Sva dešavanja koja su obeležila ovu godinu, ukazuju da je upravo 2020. godina bila vrlo burna i uzbudljiva za privatnost podataka (posebno kada je CCPA stupio na snagu 1. januara 2020.).
DONOŠENJE PROPISA
Stupanjem na snagu GDPR regulative, obeležena je nova era privatnosti podataka, a nama kao subjektima podataka dato je pravo zaštite, čime je GDPR poslužio kao odskočna daska da druge države preispitaju svoje propise i zakone koji se tiču privatnosti podataka u nastojanju da stvore jedan kohezivan nacionalni zakon o upravljanju bezbednosti i privatnosti.
Primenom GDPR-a, Evropska unija je pokazala kako se može stvoriti okvir u kojem organizacije mogu preuzeti odgovornost nad obradom ličnih podatka. Put ka kompletnoj relaizaciji je još dug, ali uticaj GDPR-a na druge zakonodavne sisteme i te kako postoji, što se ogleda u donošenju i primeni institucionalnih okvira u datoj oblasti.
Gorućim pitanjima u vezi sa privatnošću podataka doprinela su brojna kršenja istih i brojna sajber pitanja kojima smo bili svedoci u protekloj godini.
Ko se još pidružuje „taboru“ za zaštitu ličnih podataka?
- CCPA – Kalifornisjki akt za zaštitu privatnosti potrošača
Kao što smo već pomenuli, sa 2020-tom. godinom kalifornijski Zakon o privatnosti potrošača stupa u potpunosti na snagu. Inspirisan GDPR-om, CCPA je prvi američki zakon o privatnosti sličnog sadržaja i obima (imajući u vidu da je Kalifornija peta ekonomija na svetu). CCPA će stvoriti nove obaveze za preduzeća u Kaliforniji i osnažiti građane da imaju veću kontrolu nad svojim podacima. Stalno promenljive potrebe za novim načinima zaštite potrošača ogledaju se u novom talasu inicijativa za zaštitu podataka, a CCPA je jedna od prvih koja se pozabavila tim problemima.
- DPB – Indijski račun za zaštitu ličnih podataka
Daleko od Evropske unije, Indija priprema svoj račun o zaštiti podataka uspostavljen za kontrolu obrade ličnih podataka stanovnika Indije. Nema sumnje, indijski Predlog zakona o zaštiti ličnih podataka uticaće na globalnu ekonomiju (s obzirom da se očekuje da će indijska ekonomija dostići procenu od 1 bilion dolara do 2022. godine) i uticaće na način na koji će kompanije poslovati u Indiji.
Kako će izgledati Indijski zakon za zaštitu ličnih podataka?
Harvard Business Reviev je objasnio:
Izgleda da će indijska vlada doneti zakon o Zakonu o zaštiti ličnih podataka (DPB), koji će kontrolisati prikupljanje, obradu, skladištenje, upotrebu, prenos, zaštitu i otkrivanje ličnih podataka stanovnika Indije. Uprkos svojoj regionalnoj prirodi, DPB je važan razvoj za globalne menadžere.
- LGPD – brazilski opšti zakon o zaštiti podataka
Datum stupanja na snagu LGPD (Lei Geral de Protecao de Dados Pessoais) je 15. avgust 2020.
LGPD je namenjen zaštiti ličnih podataka 140 miliona korisnika Interneta. Cookiebot navodi da je Brazil „najveće internet tržište u Latinskoj Americi i četvrto najveće internet tržište na svetu po broju korisnika Interneta“.
Kada ste videli ovu pozamašnu brojku, sigurno se pitate zašto Brazil još uvek nije ništa preduzeo u vezi sa zaštitom podataka? Naime, postoji više od 40 zakona koji se bave tim pitanjem za različite segmente ili industrije. Međutim, LGPD ima za cilj da zameni te zakonodavne fragmente i stvori jedinstveni zakon.
I azijske inicijative za privatnost podataka takođe rapidno nadolaze. Treba pomenuti još inicijativa, ali shvatate li, opšti trend je ka stvaranju zakona koji će korisnicima (fizičkim licima) pružiti određenu količinu kontrole nad njihovim ličnim podacima.
Prema Gartneru: „… do 2022. godine polovina stanovništva naše planete imaće svoje lične podatke u skladu sa lokalnim propisima o privatnosti u skladu sa GDPR-om.“
„GROBLJE“ PODATAKA I NOVI STANDARDI PRIVATNOSTI
Data Graveyard – tzv Groblje podataka, postala je nova modna reč i dobila na značaju jer daje autetntičan i verododstojan prikaz (državnih) preduzeća u kojima govorimo o količini i kvalitetu podataka koji se čuvaju na serverima kompanija. Pre svega, opisuje spremišta neiskorišćenih podataka koje kompanije prikupljaju u ogromnim količinama, što ozbiljno ugrožava upotrebu baze podataka i postaje sve veći problem i finansijski teret za te kompanije koje, često, nisu svesne svog problema, prekršaja i rizika koji nastaje.
***Iako GDPR propagira politike zadržavanja i uklanjanja podataka, videli smo da su kompanije u praksi retko na željenom nivou zrelosti sa svojim programima privatnosti.
Novčana kazna od 14,5 miliona EUR nedavno izrečena nemačkoj firmi zbog nezakonskog zadržavanja podataka, samo potvrđuje ovu problematiku.
