Varstvo osebnih podatkov prinaša dodatne stroške

Nekdanji dan mladosti, 25. maj, bo prihodnje leto prinesel strožja evropska pravila o varstvu osebnih podatkov. Ta tistim, na katere se podatki nanašajo, zagotavljajo večje pravice, podjetjem pa med drugim povzročajo dodatne stroške, ki se utegnejo meriti celo v milijonih.

Odredba GDPR zvišuje tudi kazni, saj lahko globa znaša 4 odstotke skupnega letnega prometa ali do 20 milijonov evrov.

Splošna uredba Evropske unije o varstvu podatkov ali uredba GDPR prinaša nova, strožja pravila, ko bodo veljala za vsa podjetja in organizacije, ki obdelujejo osebne podatke državljanov EU, denimo tudi za Google in Facebook. Kot pojasnjuje informacijska pooblaščenka Mojca Prelesnik, je glavni namen uredbe zagotoviti, da bodo dejansko za vse upravljavce, ki delujejo na območju EU, veljala enaka pravila ter za vse posameznike enake pravice. »Tveganja, povezana z obdelavo osebnih podatkov, so namreč danes bistveno drugačna zaradi sodobne tehnologije, ki dokaj poceni in širokemu krogu organizacij in posameznikov omogočajo množično obdelavo osebnih podatkov.«

Več pravic za uporabnike

Uredba med drugim podjetjem nalaga imenovanje pooblaščene osebe za varstvo podatkov, enotno varovanje teh podatkov, privoljenje strank za uporabo osebnih podatkov, pravico posameznika do popravka in pravico do pozabe podatkov ter možnost prenosa podatkov h konkurentu. Prav tako bodo dolžna poskrbeti za boljše varovanje osebnih podatkov, s katerimi razpolagajo, morebiten vdor oziroma krajo podatkov pa nadzornemu organu prijaviti v 72 urah.
Za vse to bodo morala zagotoviti dodatne kadrovske vire in morebitno nadgradnjo tehnološke opreme, kar je seveda povezano z dodatnimi stroški. To priznavajo tudi slovenska podjetja, a konkretnih številk ne razkrivajo. Po nekaterih ocenah, opravljenih v ZDA in Veliki Britaniji, pa bi lahko uveljavitev GDPR podjetja stala od milijona do 10 milijonov evrov. To je lahko še vedno manj od kazni za neupoštevanje uredbe. Nadzorni organ namreč sme kršiteljem naložiti plačilo globe, ki lahko znaša 4 odstotke skupnega letnega prometa ali do 20 milijonov evrov.

V Sloveniji bo nadzorni organ informacijski pooblaščenec. »Splošna uredba za vse te organe predvideva tako možnost odreditve popravljalnih ukrepov, predvsem z namenom odprave nepravilnosti, kot v skrajnem primeru tudi izrek glob,« pojasnjuje Prelesnikova.

Pixabay

Drastičnih sprememb ne bo

Slovenska podjetja čakajo na novi zakon o varstvu osebnih podatkov, ki pa je še v strokovnem in medresorskem usklajevanju, tako da bo v najboljšem primeru sprejet šele spomladi. Prelesnikova meni, da uredba GDPR za večino upravljavcev in obdelovalcev podatkov pri nas, ki že dosledno izvajajo veljavni zakon o varstvu osebnih podatkov in smernice informacijskega pooblaščenca, ne prinaša drastičnih sprememb, bo pa pomembno, da preverijo, ali vsa pravila izvajajo: denimo, ali morajo po novem imenovati pooblaščeno osebo za varstvo osebnih podatkov, ali so privolitve posameznikov za obdelavo osebnih podatkov ustrezne, za bolj rizične obdelave osebnih podatkov pa bo treba narediti presojo vplivov na zasebnost. Kot pravi Prelesnikova, bo dokončne odgovore na številna vprašanja mogoče dati šele po sprejetju novega zakona o varstvu osebnih podatkov, saj bo ta urejal nekatera področja, ki jih uredba GDPR prepušča v urejanje samim državam.

Večji vpliv na velika podjetja

V družbi Oracle, ki ponuja tehnologijo za varnost podatkov in podjetjem tudi svetuje glede uveljavljanja uredbe GDPR, menijo, da bodo nova pravila najbolj občutili telekomunikacijski sektor, banke, zavarovalnice, trgovci s karticami zvestobe in spletne trgovine. »Za podjetja v teh sektorjih bo to kar velika sprememba, medtem ko se za proizvodna podjetja ne bo skoraj nič spremenilo,« pravi Robert Korošec iz Oracla, kjer pričakujejo, da bo uredba imela večji vpliv na velika kot na manjša podjetja.
Pa so na te spremembe pripravljena? »Lahko rečemo, da vsa podjetja aktivno delajo na tem,« odgovarja Korošec. Kot ugotavlja, je v podjetjih, ki jih zadeva GDPR, že večina procesov digitalizirana. Uredba bo po njegovih besedah vplivala predvsem na optimizacijo in konsolidacijo procesov. »Razlika je namreč, ali imate osebne podatke v desetih različnih sistemih ali v enem ali dveh, saj je treba vsakega posebej varovati. Tudi hišo je enostavneje varovati, če imaš dvojna vrata, kakor če jih imaš 15,« ponazori. V Oraclu podjetjem v povezavi z GDPR svetujejo šifriranje in anonimizacijo podatkov: »Če se zgodi kraja podatkov, je za podjetje veliko manjše tveganje, če so podatki šifrirani, kakor če niso.«

Pravica do pozabe bo izziv

Kot rečeno, GDPR prinaša kar nekaj novih pravic uporabnikom.

