GDPR iz druge perspektive

Svi su se vjerovatno naslušali o nekakvom GDPR. I sam sam takav. Ali nigdje nisam ništa čuo zaista konkretno, donedavno. Sve što imamo na “tržištu” je, plati pa se klati ili ako hoćeš da znaš šta je to GDPR moraš doći kod nas, platiti, pa ćemo ti onda mi ispričati.

Za čitanje ovog članka ne trebate platiti ništa. Sve što vam treba je par minuta i dobra volja.

GDPR je skraćenica od General Data Protection Regulation ili ti na bosanskom da nas svi razumiju: Opšta regulacija za zaštitu podataka, upostavljena 2016. ali je u obaveznoj primjeni od 2018.

E sad, neko će odmah pitati, ali gdje je u obaveznoj primjeni? Ko je obavezan da je primijeni i slično. Sva ta pitanja su itekako opravdana. Kao što spomenusmo na početku, mnogi hoće da uzmu pare za nekoliko rečenica oko toga. No, zavalite se u fotelju i čitajte dalje.

Mnogo je načina za pristup ličnim podacima. Službenici u opštini, banci, bolnici, u finasijskoj službi neke firme, u službi za upravljanjem ljudskim resursima, programeri koji na kraju krajeva prave softvere za sve naprijed nabrojane službe itd, itd. Cijela ova frka oko zaštite podataka je podignuta na jedan viši nivo zbog jednog jedinog razloga — novac. Oduvijek su postojali nekakvi zakoni, regulacije, pravilnici za zaštitu ličnih podataka, ali su kazne bile relativno male. Prema novoj regulativi kazne mogu da idu i do 10 miliona EUR-a, čak i više, do 2% od godišnje zarade firme! Ako znamo da velike firme godišnju zaradu mjere u milijardama prostom matematikom se dolazi do zaključka da kazne mogu biti veoma veoma velike. Svakako tu su i zatvorske kazne.

Ova nova regulacija naređuje između ostalog i firmama da imaju obaveznu obuku za svoje zaposlenike, a što su firme svakako rado prihvatile. Ta obavezna obuka zaposlenika ustvari kasnije skida donekle odgovornost s firme u slučaju neke zloupotrebe. To je vjerovatno glavni razlog zašto su firme rado prihvatile da obuče svoje radnike o tome šta je to GDPR (ma koliko ta obuka koštala). U pravilu, obuke su kratke i sažete. Ne traje to više od jednog sata skupa s pitanjima zaposlenika ka predavaču.

Regulacija također obavezuje sve zemlje Evrope (ili EU?) na primjenu GDPR-a. Neka zemlja se može odlučiti na striktnija pravila, ali nikako manje od onoga što propisuje GDPR. Što će reći, da ako neko ima server u SAD-u i njegovi klijenti nemaju dodira sa EU, šta ga briga za ovu regulaciju. Švicarska, koja nije u EU, primijenila je GDPR i uvela još i dodatna pravila. Tako je, praktično, regulacija za zaštitu podataka u Švicarskoj mnogo strožija od ove iz EU.

Za javnost je, možda, najvažnija stavka, kada i kako će privatni podaci o njima biti izbrisani iz određenih registara. Ako neka firma kaže, ali mi ne brišemo podatke ili naš odgovor na to je “NIKADA” to je veoma pogrešan odgovor! Podaci se jednom MORAJU obrisati. Da li će to biti automatski, ručno, poluautomatski, nebitno je. Ali taj trenutak se jednostavno MORA dogoditi. Podaci se ne mogu i ne smiju čuvati zauvijek.

E sada će neko postaviti vjerovatno, potpuno opravdano, pitanje: A koje podatke moramo obrisati? Možemo li nešto ipak sačuvati? Ok, vidjećemo u nastavku.

GDPR kada govori o podacima, on uvijek govori o podacima neke stvarne osobe, a ne o podacima firme, neke mašine i slično. Ali, šta čini privatne podatke stvarne osobe? To je svaki mogući podatak s kojim je moguće povezati podatak i stvarnu osobu. Pa tako, to može naravno biti ime i prezime, može biti JMBG, može biti broj telefona, email adresa, kućna adresa, može čak biti i neki apstraktni podatak kao npr. prvi gradonačelnik nekog grada. Može biti i registarska tablica automobila također, jer preko nje se može naći ko je vlasnik. Zato, ako se sjetimo, na google maps — street view, registarske tablice automobila su zatamljene. Ako se ima online prodavnica, svaki kupac ima svoj jedinstveni broj — customer number. Taj broj je također nešto što vodi do stvarne osobe!

Sada se dolazi do prostog zaključka da je ovo jedna veoma ozbiljna stvar. Ozbiljna je iz mnogo uglova. Na primjeru, gore spomenute, online prodavnice, valja vlasniku prodavnice dobro paziti da neko ne bi pokupio jedinstvene brojeve kupaca! Prikupljanje tih brojeva (od strane trećih lica) ili nedaj Bože prodavanje (fejsbuk?, gugl?) predstavlja direktno kršenje regulacije!

