Veliki teret za kontrolore podataka

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

GDPR se usredotočuje na odgovornost dionika. Za razliku od direktive iz 1995. (prvog važnog europskog teksta o zaštiti podataka), ne zahtijeva prethodno odobrenje ili izjavu. To je pametan potez njezinih autora: nedostatak prethodne kontrole pomaže u tome da napori potrebni za usklađivanje s novim pravilima budu prihvatljivi.

Kao što smo vidjeli, GDPR u svakoj strukturi identificira "kontrolora podataka" koji mora biti odgovoran za osiguravanje potrebne usklađenosti, a zatim i za osiguravanje pravilnog funkcioniranja obrade podataka. Zadaci ovog kontrolora su zahtjevni: ne samo da moraju provesti odgovarajuće mjere, već moraju biti u mogućnosti i "dokazati" da se obrada provodi u skladu s uredbom (čl. 24-1). To nije obveza, ali pozivanje na kodeks ponašanja (čl. 40) ili certifikaciju (čl. 42) koju zagovaraju nadzorna tijela može olakšati potrebno dokazivanje.

Vodeće načelo kontrolora je jednostavno: koristiti osobne podatke što je manje moguće. Članak 25. stoga preporučuje "pseudonimizaciju" i "minimizaciju", već spomenute gore. Dodaje načelo zaštite podataka prema zadanim postavkama: "Kontrolor će provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se prema zadanim postavkama obrađuju samo osobni podaci koji su potrebni za svaku određenu svrhu obrade" (čl. 25-2). Za razliku od trenutnih praksi, gdje se "uzima" sve osim ako nije izričito drugačije navedeno, sada se mora koristiti samo ono što je strogo potrebno za postizanje navedenog cilja. Zaštita prema zadanim postavkama čini se, na neki način, u vrijeme obrade, da nadopunjuje minimizaciju podataka u vrijeme prikupljanja.

Dva stručnjaka mogu biti zajednički odgovorna za obradu; u tom slučaju, uloga svakog od njih je precizno definirana i dostavljena je na znanje ispitaniku (čl. 26.). Kada kontrolor(i) podataka nemaju poslovni nastan u Europskoj uniji, oni određuju predstavnika sa sjedištem u jednoj od država članica, koji će biti ovlašten biti kontakt osoba za ispitanika i nadzorna tijela (čl. 27.). Moguće je angažirati podizvođača, pod uvjetom da potonji pruži dovoljna jamstva da se obrada provodi u skladu s GDPR-om (čl. 28-1).

Vođenje "registra aktivnosti obrade" je obvezno (čl. 30). Mora sadržavati kontaktne podatke voditelja obrade, svrhe obrade, kategorije osoba, podataka i dotičnih primatelja, sve prijenose u treću zemlju, rokove za brisanje i opći opis sigurnosnih mjera. Ovaj registar mora biti dostupan nadzornom tijelu ako to zatraži. Nije obvezan za tvrtku ili organizaciju s manje od 250 zaposlenika, "osim ako je vjerojatno da će obrada koju provode predstavljati rizik za prava i slobode ispitanika, ako nije povremena..." (čl. 30-5). Stoga budite oprezni: sama veličina tvrtke nije dovoljan kriterij za izuzeće od registra. Ako često obrađujete podatke ili ako se vaša aktivnost na bilo koji način može povezati s "pravima i slobodama pojedinaca", dužni ste voditi registar provedenih aktivnosti.

Uredba nije tehnički priručnik. Članak 32., posvećen sigurnosti obrade, ipak podsjeća na neke osnove: pseudonimizaciju i šifriranje, načine jamčenja povjerljivosti i integriteta, vraćanja dostupnosti podataka i pristupa njima u slučaju incidenta. Sastavljači teksta ne zanemaruju rizik od hakiranja: „Prilikom procjene odgovarajuće razine sigurnosti, posebno će se uzeti u obzir rizici koje predstavlja obrada, a koji proizlaze posebno iz slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka koji se prenose, pohranjuju ili na drugi način obrađuju ili neovlaštenog pristupa takvim podacima“ (čl. 32-2). Drugim riječima, sustav obrade smatrat će se usklađenim samo ako nudi potrebna jamstva, barem maksimalna, u smislu zaštite i sigurnosti podataka. Sjećamo se pobune koju je izazvao hakiranje baze podataka članova sjevernoameričke stranice za upoznavanje bračnih parova, kada su deseci tisuća povjerljivih profila objavljeni na internetu.

Ako se, unatoč poduzetim mjerama opreza, otkrije povreda osobnih podataka, voditelj obrade podataka mora obavijestiti nadzorno tijelo u roku od 72 sata „osim ako je malo vjerojatno da će predmetna povreda rezultirati rizikom za prava i slobode pojedinaca“ (čl. 33-1). Ova upozorenje pruža određenu slobodu, čak i ako cijeli tekst sugerira da se ne bi trebao zloupotrijebiti za prikrivanje problema. Izvješće mora navesti prirodu povrede, približan broj uključenih osoba, vjerojatne posljedice ove povrede i poduzete ili predložene mjere za rješavanje problema ili ograničavanje njegovih posljedica.

Voditelj obrade podataka također mora što prije obavijestiti žrtvu povrede (čl. 34.). Ova komunikacija nije potrebna ako su ukradeni podaci „nerazumljivi“, na primjer zbog enkripcije, ili ako poduzete mjere znače da ne postoje rizici za prava i slobode ispitanika ili ako bi takva komunikacija „zahtijevala nerazmjerne napore. U takvim slučajevima, umjesto toga, provodi se javna komunikacija ili slična mjera koja omogućuje da ispitanici budu informirani na jednako učinkovit način“ (čl. 34-3c). Ovaj stavak usmjeren je na masovne hakerske napade i oslobađa voditelje obrade podataka od slanja personalizirane e-pošte svakoj osobi u njihovim datotekama.

Konačno, pojasnimo da je duh GDPR-a nedvosmislen: u tvrtki organiziranoj s podružnicama, obveze potonjih su iste kao i obveze matične tvrtke.