GDPR bi mogao ugroziti poslovanje mnogobrojnih tvrtki, a prema anketama, dosta vlasnika i dioničara ozbiljno se brinu o potencijalnom negativnom utjecaju koji bi zakon mogao imati na njih.
Rokovi su kratki, a količina promjena koje ćete morati uvesti mogla bi biti prilično velika. Zato vjerujemo da je najbolje odmah početi s prilagodbom.
GDPR: Rokovi
GDPR na snagu stupa 25. svibnja 2018. Do tada sve se tvrtke i organizacije moraju u potpunosti uskladiti s odredbama GDPR-a, i to bez iznimke. Može se reći da je razdoblje prilagodbe zapravo već na isteku, jer je sam zakon prihvaćen 27. travnja 2016.
Tvrtke su, dakle, imale nešto preko dvije godine za prilagodbu, no to je tako samo u teoriji jer dosta stvari koje su obavezne nisu do kraja bile razrađene, a neke nisu ni dan danas. Ono što jest prilično dobro razrađeno, s druge strane, su kazne koje mogu biti ogromne.
Nepoznanice
Nedavne su ankete pokazale da i do 20 % poduzeća smatra da bi GDPR mogao biti uzrokom njihova gašenja. Preko 86 % smatra da bi GDPR mogao imati negativan utjecaj na njihovo poslovanje. Zanimljivo, više tvrtki izvan EU-a protivi se GDPR-u.
To je zato što se GDPR primjenjuje i van EU-a. Unutar EU-a tvrtke su ipak u nekoj mjeri navikle na stroge propise o privatnosti ili barem imaju nekakvu razinu znanja o tome; dok tvrtke izvan EU-a često jednostavno ne znaju kako započeti. Naime, GDPR se primjenjuje i na tvrtke izvan EU-a koje posluju s EU-om ili nude usluge EU građanima. Takve bi tvrtke mogle dobiti goleme kazne i to bez da su toga svjesne.
Propis koji šokira
Anketirana su poduzeća donekle i u pravu. GDPR, tj. nepridržavanje istoga, vrlo bi lako mogao otjerati mnoge tvrtke u stečaj. Problem (uvjetno rečeno) s GDPR-om jest njegov globalni doseg: prije nego se uopće počnete usklađivati s GDPR-om, najpametnije je utvrditi tiče li vas se on uopće. Ako iole poslujete s EU-om, jasno je da se morate početi pripremati što je prije moguće.
Poduzeća su zabrinuta oko politika zadržavanja podataka – koliko dugo smiju pohranjivati podatke i kad ih trebaju obrisati. Također postoji određeni strah da su njihove metode rukovanja podacima neadekvatne.
Zato je potrebno implementirati politike integrirane zaštite privatnosti (privacy by design), provoditi procjene učinka na zaštitu podataka i u svakome trenutku uvažavati prava pojedinaca na zabranu obrade i brisanje podataka.
‘Da sam se bar uskladio s GDPR-om!’
Kazne
Moguće kazne su ogromne, a dolaze u dva razreda. Niži je razred rezerviran za manje prekršaje, dok se viši razred tiče ozbiljnih povreda sigurnosti podataka. Za prekršaje nižeg razreda izriču se kazne do 10 milijuna eura odnosno do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće, dok se za teže prekršaje kazna može udvostručiti. U teoriji, velike tvrtke s milijardama eura prometa mogle bi biti kažnjene sa stotinama milijuna eura zahvaljujući mogućnosti izricanja kazne u postotnom iznosu.
U čl. 83 navode se prekršaji za koje možete biti kažnjeni. U nižem su razredu prekršaji poput
- Nepridržavanja odgovarajućih sigurnosnih mjera
- Kasne prijave povrede podataka
- Propusta u vođenju evidencije
- Neimenovanja službenika za zaštitu podataka
- Nedobivanja privole za obradu podataka djece
- Manjak suradnje s nadzornim tijelima
Ozbiljniji prekršaji sa sobom nose i veće kazne. To su:
- Teško kršenje osnovnih načela obrade podataka i dobivanja privole (prema čl. 5)
- Kršenje prethodno donesene regulatorne mjere
- Nepropisno iznošenje podataka u treće zemlje
Ima i dobrih vijesti. Kako je britansko nadzorno tijelo, ICO, dalo naslutiti, prvim prekršiteljima vjerojatno će se izricati upozorenje, naravno ako riješe sporna pitanja. Taj bi mehanizam regulatorne intervencije u načelu trebao tvrtkama omogućiti da same riješe probleme nakon upozorenja regulatora, a prije poduzimanja oštrijih mjera. Bilo kako bilo, neka su nedavna istraživanja pokazala da bi kazne bile znatno veće da je GDPR na snazi.
Regulatori (nadzorna tijela) prilikom određivanja količine kazne uzet će u obzir razne olakotne i otegotne okolnosti, poput pravovremene prijave i suradnje.
Što mogu učiniti u ovome trenutku?
Najbolja stvar koju možete učiniti jest da se počnete pripremati ako već niste, a prema potrebi i da potražite stručnjake koji vam u tome mogu pomoći. Ipak, postoji nekoliko stvari koje možete napraviti i sami.
Ako na redovnoj bazi obrađujete osobne podatke potreban vam je službenik za zaštitu podataka. Čak i ako niste obvezni imenovati službenika, isplati se zaposliti ga barem na pola radnog vremena ili tražiti pomoć poduzeća koja se time bave. To je isplativo jer vam službenici za zaštitu podataka mogu pružiti svu silu podataka i uštedjeti vam novac koji biste vjerojatno potrošili na kazne.
Savjetujemo vam da potom regulirate obrasce za privolu. Premda tehnički to još nije potrebno za trenutne klijente, svakako se preporučuje. Uvjeti za dobivanje privole znatno su postroženi i trebali biste osigurati da je privola izričita i dobrovoljna prije nego što počnete s obradom podataka.
Uvijek prijavite svaku povredu podataka do koje dođe i steknite naviku vođenja evidencije i sortiranja svih podataka koje dobijete od klijenata. Time ćete si olakšati odgovaranje na njihove zahtjeve za ostvarivanje prava (što vam je i zakonska obaveza).
Sve te mjere od vas traže određena financijska ulaganja, no u svakom se slučaju više isplate od plaćanja ogromnih kazni had GDPR stupi na snagu. Puno se bolje pripremiti na vrijeme kako ne biste ugrozili vašu tvrtku.
