Mislav Gluščević

60 tisuća malih tvrtki u Hrvatskoj morat će se prilagoditi GDPR regulativi – doznajte kako

Nadzorne kamere snimaju prolaznike

Izvor: Unsplash

Bez obzira kojom se vrstom posla bavite, da li ste u potpunosti “digitalizirani” ili ne, bilo da je vaš posao u Hrvatskoj ili na inozemnom tržištu, ovo je tema o kojoj biste se morali informirati.

 

Naime, Europska Unija uvodi novu regulativu o sigurnosti osobnih podataka na internetu, takozvani GDPR (General Data Protection Regulation), koji na snagu stupa 25. svibnja ove godine, a koji će postaviti nove globalne standarde na području prava na uporabu osobnih podataka.

 

Ovo je jedna od najkontroverznijih EU regulativa u posljednjih nekoliko godina, koja će se ticati svih naših klijenata, te smo odlučili posebnu pažnju posvetiti upravo ovoj temi.

 

Ako ste vlasnik web shopa, ubuduće ćete svojim korisnicima morati reći koje informacije o njima imate, na koji ih način prikupljate i procesuirate, koliko dugo ih čuvate te s kime ih dijelite. Također, morate garantirati sigurnost tih podataka.

 

Svakoga dana ostavljamo bezbroj osobnih podataka na raznim uređajima, a ti podaci dalje odlaze u bezgraničan prostor kojeg zovemo cloudom. Taj cloud je, laički rečeno,  ništa drugo do neko drugo (tuđe) računalo.

 

Spekulira se da u skoroj budućnosti nitko neće moći sakriti ništa o sebi zato što će sve već biti u oblaku (čitaj: zapisano). Kako bi unijeli barem mrvu optimizma među ove retke, prema novoj regulativi vlasništvo nad osobnim podacima tretirat će se isto kao vlasništvo nad bilo kojom drugom imovinom.

 

Stoga, svaki građanin može od vas kao tvrtke tražiti informaciju o tome zašto prikupljate njihove osobne podatke, kao i zahtijevati da sve što o njima osobno posjedujete izbrišete.

 

Pitate se čemu sve to?

 

GDPR uredba je dizajnirana da omogući pojedincima kontrolu nad načinima uporabe njihovih osobnih podataka, budući da je pravo na privatnost (i privatnost podataka) osnovno pravo svakog građanina.

 

U svjetlu vremena u kojemu živimo, gdje različiti akteri prikupljaju, čuvaju, procesuiraju i na različite načine koriste i monetiziraju osobne podatke, vrijeme je za regulativu koja pojedincima daje pravo glasa kada je u pitanju uporaba njihovih podataka, a akterima koji sudjeluju u prikupljanju, čuvanju i procesuiranju tih podataka nalaže stroge standarde koji se odnose na načine prikupljanja podataka i sigurnost čuvanih podataka te njihovu uporabu.

 

Obzirom da prethodna regulativa datira iz davne 1995. godine (Data Protection Directive), njen obujam ne reflektira našu svakodnevicu neodvojivu od interneta i tehnologija kakve danas koristimo.

 

U vremenu kada se bankarenje, kupovina, plaćanje komunalnih troškova, kao i većina drugih stvari obavlja online – prijetnja zlouporabe osobnih informacija je alarmantna, krađa identiteta svakodnevna pojava, itd.

 

GDPR obvezuje vas (tvrtku) da svaki incident koji uključuje povredu privatnosti podataka, krađu podataka, itd – morate prijaviti nadležnim institucijama u roku od samo 72 sata.

 

Najavljene kazne za kršenje regulative iznose i do 20 milijuna eura, s dodatnih 5 tisuća do pola milijuna kuna za direktore poduzeća. Propisana metoda naplate je veoma okrutna. Naime, po isteku 15 dana radi se prisilna naplata preko Ministarstva financija i sve prikupljeno uplaćuje se u proračun.

Na koje osobne podatke moramo paziti?

Postavlja se pitanje koji su to podaci obuhvaćeni regulativom, a odgovor je istodobno i  jednostavan i kompliciran: bilo koja informacija koja omogućava identifikaciju osobe.

 

Konkretno, novim pravilima općenito je pooštrena definicija osobnih podataka, pa su to sada podaci o vašoj fizičkoj lokaciji (gdje se nalazite), online identifikatori poput IP adrese i IMEI broja mobilnog telefona, zdravstvene i informacije o vašoj genetici, biometrijski podaci, podaci o rasi i etničkoj pripadnosti, političkim stavovima, seksualnoj orijentaciji.

 

Za poduzeća to znači da će sve ove podatke morati preispitati i provesti detaljnu reviziju kako bi utvrdili koje podatke zapravo posjeduju i da li oni spadaju u regulativom zaštićene osobne podatke.

 

Ovdje u Avalonu tome smo pristupili vrlo ozbiljno i sada smo pred dovršetkom cijelog tog procesa, o čemu ćemo pravovremeno obavijestiti sve naše korisnike.

