Nova pravila igre na področju osebnih podatkov

Do leta 2020 bo v svetovnih omrežjih med seboj komuniciralo že 30 milijard naprav. Izmenjevale bodo tudi osebne podatke, ki jih ljudje na družbenih omrežjih prostovoljno delijo z (ne)znanci. Podatke, s pomočjo katerih služijo tehnološki velikani, zaradi česar se jih je prijel naziv »nafta 21. stoletja«.

Uporabniki puščamo podatkovno sled pri raznoraznih opravilih. Na primer na Facebooku, ki ga uporablja 38,6 odstotka svetovne populacije, med njimi tudi več kot 800.000 Slovencev, kjer je vsak dan objavljenih tudi 350 milijonov fotografij, s katerih je mogoče razbrati lokacijo, čas nastanka fotografije ipd. Po podatkih statističnega urada pri nas 11 odstotkov podjetij z vsaj desetimi zaposlenimi analizira na spletu dostopne podatke. Generiramo jih ogromno.

Nujna bo transparentnost podjetij, vse storitve bodo morale zagotoviti varnost podatkov. To ne velja le za banke, ampak za vsako podjetje, ki hrani podatke o svojih zaposlenih.

Raziskava v prvem četrtletju lani je pokazala, da je internet v zadnjih 12 mesecih uporabljalo 97 odstotkov od 16- do 24-letnikov. Od teh jih je kar 68 odstotkov po internetu sporočalo svoje podatke za stik; 56 odstotkov jih je sporočalo osebne podatke, tudi številko osebne izkaznice; 25 odstotkov jih je delilo svojo fotografijo ali trenutno lokacijo, zdravstvene informacije ter zaposlitveni status; 24 odstotkov pa tudi številko kreditne ali debetne kartice, številko bančnega računa ipd. Množično zbiranje podatkov je obrnilo svet na glavo. Psiholog Michal Kosinski, vodilni strokovnjak za psihometrijo, podzvrst psihologije, ki se ukvarja s podatki, je razvil metodo, ki jo je spretno izkoristilo angleško podjetje Cambridge Analytica, ki je stalo za spletno kampanjo Donalda Trumpa in brexita. V Veliki Britaniji prav zdaj poteka preiskava o analizi javno dostopnih podatkov, ki so jih uporabili za targetiranje pri kampanji za brexit.

Podatki so postali tako pomembni, da so za uredbo, ki bo začela veljati prihodnje leto, lobirali najbolj v vsej zgodovini, je na AmChamovem fokusu o splošni uredbi o varstvu podatkov povedal Roland Marko, partner v odvetniški pisarni Wolf Theiss. »Vloženih je bilo 7000 amandmajev, predvsem zaradi pritiska ameriških korporacij,« je dodala Nataša Pirc Musar, partnerica, direktorica in odvetnica v odvetniški družbi Pirc Musar. Podjetja, ki bi jih nova uredba lahko prizadela, so že zdaj z njo dobro seznanjena, predvsem trgovci s podatki, je dejal Marko.

Nova uredba poudarja pomembnost nadzora nad podatki. Predvsem podjetja, ki se ukvarjajo s prodajo in kupovanjem podatkov, se bodo morala bolj prilagoditi. Oliver Currie, vodja forenzičnih storitev pri PwC, meni, da se bodo agencije morale o profiliranju potencialnih kupcev pogovarjati s klienti, ki bodo, če jim bodo posredovali podatke, morali za to imeti tudi dovoljenje za (digitalni) marketing. Izziv bo tudi najemanje podjetja, da za drugo opravi neko dejavnost, je opozoril direktor informacijskih tehnologij v podjetju KPMG Matjaž Štiglic: »Veliko je podpogodbenikov, ki obdelujejo drugačne podatke. Zato smo vzpostavili celoten sistem določanja tega, kdo je podpogodbenik in kaj storiti, če se ti med seboj ne strinjajo.«

Kot posamezniki bomo postali boljši varnostniki svojih podatkov, podjetja pa si bodo morala pridobiti zaupanje, da ne razmetavajo z osebnimi podatki.

