Nova EU »Data Privacy« regulativa: Priložnost ali nevarnost?

Ali je nova EU “Data Privacy” regulativa glede obdelave osebnih podatkov priložnost ali nevarnost? Kateri so potrebni ukrepi, da potencialno nevarnost spremenite v poslovno priložnost?

Kaj sploh je Uredba EU 2016/68, kakšne novosti prinaša za podjetja in zakaj doživlja tako medijsko pozornost?

Nova uredba EU (2016/68) prvič po letu 1995 sistematično uvaja in ureja varovanje in obdelavo podatkov. Novosti bo z majem 2018 morala v izogib visokim kaznim (20 milijonov evrov ali štirje odstotki letnega prometa) izvajati skorajda vsaka pravna oseba, ki hrani katerikoli osebni podatek svojih zaposlenih ali naročnikov. A uredba je z vidika obravnave osebnih podatkov tudi enkratna priložnost, da si podjetja sama ali s pomočjo zunanjih svetovalcev celostno uredijo zajem, obdelavo ter ravnanje s podatki ter tako povečajo dodano vrednost podatkov in izboljšajo poslovanje. Podjetja morajo zato prilagoditve poslovanja začeti izvajati že danes.

Na nivoju EU je zadnja veljavna direktiva za področje upravljanja s podatki iz leta 1995. Posamezne države so zaradi tehnološkega napredka, širitve socialnih omrežij in vedno večje obdelave osebnih podatkov uvajale različno stroge lokalne zakonodaje, hkrati pa ni bilo zagotovljenega sodelovanja med državami in uvedenega enotnega nadzora. 

Nova uredba, ki začne veljati maja 2018, opredeljuje samo minimalne zahteve, ki jih bo lahko vsaka država članica EU še zaostrila. Veljala bo na nivoju celotne EU, tudi za podjetja, ki nimajo sedeža v EU, hkrati pa vseeno pridobivajo podatke znotraj EU (primer: Facebook, Google, itd.). Uredba vrača kontrolo nad osebnimi podatki in obdelavo teh nazaj do končnega uporabnika, obenem pa podjetja spodbuja k proaktivnemu pristopu. V primeru neupoštevanja zahtev uporabnikov in uredbe pa uvaja najvišjo možno kazen v višini 20 milijonov evrov oziroma štirih odstotkov skupnega prometa podjetja. Poleg tega uporabniku ponuja možnost, da proti posameznemu podjetju sproži pravni postopek glede zlorabe njegovih osebnih podatkov.

Gre za velike spremembe, predvsem za podjetja, ki imajo široko bazo kupcev, uporabnikov ali naročnikov, za katere se zbirajo in obdelujejo katerekoli vrste osebnih podatkov.

Uredba EU je z vidika obravnave osebnih podatkov enkratna priložnost, da si podjetja sama ali s pomočjo zunanjih svetovalcev celostno uredijo zajem, obdelavo ter ravnanje s podatki. Slednje bo podjetjem na eni strani omogočilo zmanjševanje stroškov obdelave podatkov, dvig kakovosti podatkov, zmanjšan čas obdelave, manjše pravno tveganje ter povečalo možnost odločanja. Po drugi strani pa bodo lahko podjetja svojim naročnikom s pridobljenim certifikatom, ki ga uvaja uredba, prikazala, da z njihovimi osebnimi podatki ravnajo skrbno in v skladu z zakonskimi usmeritvami. Izogib kaznim podjetjem predstavlja še dodatno motivacijo, da se lotijo celostne ureditve.

Priložnost za podjetja: povečajte dodano vrednost podatkov, ki jih imate

Od podjetij se v skladu z uredbo zahteva dokazana proaktivnost glede pridobivanja, obdelave in varovanja osebnih podatkov. Večja kot je proaktivnost v fazi začetka nastajanja podatkov in razmislek o uporabi zajetih podatkov, manjša je verjetnost, da bo podjetje izpostavljeno potencialnim kaznim uredbe.

In tukaj nastopi priložnost. Podjetja bodo morala prilagoditi podatke in sistem delovanja s podatki skladno z uredbo – podjetja pa lahko izvedejo tudi dejanske aktivnosti za ureditev podatkov, podatkovnih baz, načina dela s podatki, odločanja s podatki in podobne aktivnosti, vezane na podatke vnaprej, torej ob samem nastanku podatkov. Revija Harvard Business Review je nedavno objavil povzetek raziskav, katerih rezultati nakazujejo na razlike in prednosti posameznega poslovnega področja znotraj podjetja, če se podatke obdeluje in nadzoruje na nivoju nastanka podatkov in ne naknadno oziroma na koncu.

V primeru, da bo podjetje obdelovalo in nadzorovalo svoje podatke skladno z uredbo (na začetku nastanka in proaktivno), bodo imeli podatki večjo dodano vrednost, in bodo hkrati bili pripravljeni za nadaljnje analize in možnosti odločanja.

Pregled pravic in možnosti, ki jih uporabniki pridobijo z novo uredbo

Glavni namen uredbe je, da uporabnik (ponovno) pridobi kontrolo nad vsebino in obdelavo svojih osebnih podatkov. Spreminja se potrebna privolitev zajéma, ki mora jasno izražati, za kaj se bodo podatki uporabili. Uporabnik pridobiva pravico do pozabe oziroma pravice do popolnega izbrisa svojih osebnih podatkov. Uvaja se potrebno soglasje staršev za obdelavo osebnih podatkov oseb, mlajših od 13 let. Ena od večjih pridobitev za uporabnika in hkrati priložnost za podjetja je, da lahko uporabnik zahteva prenos svojih osebnih podatkov, bonitete in celotno zgodovino svojega poslovanja tudi med konkurenčnimi podjetji (na primer pri menjavi banke).