 

Šifrirani podaci također mogu biti predmet GDPR pravila, u ovisnosti o tome koliko je lako ili teško identificirati kome pripadaju.

Povećano korištenje cloudea kao rezultat GDPR-a i što to znači za tržište?

16% poduzeća u Hrvatskoj već koristi cloud tehnologiju i time spadamo u top 10 zemalja u EU po korištenju clouda. GDPR će dodatno pomaknuti ovu statistiku i potaknuti poduzeća na prijelaz “u oblak”.

 

Velike su kompanije u Hrvatskoj spremno dočekale novu GDPR uredbu, formirale su specijalne timove koji se bave prilagodbom regulative, i može se reći da financijski i IT sektor prednjače u pripremi za novi GDPR.

 

Banke, IT tvrtke i ostali modernizirani sudionici koji već imaju iskustva u korištenju novih tehnologija dočekuju uredbu spremni, što se ne može reći za ostale korisnike, čak i one u javnom i državnom sektoru.

Male tvrtke u problemima

Ogroman je problem usklađenost poslovanja GDPR-u za male tvrtke, pogotovo ako posjeduju poslovni softver instaliran na svojoj lokaciji, jer će sva podešavanja i prilagodbe vjerojatno biti osuđene raditi samostalno i pojedinačno.

 

Malo tko od njih, na žalost, može sebi priuštiti tisuće eura za, u posljednje vrijeme sveprisutne konzultante za prilagodbu GDPR-u.

 

Nešto je bolja situacija ukoliko tvrtka ima “nečiji” softver.

 

Microsoft će, recimo, svim svojim korisnicima koji koriste Office, ERP i CRM u cloudu omogućiti automatsko usklađivanje, no svi znamo da je takvih tvrtki u Hrvatskoj malo, uzimajući u obzir ukupan broj tvrtki.

 

Prema grubim procjenama, u Hrvatskoj ima barem 60 tisuća tvrtki koje će morati primijeniti GDPR regulativu.

 

Uz GDPR, prijelazu na cloud doprinijet će još jedna regulativa. U pitanju je PSD2, odnosno Direktiva o platnim uslugama 2 (Payment Service Direktive 2 PSD2) koja govori o otvaranju bankarskih IT sustava prema partnerima i konkurenciji putem interneta. Ona je zapravo već važeća, no operativna će biti tek u rujnu 2019.

 

Za ovakve tvrtke, cloud će biti jedina opcija.

 

Globalni / veliki igrači

GDPR će globalno pogoditi sve velike svjetske igrače, uključujući i veliku američku petorku: Amazon, Apple, Google, Facebook i Microsoft. Praktično će im biti oduzet monopol koji su do sada imali nad korisničkim podacima osoba iz EU, tj. opisom privatnih života koje je recimo Facebook skupljao o korisnicima putem svoje mreže i na osnovu njih izgradio biznis.

 

Jeste li ikada pomislili da vas Facebook ili Google prisluškuju? Držite svoj mobitel i razgovarate s prijateljima o nekoj temi, na primjer o ljetovanju u Zadru, a sljedećeg vam se jutra počnu prikazivati oglasi na Facebooku i Googleu koji nude ljetovanja baš u Zadru.

 

Upravo se o tome ovdje radi. Prvo što u ovom trenutku pomislite je: Facebook me špijunira i koristi moj mikrofon za to. Ovo zapravo nije realno, iako skandal koji je nedavo potresao Facebook ukazuje na potreban oprez s našim podacima.

 

Za razliku od Facebooka, Google pak ima dozvolu koristiti vaš glas preko mobitela, no opet – samo ukoliko mu vi to dozvolite. Ako koristite servise za glasovnu pretragu poput “OK Google”, svi vaši glasovni unosi čuvat će se u Voice & Audio Activity tabu vašeg Google računa.

Slika zaslona OK Google usluge za pretragu glasovnih zapisa

Google sučelje za pretragu glasovnih zapisa

 

Stvar je u tome da se u nekim cloudovima na internetu skladišti gomila osobnih podataka. Te podatke smo mogli ostaviti bilo gdje i bilo kada na internetu; velike tvrtke jednostavno kupuju te baze podataka, usklađuju ih s našim korisničkim računima na njihovim platformama i serviraju nam personalizirane oglase.

 

Dobra stvar u svemu ovome je – nitko vas ne prisluškuje. Loša stvar? I dalje znaju sve o vama.

 

Primjerice, mogu znati vašu povijest kupovine kreditnom karticom, koju glazbu slušate, koje serije gledate, šta googleate u tami svoje sobe, na kojim ste sve lokacijama boravili dok vam je na mobitelu uključen location tracking, kakve aplikacije skidate na svoj uređaj, itd. Lista je beskonačna.

 

Facebook je stoga, čim je regulativa najavljena 2016. godine, ubrzano izgradio 3 data centra u EU, a do tada nije imao niti jedan. Slične poteze rade i druge kompanije iz velike petorke i druge velike kompanije koje će značajno morati prilagoditi svoje poslovanje, jer, bez obzira što su službeno te tvrtke smještene u SAD-u, dok god raspolažu osobnim podacima EU građana ova ih regulativa pogađa i obvezuje.