Podaci se nekada jednostavno MORAJU dostaviti trećim institucijama. Nekada to ne mora nužno biti vladina institucija (porezna služba, zdravstvo, penziono, službe koje vode evidenciju o broju umrlih, rođenih, …) nego npr u zemljama Zapadne Evrope ka Crkvi, zbog crkvenog poreza. Ovo sada možda izgleda kao da je u suprotnosti sa spomenutim iznad, ali, naravno, uvijek postoje izuzeci, koji su pak, veoma jasno definisani.

Čuvanje podataka nije samo čuvanje u arhivama (serverima), nego i u svakodnevnoj komunikaciji. Na primjer: Ako zvoni telefon od kolege koji je trenutno na bolovanju i vi se javite, nećete reći da kolega trenutno nije tu jer je na bolovanju. To će biti na mnogo uljudniji način: Žao mi je, kolega trenutno nije tu (bez ikakvog spomena gdje je, kada će doći, zašto nije tu i slično), da li biste mogli da nazovete drugi put? Možda slijedeće sedmice ako vam to nije kasno?

Ovakav jedan način čuvanja ličnih, privatnih, podataka o svakome od nas je u Bosni nešto o čemu će svako vjerovatno reći da se nikada neće implementirati. To jeste veoma žalosno, ali se s tim ne bih složio. Biće to, prije ili poslije. Vjerovatno poslije, ali će biti! Kod nas je nerijedak slučaj da najstarija kćerka od komšinice Ifete radi u banci, i Ifeta odjenom zna kolika je u svakoga u komšiluku plata, penzija, invalidnina. Kad u koga kasni plata. Ko ima koliko kredita i slično.

Dok s druge strane to možemo prikazati na još jednom primjeru. Recimo da zaposlenik treba slobodan dan, ili da želi jedan dan raditi od kuće (ako firma to dozvoljava). Zaposlenik će pitati za dozvolu, bez ikakvog objašnjenja zašto mu taj dan treba! Mnogima od nas je to skoro pa nezamislivo, ali šta bilo koga treba da interesuje zašto nekome treba slobodan dan?! Da li je to zbog bolesnog djeteta možda ili zato što će doći neki majstor da popravi veš mašinu, ili bilo koji drugi razlog koji vam u ovom trenutku može pasti na pamet, apsolutno je nebitno! Ne samo da je nebitno, nego firmu, rukovodioca kojeg će zaposlenik pitati takva stvar ne treba da interesuje nikako.

GDPR je zadao ogromne glavobolje softverskim firmama koje se bave razvojem softvera za izradu i čuvanje sigurnosnih kopija (backup solutions). Posebno je ovo interesantno za softverska rješenja koja prave sigurnosne kopije nasljeđivanjem (incremental backup). GDPR kako smo naprijed spomenuli zahtijeva brisanje podataka, a to znači da podaci moraju biti izbrisani i iz svake moguće sigurnosne kopije koja postoji!

Danas je jako mnogo radnih mjesta vezano za računar. Svaki korisnik prema GDPR MORA imati vlastiti korisnički račun na računaru! Kršenje GDPR-a je također i ako se ostavi otključan računar dok se ode do kolege, po kafu, u wc i slično. Kršenje (srećom ne ozbiljno kršenje, ali je svakako kršenje) GDPR-a je i ako se priključi pametofon preko USB kabla na službeni računar kako bi se napunila baterija. Treba li ovdje spomenuti da se pristupni podaci (šifra na prvom mjestu) ne smiju dijeliti ni s kim? Ni sa šefom, ni sa sistemskim administratorom koji vam želi pomoći oko problema koji trenutno imate!

Ako pak zaposlenik koristi službeni telefon ili tablet i ako ima par privatnih brojeva sačuvanih na tom uređaju, to i nije tako strašno. Ali, sinhronizacija privatnog emaila je veoma ozbilja stvar!

Instalacija programa, bez obzira što ih kući koristite već godinama ili na privatnim pametnim uređajima, na službenim uređajima (PC, laptop, mobitel) je strogo zabranjena.

Ako se neko nakon svega ovoga još uvijek pita, ali ne odgovori ti nama nigdje koji podaci, kako i zašto se brišu, upravu je. Svi podaci s kojima je moguće pronaći stvarnu osobu moraju biti uklonjeni, dok se drugi mogu čuvati zbog raznih statistika, drugih vrsta obrade podataka i slično. Tako recimo u slučaju gore spomenute online prodavnice, ako je aplikacija takvog oblika, dovoljno je izbrisati, ime, prezime, broj telefona, email, i slične privatne podatke iz tabele/a u kojima se ti podaci čuvaju, a sve ostalo da se sačuva. Koliko čega je kupljeno, kada je kupljeno, na koji način je plaćeno i slično sve to se može čuvati, ali bez ikakve mogućnosti da se to ikada na bilo koji način može saznati ko je to uradio.

0

Hits: 9