Uporabnik bo lahko od banke, državnih ustanov ali drugega podjetja zahteval, da ga odstrani iz avtomatske obdelave podatkov, izračunov, ocen ali česarkoli, kjer o končnem rezultatu odločajo računalniška pravila, oziroma avtomatska obdelava njegovih podatkov. Uporabnik bo lahko od vsakega podjetja zahteval pridobitev informacije, katere podatke ima podjetje o njem shranjene.

Obveznosti, ki jih nova pravila prinašajo za podjetja

Uredba za podjetja poleg zagotovitve upoštevanja in izvajanja pravic končnih uporabnikov uvaja in opredeljuje še dodatne aktivnosti za dvig nivoja uporabe in obdelovanja osebnih podatkov.

Glavna sprememba je, da uredba velja tudi, če podjetje nima sedeža v EU, vendar v EU pridobiva ali obdeluje osebne podatke. Podjetja bodo morala obvezno imeti pripravljene kodekse uporabe podatkov, interna pravila uporabe, poskrbeti bodo morala za uvedbo postopka obvezne seznanitve, in podobno. Uredba uvaja obvezno oceno tveganja za posamezno bazo osebnih podatkov ter preverjanje skladnosti glede uporabe internih pravil. V določenih primerih se uvaja obveznega internega pooblaščenca (Data Protection Officer), ki ne bo smel imeti konflikta interesa (primer: ne sme biti iz IT oddelka). Podjetja bodo morala v primeru zlorabe ali odtujitve podatkov obvestiti nadzorni organ in hkrati v primeru velikih tveganj zlorabe obvestiti tudi uporabnika samega.

Vsebinska sprememba glede avtomatskega zajema podatkov je tudi v tem, da se uvaja širšo definicijo, kaj je osebni podatek. Pri širši definiciji je novost to, da je kot osebni podatek definiran vsak podatek, na podlagi katerega lahko nekdo v podjetju s pomočjo internih baz podatkov pridobi, oziroma določi pravega uporabnika. Primeri tovrstnih podatkov so IP naslovi, MAC naslovi, psevdonimi, elektronski naslovi, slikovno gradivo, itd.

Štirje koraki, ki jih lahko za vas izvedemo v okviru Indigo poslovnega svetovanja že danes 

Kot strokovnjaki na področju obdelave in ravnanja s podatki ter povečanju poslovne vrednosti vaših podatkov svetujemo, da se vašega procesa lotite po naslednjih fazah, in sicer:

Pregled obstoječe podatkovne krajine: katere podatkovne baze uporabljate danes, katere boste uporabljali v prihodnje?

  • Pregled obstoječe podatkovne krajine: katere podatkovne baze uporabljate danes, katere boste uporabljali v prihodnje?
  • Pregled vpliva uredbe in ostalih zakonodajnih sprememb ali obstoječe zakonodaje na podatke: vključevanje pravnih strokovnjakov, pravni pregled obstoječega stanja in priprava ustreznih dokumentov za prilagoditev na zahteve uredbe, priprava internih aktov, ...
  • Priprava celostne strategije ravnanja in obdelave podatkov v 2018: aktivnosti za dvig poslovne vrednosti vaših podatkov, kot so na primer: uporaba podatkov za odločanje, analiza podatkov, BigData strategija obdelave podatkov, upravljanje s tveganji odtujitve vaših podatkov, vpogled v informacije, ki jih imate o vašem poslovanju, ..
  • Priprava časovnice za pripravo poslovanja glede na uredbo: priprava ključnih nosilcev, testiranje novih procesov in načinov obdelave glede na zahteve in pravice, ki jih prinaša uredba, določevanje odgovornih oseb za varstvo in obdelavo osebnih podatkov, celotna izvedba predlaganih korakov, ..
Zgoraj gre za ilustrativni prikaz glavnih aktivnosti, ki pa se seveda lahko razlikujejo od podjetja do podjetja.  Skupno vsem aktivnostim je, da so ključni elementi uspešnosti prilagoditve enaki, in sicer: strokovnost ravnanja s podatki, ustrezna obdelava podatkov, zavedanje o pomembnosti uredbe, razrešena pravna vprašanja, ustrezna pripravljenost IT rešitvam, prilagoditev poslovanja v skladu s poslovnimi izzivi ter omejitvam uredbe,  interno in eksterno komuniciranje z vsemi vpletenimi deležniki, itd.

Če torej podjetje prične z uvajanjem novih pravil v svoje poslovanje že danes – leto dni, preden bo uredba stopila v veljavo – se ne le izogne visokim kaznim, ampak lahko nove usmeritve izkoristi kot priložnost za povečanje dodane vrednosti podatkov, ki jih ima v lasti, in posledično izboljšanje poslovanja. V primeru, da ocenjujete, da nimate ustreznih strokovnih znanj, internih virov ter celostnega pogleda na novo uredbo, dovolite, da vam naše storitve tudi osebno predstavimo in ob morebitnem sodelovanju zagotovimo, da bo vaše poslovanje pravočasno in kakovostno pripravljeno na novosti uredbe.


Sorodni primeri