 

EU očekuje da će GDPR vratiti povjerenje građana u online servise, budući da smo sve zabrinutiji kada su naši osobni podaci u pitanju, a povjerenje je ključ svake monetizacije,  pa tako i u digitalnoj ekonomiji.

Izvor: Unbounce / Daria Shevtsova

Navodi se da je drastična promjena bila neophodna, imajući u vidu ogromne pomake u načinu obrade informacija uslijed velikog rasta digitalne ekonomije. Sada je sve puno kompleksnije nego 90-ih kada je Yahoo bio trend na internetu i kada su cookies bili samo ukusni mali keksići.

 

E-mail marketing i web stranice

Ako koristite e-mail marketing, GDPR se odnosi i na vas, prije svega u pogledu suglasnosti koju morate imati od svakog pojedinačnog pretplatnika u vašoj bazi.

 

GDPR vas obvezuje da ta suglasnost bude eksplicitno dobivena i korisniku mora biti jasno kako ćete te podatke koristiti kada tu suglasnost dobijete.

 

Ovo u praksi znači da ćete morati imati GDPR-friendly kontakt formu, pomoću koje ćete dobiti i dokumentirati korisničku suglasnost. Morat ćete korisniku omogućiti da izabere za što će se točno njegova e-mail adresa koristiti. Tako će korisnik moći označiti da li želi primati od vas emailove promotivnog karaktera ili će se njegova e-mail adresa koristiti u svrhe ciljanog oglašavanja itd.

 

Prvo što trebate uraditi jest revizija osobnih podataka koje prikupljate.

 

Zapitajte se:

  • U koju svrhu/svrhe koristimo ove podatke?
  • Gdje ih čuvamo i da li su oni sigurni?
  • Da li nam i dalje trebaju?

 

Također, provjerite i sve druge tvrtke koje možda koriste ove podatke i da li je njihovo postupanje usklađeno sa GDPR-om. Ne zaboravite, svaki osobni podatak koji imate znači da oko njega imate i obaveze, zato se uvjerite da čuvate samo one podatke koji su vam zaista potrebni.

 

Dobra vijest u ovom brdu novih standarda i obaveza je: Od sada će kontakti koje imate biti one osobe koje su doista zainteresirane za ono što imate ponuditi – što bi moglo otvoriti nove mogućnosti za bolju konverziju, povećani broj clickova i samim time i interakciju. Tako da manje ne znači uvijek manje.

 

Ukoliko imate e-commerce web stranicu, i primjerice korisnik od vas nešto naruči, dalje ćete moći plasirati remarketing reklame tom korisniku samo ukoliko se on s tim eksplicitno složio.

 

Recimo da ste HR tvrtka i kandidat vam aplicira za jedan posao. Više nećete moći istom tom kandidatu slati slične ponude poslova ako ne posjedujete njegovu dozvolu za to.

 

Stoga će vaš web site morati pretrpjeti određene izmjene, prije svega kontakt forme i cookies postavke, ali ne samo to. Dakle, ukoliko već niste, kontaktirajte vašeg web developera kako bi preispitali i prilagodili politiku privatnosti koje koristite.

 

Isto tako, svaki plug-in koji je instaliran na vašem web siteu mora biti GDPR friendly. Vi ste kao vlasnik weba odgovorni za to da svaki plug-in može dostaviti na uvid, izvesti ili obrisati prikupljene osobne podatke korisnika.

 

Ovo bi moglo značajno zakomplicirati funkcioniranje nekih od najpopularnijih WordPress plugin-ova. Recimo, rješenja poput Gravity Formsa ili Jetpacka koriste puno modula koji prirodno prikupljaju podatke korisnika. Svaki vlasnik (developer) plugin-a mora uspostaviti protok informacija o osobnim podacima i informirati korisnike o njihovoj obradi.

 

Mobilne aplikacije

Svakome od nas dogodilo da skidamo neku aplikaciju za mobitel i kada dođemo do dijela koji traži ’dozvolu pristupa’  – odustanemo. Zašto bi aplikacija za baterijsku lampu, na primjer, imala pristup našoj lokaciji, kalendaru, kontaktima, galeriji fotografija? Apsurdno, zar ne?

 

Pri tome, prema studiji Future of Privacy Foruma iz 2016. godine 24%  vodećih svjetskih aplikacija nema politiku privatnosti, što znači da su savršene za prikupljanje osobnih informacija i da nadalje mogu raspolagati njima kako žele.

 

Zato, u svjetlu nove GDPR uredbe, posebnu pažnju treba posvetiti na podatke koje prikupljate posredstvom mobilnih aplikacija. Prikupljajte samo podatke koje možete koristiti za vaš biznis, obavijestite korisnike o tome koje podatke prikupljate i u koje svrhe, predočite im načine na koje će njihove informacije biti zaštićene i sve će biti u najboljem redu.

 

Ona stara ’od viška glava ne boli’ ovdje se ne da primijeniti 🙂

Pretraži arhivu članaka