U 2020. godini očekuje se da kompanije podignu svest o tome kako obrađuju, čuvaju, upravljaju i obezbeđuju svoje podatke, lansirajući zakonodavne postupke da se više usredsrede na stvaranje kvaliteta podataka i industrijskih standarda upravljanja tim podacima.
NOVE ULOGE I PROMENE ODGOVORNOSTI
Kada govorimo o odgovornostima vezanim za GDPR, verujemo da će trend privatnosti podataka u 2020. godini uključiti promenu odgovornosti u cilju adekvatnog usklađivanja u okviru organizacije.
Sve više i više kompanija shvatiće ulogu DPO (stručnjaka za zaštitu podataka) podrške i značaj treninga i edukacije ka samostalnom upravljanju, nadgledanju i sprovođenju zakonske regulative i politike zaštite podataka.
DPO bi takođe trebalo da ima više ovlašćenja da istražuje procese u organizaciji, više slobode u načinu na koji vodi svoje odeljenje i svoje odgovornosti, upravlja sopstvenim budžetom i izveštava direktno najvišem rukovodstvu. Ovo će se razvijati ruku pod ruku sa opštom svešću o važnosti privatnosti podataka u organizaciji, pri čemu će doći do razvoja i u sektoru marketinga, ljudskim resursima, IT sektoru i drugim relevantnim stubovima organizacije koji će svojm svešću o značaju zaštite podataka ojačati i poslovanje.
Međutim, ovo će takođe nesumnjivo stvoriti nove uloge u organizaciji i nove saveze koji se formiraju između postojećih uloga koje sada imaju samo dodirne tačke, ali ne i zajedničke odgovornosti.
U svom izveštaju PrivSec je izjavio: „CDO i CISO nalaze zajednički jezik: Dobri upravitelji podataka udružuju snage. Kako eskaliraju zahtevi za sigurnošću podataka, privatnost i usklađenost ličnih podataka, tako će rasti i mogućnosti za glavne direktore za podatke (CDO) da se udruže sa glavnim menadžerima za bezbednost podataka (CISO). Kompanije bi trebalo da podstaknu ove dve zainteresovane strane da pronađu zajednički jezik, usklade se sa prioritetima i izgrade preporuke zasnovane na vrednosti kako bi se osiguralo da finansijski direktori koji se fokusiraju na budžet zapravo žele važne projekte. “
VIŠE KAZNI – VIŠE SVESTI
Nažalost, ustaljena praksa je da postoji pretnja kaznom i realizacija iste kao nužan reper preduzimanja mera koje bi se inače po deafultu trebale preduzeti bez postojanja instituta kazne.
Nisu svi nadzorni organi radili istom brzinom u 2019. godini. Neke vlasti se tek bude, neke od njih, poput francuskog buldoga CNIL i nemačkog BfDI, bile su dovoljno drske da izdaju višemilionske GDPR kazne. Ukupno 150 GDPR kazni, a najveća kazna je 50.000.000 EUR koju je dobio Google.
Novčane kazne po BDP-u
Vreme igranja mačke i miša u ovoj godini polako, ali sigurno nestaje. U 2020. godini mnogi nadzorni organi reagovali su agresivno i propulzivno kada je u pitanju kažnjavanje za nepoštovanje GDPR regulative. Ako su i evropske vlasti bile pomalo „sramežljive“ u poslednjih godinu dana, tek će se videti kakav će stav imati drugi nadzorni organi (Kalifornija, CCPA).
GDPR novčane kazne, rizici u pogledu privatnosti i reputaciona šteta su nešto što rukovodstvo na izvršnom nivou konačno treba da razume. Brojevi će govoriti u korist DPO-a, koji će skrenuti pažnju najvišeg rukovodstva i pronaći izdašniji budžet za angažovanje ili imenovanje DPO-a.
TRANSPARENTNOST KAO KLJUČ USPEŠNOG POSLOVANJA
Ne možemo dovoljno naglasiti koliko je transparentnost važna za organizacije i za korinsike usluga/potrošače.
U 2020. godini poverenje ne sme biti „dodatak“ poslu, već MORA biti stub na kome će se temeljiti posao. Prema istraživanju Salesforce-a „Kupci su izjavili da bi bili spremniji da veruju kompanijama koje su dale kontrolu nad prikupljenim informacijama, transparentne su u načinu na koji ih koriste, imaju jaku politiku privatnosti ili traže izričitu saglasnost.“ Dakle usaglašavanje sa GDPR/ ZZPL povećava kredibilitet i reputaciju.
Odnos potrošača prema privatnosti i transparentno ponašanje biće ono što će pokrenuti kompanije da više pažnje posvete tim pitanjima.
UPRAVLJANJE RIZIKOM TREĆE STRANE
Veliki fokus u 2020. godini je na upravljanju rizicima nezavisnih proizvođača, proceni rizika i zahtevima dobavljača, dobavljača i partnera kako bi se pokazalo da pstoji usaglašenost..
GDPR je produbio postojeće obaveze koje zahtevaju ugovornu zaštitu sa obrađivačima podataka i podobrađivačima, odgovarajuću zaštitu podataka i dokaze o usklađenosti.
To znači da će organizacije morati da ulože više napora u proveru trećih strana sa kojima rade, štiteći se od potencijalnih rizika kroz procenu i sporazume nezavisnih partnera.