Eden večjih izzivov bo pravica do pozabe, saj se celotna IT-industrija že dvajset let trudi, da ne bi izgubila podatkov, ki so v arhivih, varnostnih kopijah ...

Kot je razumeti Korošča, bo eden večjih izzivov pravica do pozabe, saj se celotna IT-industrija že dvajset let trudi, da ne bi izgubila podatkov, ki so v arhivih, varnostnih kopijah ... Drugi velik izziv bo profiliranje potrošnikov, ki ga GDPR omejuje.
Odgovori iz podjetij kažejo, da so na uveljavitev uredbe nekatera bolj pripravljena, druga manj. A čeprav Korošec pričakuje, da bodo z njo največ dela imela velika podjetja, ta zatrjujejo, da se nanjo pripravljajo, so pa z odgovori zelo skopa. Drugače je z manjšimi podjetji, ki po vsem sodeč še tavajo v temi. Iz Plinarne Maribor so nam sporočili, da na naša vprašanja še ne morejo odgovoriti, v Kibubi so se za sodelovanje zahvalili, iz družbe Kaval Group, ki ima tako kot Kibuba kartico zvestobe, pa odgovorov sploh nismo dobili.

Dodatnih zaposlitev ne bo

V Telekomu pravijo, da pri pripravi na GDPR sodelujejo s strokovnjaki z različnih področij. Ker že zdaj z osebnimi podatki ravnajo v skladu z zakonom, dodatnih zaposlitev zaradi uveljavitve uredbe ne načrtujejo. Pričakujejo pa dodatne stroške, katerih končna višina bo odvisna od smernic za uporabo uredbe in novele zakona o osebnih podatkih.

V Petrolu pojasnjujejo, da so v okviru implementacije uredbe najprej analizirali dejansko stanje, popisali temeljne zaveze in opravili prva izobraževanja, trenutno pa so v fazi implementacije zavez in nekaterih rešitev, tako v pravnem kot informacijsko-tehnološkem delu. Dodatnih zaposlitev ne predvidevajo, del obdelave bodo opravili sami, del po pogodbah. Kot pravijo, zaradi uveljavitve GDPR že nekaj mesecev nastajajo dodatni stroški dela, saj pri projektu intenzivno sodeluje večje število zaposlenih, niso pa izključeni niti dodatni stroški, povezani z morebitnim nakupom dodatne programske opreme. Pojasnjujejo še, da bodo dodatno pozornost namenili nadgradnji informacijskega sistema, ki je v fazi uvajanja pravil GDPR bistvenega pomena. »Obstaja veliko tveganje za vse gospodarske družbe, da določeno število oseb ne bo pripravljeno obnoviti privolitev po novih pravilih, po uveljavitvi GDPR pa ne bo mogoče obdelovati osebnih podatkov teh oseb na podlagi starih privolitev,« opozarjajo.

Nekatera določila težko izvedljiva

Tudi v Sparu Slovenija pritrjujejo, da bo uredba GDPR, na katero se pripravljajo, prinesla dodatne stroške, kolikšne, še ne vedo. V tej družbi za zdaj ne predvidevajo dodatnih zaposlitev, saj bodo podatke upravljali z lastnimi zmogljivostmi. In s kakšnimi težavami se srečujejo? »O tem je še prezgodaj soditi, lahko pa rečemo, da se pojavljajo nekatera teoretična vprašanja, za katera menimo, da bodo v praksi težko izvedljiva,« opozarjajo.
V NLB pravijo, da se na uredbo GDPR pripravljajo. Pri tem ne predvidevajo ne dodatnih stroškov ne zaposlitev. »Banka bo pokrivala tematiko z zaposlenimi v okviru sedanje kadrovske zasedbe. Sicer osebne podatke komitentov in zaposlenih v NLB obdelujemo z lastnimi kapacitetami in le v nekaterih primerih s pogodbenimi obdelovalci, kar je praksa že zdaj,« dodajajo.
V spletni trgovini Mimovrste, ki je del mednarodne skupine Mall Group, zatrjujejo, da usklajevanje in prilagajanje novim pravilom znotraj skupine še potekata in da bodo maja prihodnje leto nanje pripravljeni. Natančnejših odgovorov nismo dobili.