u svakome trenutku znati što se događa s informacijama – gdje se nalaze i na koji su način pohranjene, tko sve ima pristup, koje su procedure u slučaju zahtjeva za brisanjem podataka itd. Današnja tehnologija i softveri omogućavaju većinu stvari koje definira Uredba, ostalo će trebati nadograditi i prilagoditi pravilima”, kaže Radulović.

ECCOS inženjering d.o.o. www.eccos.com.hr

BIH Čekaluša 52, 71000 Sarajevo, Bosna i HercegovinaT + 387 33 261 115 F + 387 33 261 116 E info@eccos.com.hr

HR Sjedište: I. Pile 21 / Ured: Bani 110, Buzin, 10000 Zagreb, Hrvatska T + 385 1 6060 290 F + 385 1 6060 380 E info@eccos.com.hr

Rješenja kojima vjerujete

Tehnička zaštita | Audiovizualne komunikacije | Parkirališni sustavi | Razvoj programskih rješenja | Podatkovni centri | Automatizacija | Energetska učinkovitost | Elektroinženjering

dodatni konzalting, softver i usluge za uvo-đenje GDPR regulative.” Šalamun smatra da većina kompanija neće imati problema kada je riječ o spre-mnosti da se prilagode novoj regulativi, naglašavajući da GDPR služi kao nado-gradnja postojećih zakona o zaštiti ličnih podataka. “Organizacije poput naše, koje su već slijedile primjere dobre prakse kako bi osigurale IT sisteme, sada ne mo-raju uraditi mnogo toga”, kaže on. Sličnu procjenu je ponudila i informacijska povje-renica Slovenije Mojca Prelesnik, s tim da ona naglašava kako postoji i veći broj izuzetaka. “Postoji značajan broj organiza-cija koje nisu obratile dovoljno pažnje na postojeću legislativu te je slabo poznaju i implementiraju – takve će se susresti s većim izazovima, budući da će morati mnogo toga naučiti i provesti za kratko vrijeme”, kaže Mojca.S druge strane, Boban tvrdi da većina firmi nije spremna za nadolazeće promje-ne: “Uistinu bez okolišanja mogu reći da većina nije spremna ili su tek u postupku usklađivanja. A datum primjene jest već 25. maja 2018. Promjene su velike: od novih pravnih uvjeta do uvođenja ‘procjene rizika’ kroz ‘procjenu učinka’, pa do ostalih zahtjeva koje Uredba donosi i direktno se

primjenjuju za sve koji posluju na području Europske unije, odnosno za sve koji obra-đuju podatke građana EU.”

Nastaje novo tržišteNaši sagovornici se uglavnom slažu u jednom – da će biti spremni do 25. maja za sve što im GDPR donosi. Siniša Radulović, voditelj marketinga u Alarm automatici, kaže da je njihova kompanija prošle godine krenula s aktivnijom pripre-mom kako bi bili spremni na sve izazove koje donosi GDPR, a pridružuje mu se viši savjetnik za informatičku sigurnost u kompaniji Diverto i predsjednik Odbora za kibernetičku i informacijsku sigurnost HUMS-a Alen Delić, koji to predstavlja na živopisan način: “Iznimno je zanimljivo sa-gledati koliko smo spremni mi koji inače pomažemo drugima da se prilagode kako ne bi ispalo da su kod postolara (obu-ćara) najgore cipele... Dakako, bit ćemo spremni za stupanje Uredbe na snagu”, kaže Delić. Profesor asistent pri Katedri za pravnu informatiku na Pravnom fakul-tetu Sveučilišta u Zagrebu doc. dr. sc. Tihomir Katulić kaže da će veće kompa-nije s naših prostora vjerovatno dočekati regulativu spremne: “U Hrvatskoj i regi-ji vjerujem da i dalje stoji ocjena da će

telekomi, banke i financijske institucije zbog svojih resursa, posebno regulator-nih stručnjaka, snažnih informatičkih i infosec odjela primjenu Uredbe dočekati spremni. Projekte je provelo ili provodi oko petina najvećih gospodarskih subje-kata. Nastalo je živahno tržište konzul-tantskih usluga na kojem se natječe pet-naestak kompanija. Situacija sa srednjim i manjim društvima značajno je slabija, dok javni sektor kao da misli da se to njih ne tiče. Srednji i mali poduzetnici uz velike rizike percipiraju Uredbu kao još je-dan u nizu administrativnih tereta kojima države regije guše vlastito poduzetništvo i pokazuju da su i dalje tek na početku tranzicije u tržišna gospodarstva.” Šta je s kompanijama iz SAD-a?Pojedini mediji tvrde da polovina velikih kompanija iz Sjedinjenih Američkih Drža-va neće na vrijeme biti spremna za nove regulative. Kako i koliko bi se ova poten-cijalna nespremnost američkih kompanija mogla odraziti na njihovo dalje poslovanje s evropskim firmama pojasnio je Štefe: “Nemam gotove statističke podatke, ali na bazi mnogo iskustva u komunikaciji sa stranim partnerima stječe se dojam da