Podjetja bodo morala več vlagati v zagotavljanje varnosti osebnih podatkov. »Morala bodo sprejeti holistični pristop in oceniti, kakšne podatke hranijo in kakšno tveganje nosijo s tem,« je dejal Currie. »Nujna bo transparentnost podjetij, vse storitve bodo morale zagotoviti varnost podatkov. To ne velja le za banke, ampak za vsako podjetje, ki hrani podatke o svojih zaposlenih.« Podjetja bodo morala spremeniti pravne modele glede upravljanja podatkov in kako jih ščitijo. Več bo treba vlagati v orodja, ki lahko sledijo podatkom in odkrijejo vdor v pomembne baze, je dodal Marko Kavčič, vodja aktivnosti za skladnost z licenčnimi pravili v Microsoftu Slovenija. Prinaša tudi informirano privolitev. Privolitev posameznika v uporabo njegovih osebnih podatkov mora biti nedvoumna, aktivno mora soglašati in vedeti, kakšne podatke daje in v kaj je privolil, jezik pa mora biti razumljiv, je dejala Pirc Musarjeva. Dodala je, da je z izjemo informirane privolitve uredba zelo podobna zakonu o varstvu osebnih podatkov (Zvop-1). Bo pa največji izziv za podjetja, ki še niso nič naredila v tej smeri, je dodal generalni direktor Microsofta Slovenija Robert Trnovec.

Pixabay

Več kot milijardo dolarjev za varnostne sisteme

Samo v ZDA bo 200 podjetij z več kot 5000 zaposlenimi v nove varnostne usmeritve v sistemih investiralo več kot milijardo dolarjev, je dejal Currie. Podjetja bodo morala izšolati nove sodelavce za varnost, vpeljati novega IT-strokovnjaka, kar bi lahko imelo tudi negativne finančne posledice za podjetja. Roland Marko je dejal, da bodo pri implementaciji uredbe imela največ težav srednja in manjša podjetja, ki bodo morala najti način, kako vpeljati mehanizme, ki bodo zagotavljali skladnost z uredbo. V nasprotju z njimi velika podjetja večinoma že imajo ljudi, ki skrbijo za skladnost.

Nova uredba o ščitenju osebnih podatkov posameznikov bo veljala za vse, ne glede na to, ali govorimo o organizacijah ali posameznikih, je povedal Kavčič. Veljala bo za vsa podjetja po vsem svetu, ki obdelujejo osebne podatke državljanov EU. Za Microsoft uredba ne pomeni bistvene novosti ali spremembe, je dodal Trnovec: »Naši produkti že upoštevajo številne uredbe, ta bo le še ena v vrsti, le da je bolj kompleksna.«

Nova uredba o ščitenju osebnih podatkov posameznikov bo veljala za vsa podjetja po vsem svetu, ki obdelujejo osebne podatke državljanov EU. 

Pri mobilnem operaterju A1 Slovenija so se te uredbe lotili že pred enim letom, je dejal poslovni vodja Peter Govekar: »To postavlja poslovanje na glavo.« Omejeno bo ponujanje uporabnikom prilagojenih ponudb preko profiliranja segmentiranja in programov zadrževanja uporabnikov, je nanizal nekaj primerov. Na novo bodo morali prilagoditi vse pogodbe o obdelavi osebnih podatkov in imenovati upravljavca osebnih podatkov. Zaposliti bodo morali tudi 27 novih sodelavcev za implementacijo te uredbe, so ugotovili. Smotrno je, če podjetja za to nalogo zaposlijo nekoga, ki je vešč informacijske tehnologije, nekoga, ki pozna pravo, je opomnil Štiglic. Pomembno je, da bo na tem delovnem mestu oseba imela avtoriteto in da bo neodvisna, saj bo odgovarjala za celotno področje varstva osebnih podatkov, je dodala Pirc Musarjeva. »Ves čas moramo vedeti, kako se obdelujejo podatki in kdo jih obdeluje, zato se je dobro zavarovati z nekom, ki to res zna,« je pritrdil Tomšič. Ocenjujejo, da bo z novo uredbo Evropa potrebovala okoli 28.000 pooblaščenih oseb za varstvo podatkov.