AKTUELNO28

se stranci ozbiljno pripremaju. To se vidi i po brojnim inozemnim GDPR konferen-cijama, samitima, eventima te mnogi IT vendori sve više nude razna rješenja za implementaciju GDPR-a na operativnoj razini.”S njime se slaže i Šalamun, koji tvrdi da su kompanije iz SAD-a već dugi niz godi-na imale dosta stroge zakone vezane za potencijalne zloupotrebe ličnih podataka, tako da, kako smatra, neće biti proble-ma koji se prognoziraju u pojedinim me-dijima. Delić ipak napominje da postoje poznati slučajevi u kojima su kompanije iz SAD-a odustale od daljih poslovnih ak-tivnosti vezanih za EU, bez obzira na to je li riječ o poslovanju u EU ili samo o korištenju podataka građana Evropske unije. Međutim, on smatra da su to ipak sporadični slučajevi te da će se svaka oz-biljnija kompanija koja ima EU kao tržište prilagoditi promjenama. Ipak, podijelio je s nama i jednu zanimljivu informaciju iz prve ruke koja pokazuje da stvari ipak nisu tako jednostavne. “U praksi je očito kako prilagodba ide sporije kad je u pita-nju netko iz SAD-a. Upravo smo u proce-su pregovora s kompanijom koja godiš-nje zarađuje desetke milijuna dolara, a s kojom nikako da usuglasimo stavove o prilagodbi GDPR-a”, rekao je Delić.

Potencijalni zastoji u provedbiZanimalo nas je i koliki izazov će kom-panijama predstavljati da novim pravilima prilagode ne samo sebe i svoje sisteme nego i vanjske saradnike te krajnje kori-snike njihovih usluga. U vezi s tim, Šte-fe naglašava da je provođenje GDPR-a izazov za sve u lancu, jer “kako podaci cirkuliraju među sudionicima poslovnih tvrtki bilo bi logično da ako su zaštićeni i kontrolirani u tvrtki A, onda nisu nezašti-ćeni i lako dostupni u tvrtki B“, zbog čega smatra da poslovni partneri prije svega trebaju dobro iskomunicirati i redefinisati način poslovanja kako bi bio usklađen sa GDPR-om.Lučić tvrdi da je Opća uredba o zaštiti po-dataka istovremeno i izazov i prilika. “Ve-ćini organizacija koje upravljaju podacima bit će izazov, kako organizacijski tako i financijski. No to je istovremeno prigoda da te organizacije unaprijede unutarnje i vanjske procese u vezi s upravljanjem pri-vatnim podacima. S druge strane, otva-ra se mogućnost jednom dijelu tvrtki da ponude dodatne usluge, da prošire broj svojih korisnika, a to znači i nova radna mjesta specijalizirana za upravljanje i za-

štitu podataka, informacijsku i kiberne-tičku sigurnost”, kaže on. Ipak, određeni zastoji u prilagodbi postoje, što potvrđuje i Delić: “Pokazuje se na operativnoj ra-zini kako često postoje nerazumijevanja između subjekata, posebno kad se govo-ri o odnosu voditelja obrade i izvršitelja obrade. Često moramo vrijeme potroši-ti s trećim stranama objašnjavajući im osnovnu terminologiju ili prakse kako bi se pojedinci prilagodili. Ljudima je najveći problem što ne shvaćaju svoje uloge i od-govornosti u cijelom konceptu, pa često iz straha nastane problem koji zapravo ne postoji”, rekao je Delić.

Prednosti i mane nove regulativePrelesnik naglašava da je trenutni GDPR rezultat kompromisa usljed lobiranja i konfliktnih interesa tokom procesa nje-

govog usvajanja. Međutim, ona ističe da je jedna od glavnih prednosti GDPR-a “proaktivan pristup, zasnovan na principu odgovornosti, tj. usvajanju novih preven-tivnih mjera”. “Kada je riječ o manama, bojimo se da željena harmonizacija EU pravila neće biti postignuta na željenom nivou, budući da nekoliko nacionalnih za-kona o zaštiti podataka može ponovno dovesti do fragmentacije legislative”, do-daje Mojca. Prema Mariji Boban, jedna od prednosti je to što “posebnu kategori-ju predstavljaju upravo osobni podaci dje-ce, gdje je ponajprije postavljena dobna granica 16 godina, ali i mogućnost pred-viđanja niže dobne granice za davanje pri-vole za obradu osobnih podataka djece i do 13 godina, čime se podiže zaštita prava djece”. Ona također ističe da su “mjere sigurnosti koje Uredba propisuje za posebne kategorije osobnih podataka,

29IN FOCUS

april/travanj 2018.www.asadria.com

april/travanj 2018.www.asadria.com

Jesu li se kompanije pripremile za GDPR?