V Abanki je v skladnost poslovanja po novi uredbi vključena celotna banka, je dejala Jasna Kajtazovič, direktorica službe za razvoj in marketing Abanke, in dodala, da so že z Zvopom-1 upoštevali vse spremembe. Tudi po mnenju Nenada Mrdakovića, vodje službe za skladnost poslovanja Petrola, omenjeni zakon že zdaj zagotavlja visoko varnost osebnih podatkov. Dodal je, da so v Petrolu že vzpostavili revizijske sheme.

Pixabay

Vrtoglave kazni za kršitelje

Nova uredba določa, da bo podjetje prisiljeno imeti nameščene ustrezne varnostne mehanizme za varovane osebnih podatkov. Za kršitelje so predvidene izjemno visoke kazni, tudi do 20 milijonov evrov ali štiri odstotke letnega prihodka podjetja na svetovni ravni.

V eBayevo bazo podatkov so hekerji vdrli leta 2004. Dokopali so se do imen, elektronskih naslovov in gesel, zato je podjetje imetnike računov pozvalo k spremembi gesla. Da so avgusta 2013 hekerji vdrli v sistem in ukradli podatke o milijardi uporabnikov, je decembra lani priznal tudi Yahoo. To se je zgodilo leto dni pred doslej največjim vdorom v Yahoojev sistem, ko so hekerji poželi informacije o 500 milijonih uporabnikov. Yahoo je priznal, da so hekerji v obeh primerih pridobili imena, naslove elektronske pošte, telefonske številke, rojstne datume, gesla ter varnostna vprašanja in odgovore, domnevno pa niso ukradli podatkov o bančnih računih ali kreditnih karticah. Podjetja uporabnikov o vdorih niso obvestila takoj. Nova uredba jim v takem primeru nalaga 72-urni rok.

Yahoo in eBay sta imela nameščene varnostne mehanizme, a so hekerji kljub temu vdrli v sistem. Bi po novi zakonodaji morala vseeno plačati kazen? Ne, podjetje, ki je imelo nameščene vse varnostne mehanizme in izpolnjevalo uredbo, ne bo kaznovano, je povedal Andrej Tomšič, namestnik informacijske pooblaščenke. Mora pa obvezno poročati o incidentu, je dodal.

Paradoksalna prednost

Ali bi uredba lahko Evropo naredila še manj konkurenčno? Uredba namreč nove omejitve nalaga vsem podjetjem. Marko meni, da je paradoksalno to dolgoročno prednost za Evropo, saj bodo ljudje takim podjetjem bolj zaupali. S to zakonodajo EU postaja vzor, je dejal Trnovec. Prepričan je, da je v času hitrega razvoja tehnologije bistveno vzpostaviti zaupanje med stranko in ponudnikom: »Kot posamezniki bomo postali boljši varnostniki svojih podatkov, podjetja pa si bodo morala pridobiti zaupanje, da ne razmetavajo z osebnimi podatki. Ko bo to zaupanje vzpostavljeno, bo tudi podjetjem lažje.« Tomšič pa je dodal: »Vsi smo posamezniki, vsi zbirajo podatke o nas. Ključna sta torej zaupanje in izbira. Podjetja, ki bodo znala to narediti, pa bodo uspevala.« Dodal je, da je osnovni namen uredbe, da vrnejo uporabnikom njihove osebne podatke: »Upoštevanje uredbe bo za podjetja pomenilo konkurenčno prednost na trgu, podjetja bodo skrbela za to, da si ne bodo delala slabe reklame.«