Direktor prodaje u Sagena informatičkom inžinjeringu Tomislav Štefe smatra da su se kompanije trebale već pripremiti i vremenski definirati aktivnosti, jer vre-mena više nema mnogo: “Imate ogroman rast digitalne ekonomije i informacija općenito. Svake minute na Zemlji stvori se 1,74 petabajta novih podataka. U tih istih šezdeset sekundi izvedu se 244 kibernetička napada na razne osobe, institucije i kompanije. U toj jednoj minuti tim kompanijama, osobama i institu-cijama ukrade se gotovo četiri tisuće novih podataka, što je nešto više od pet milijuna podatkovnih zapisa u jednom danu!”, upozorava Štefe.

posebno u rastućem sustavu e-zdravstva kao i novu definiciju regulacije mrežnog identifikatora i genetskih i biometrijskih podataka kao osobnih podataka, uistinu velika novost i više nego dobrodošle jer nisu bile pokrivene dosadašnjim zakono-davstvom”. S druge strane, Boban kao mane procesa implementacije ističe ne-pripremljenost i troškove.Naši sagovornici vjeruju u pozitivan efe-kat Uredbe. Tako Lučić smatra da će uspješno uvođenje GDPR-a “sigurno imati pozitivan doprinos razvoju i podi-zanju razine informacijske sigurnosti. To automatski znači novi i veći izazov kibernetičkim kriminalcima, koji će se

morati znatno više potruditi u svojim ne-časnim namjerama ili će, što je realnije očekivati, potražiti lakše mete.” On spo-minje i aspekt povećanja nivoa svijesti o sigurnosti podataka kod korisnika IT usluga. “To će imati pozitivan učinak na gospodarstvo jer će ohrabriti korisnike novih tehnoloških usluga da ih koriste više, češće i s povjerenjem”, kaže Lučić. Međutim, on kao i Marija Boban dodaje da manu predstavljaju troškovi uvođenja GDPR-a, kao i “opasnost da će uvođenje GDPR-a usporiti ili čak odgoditi uvođenje suvremenih tehnoloških rješenja koja se zasnivaju na obradi privatnih podataka i/ili obradi i čuvanju velike količine poda-taka. Tipičan primjer su telekomunikaci-je i uvođenje komunikacije stroj – stroj (Machine-to-Machine – M2M) i interne-ta stvari (Internet of Things – IoT), teme-ljenih na 5G tehnologiji za npr. koncept pametnih gradova.”

Jedan framework za sve?Zapitali smo se postoji li mogućnost da ovakav skup pravila postane dio svjet-ske scene i uđe u upotrebu u cijelom svijetu ukoliko se pokaže uspješnim na primjeru Evropske unije. Naši sagovorni-ci ne samo da su potvrdili da je to mo-guće nego kažu da se to, zapravo, već

i desilo. “U pravilu, ovo i jest ulazak na svjetsku scenu – na mala vrata”, ističe Boban, a Katulić objašnjava da Uredba već ima veliki utjecaj na kompanije sa sjedištem daleko od EU: “Njena primje-na na takva poduzeća, ukoliko prate ili obrađuju podatke europskih građana i sudjeluju na europskom tržištu, osigurat će transfer pravnih standarda u zakono-davstva daleko od Unije, kako je bilo i s Direktivom koju je, primjerice, Argentina gotovo doslovno implementirala u vlasti-tom zakonodavstvu, a takvih primjera će sada biti mnogo više. Uredba je posta-la svjetski standard zaštite podataka i prije početka primjene.” Lučić ipak nije toliko uvjeren da bi isti framework bio odmah prihvaćen u cijelom svijetu. “Sva-kako da bi uspješno uvođenje GDPR-a u EU postalo jedan obrazac za primjenu u svijetu. No, ako i dođe do preslikavanja primjene GDPR-a, to će u idućih desetak godina biti ograničeno na manji dio svije-ta i to onaj koji se gospodarski, zakono-davno i politički može usporediti s EU”, kaže on. GDPR nesumnjivo predstavlja dobru platformu za sigurniju cyber bu-dućnost. Međutim, raznolikost stručnih mišljenja iznesenih u ovoj temi pokazuje da se treba vidjeti koliko je ta sigurnija budućnost zaista blizu. t

AKTUELNO30

april/travanj 2018.www.asadria.com

januar/siječanj 2018.www.asadria.com

Predviđa se da će troškovi primjene za velike FTSE kompanije iznositi oko 480.000 eura, a za Fortune kompanije oko 800.000 eura

Krobel Promet d.o.o.Zagrebačka cesta 145a, 10000 ZagrebT – 01 3640 343 / 01 3638 992F – 01 3664 134E – krobel@krobel.hr

Krobel d.o.o. SarajevoSafetaZajke 115c, 71000 SarajevoT – 033 466 800F – 033 466 808E – dzemal@krobel.eu

Veliki izbor sigurnosne opreme za sve namjene na jednom mjestu

Authorised Distributor

PRVI IZBOR ZA SIGURNOSNE STRUČNJAKE

Videonadzor i videoanalitika

Alarmni sustavi i vanjska zaštita

Kontrola prolaza

VatrodojavaPlinodojava

IT sustaviPortafoni

K-ERV aplikacija za evidenciju radnog vremena