• GDPR: Odgovor na rizike ili stvaralac novih rizika?
Članak:

GDPR: Odgovor na rizike ili stvaralac novih rizika?

16 april 2018

Kako se ubrzano približava 25. maj, rok za usklađivanje organizacija sa odredbama GDPR-a, svedoci smo sve veće aktuelizacije kompleksnih tema o zaštiti podataka o ličnosti. Zahtevi centrala međunarodnih kompanija koji se odnose na usklađivanje poslovanja njihovih ispostava na teritoriji Republike Srbije sa navedenim odredbama, zahtevi klijenata iz EU koji rade sa srpskim kompanijama kao i iščekivanje usvajanja novog Zakona o zaštiti podataka o ličnosti, za rezultat imaju da ova oblast predstavlja „goruću temu“ i u domaćoj javnosti.

Zaštita podataka o ličnosti, kao specifična i osetljiva tema, svakako predstavlja izvor rizika za svaku organizaciju. Razvoj novih tehnologija i kanala telekomunikacija uzrokuje da se i naši lični podaci sve slobodnije i brže kreću kroz globalnu digitalnu mrežu, proporcionalno povećavajući i rizike vezane za njihovo upravljanje. Rezultati sprovedenog istraživanja od strane BDO u svetu, u kome su učestvovali predstavnici 500 vodećih globalnih organizacija, ukazuju i na povećanje svesti o izloženosti rizicima vezanih za upravljanje podacima o ličnosti. Ulaganja u uspostavljanje adekvatnog sistema upravljanja podacima o ličnosti porasla su za 78% u odnosu na prethodnu godinu. Rezultati pokazuju i povećanje uključenosti odbora direktora u aktivnostima upravljanja podacima o ličnosti, i to čak 79% u odnosu na prethodnu godinu. Uzimajući u obzir navedene podatke i mišljenje predstavnika anketiranih organizacija da su ključni rizici sa kojima će se organizacije susretati u narednih 10 godina regulatorni, sajber i reputacioni rizik, jasno je da će navedeni rizici nedvosmisleno uticati na upravljanje podacima o ličnosti unutar organizacija.

U razgovorima sa klijentima i kolegama u BDO mreži, zaključili smo da su neki od ključnih izazova sa kojima se organizacije susreću prilikom primene GDPR-a: proširenje definicije šta je sve lični podatak (npr i IP adresa je obuhvaćena), omogućavanje prava “na zaborav” (brisanje podataka), zahtev da se prikuplja minimalni broj ličnih podataka, definisanje ispravnih formi saglasnosti koje se daju za prikupljanje i obradu podataka, proces prijavljivanja incidenata nadležnim organima u roku od 72 h, imenovanje „DPO” (Data Protection Officer) i aktivnosti „Data Privacy Impact Assesment“-a (DPIA). Možemo reći da GDPR predstavlja težnju da se mnogi rizici smanje ali široki spektar zahteva koje donosi, unosi nove rizike u poslovanje organizacija.

Počevši od regulatornog rizika, GDPR donosi svojevrstan presedan kada su u pitanju kaznene odredbe. Ukoliko se utvrdi neadekvatno upravljanje informacijama u organizaciji, kazna može iznositi 20 miliona EUR ili 4% ukupnog prihoda organizacije (šta iznosi više). Imajući u vidu podatak da na globalnom nivou prosečan udeo dobiti u ukupnim prihodima najvećih svetskih retail lanaca predstavlja oko 3%, stiče se jasna slika kakve mogu biti posledice neadekvatnog upravljanja podacima o ličnosti. Sajber rizici će takođe imati veliki uticaj na upravljanje podacima o ličnosti i poslovanje organizacije. Da se „data breach“ koji je zadesio britanskog provajdera telekomunikacionih usluga „TalkTalk“ u oktobru 2015. godine desio po usvajanju GDPR-a, umesto kazne od 400 hiljada funti koju je tada platio, kompanija bi morala da plati iznos od čak 17 miliona funti.

Reputacioni rizik je takođe prisutan – investitori mogu da izgube poverenje u organizaciju koja neadekvatno upravlja podacima o ličnosti. Najaktuelniji primer je najveća društvena mreža Facebook, gigant koji je u roku od nekoliko dana od dana objave o navodnom nedozvoljenom trgovanju podacima o ličnosti zabeležio pad tržišne vrednosti od blizu 100 milijardi USD. Kako bi zaštitili svoju investiciju, investitori će prilikom donošenja odluke o ulaganju ocenjivati stepen adekvatnosti upravljanja podacima o ličnosti unutar organizacija u koje žele da investiraju.

Upravljanje podacima o ličnosti sa sobom nosi značajne rizike koji mogu ugroziti kontinuitet poslovanja. Prilikom indentifikacije i ocene rizika odnosno izbora mitigacione strategije, organizacije treba da posvete posebnu pažnju na saradnju sa trećim stranama – pružaocima telekomunikacionih usluga, provajderima servera i sl. Kako bi bili sigurni da su podaci o ličnosti sigurni i da je njihov transfer bezbedan, organizacija mora da uspostavi adekvatan sistem procene potencijalnih pružaoca navedenih usluga. Da se organizacije susreću sa ozbiljnim izazovima ukazuju i rezultati istraživanja BDO USA koja pokazuju da je 52% organizacija uspostavilo sistem upravljanja rizikom koji može obezbediti adekvatno upravljanje podacima o ličnosti unutar samih organizacija, ali da je svega 40% organizacija uspostavilo sistem upravljanja rizika koji nastaju interakcijom sa trećim licima.

Na kraju, svaki rizik koji se adekvatno tretira može postati razvojna šansa jedne organizacije. Nezavisno od regulative, kaznenih odredbi i svih ostalih pretnji u predmetnoj oblasti, svaka organizacija može ostvariti koristi od investiranja u profesionalno vođenje sistema upravljanja rizicima. Angažovanjem profesionalaca koji poseduju znanja, iskustva i u praksi dokazanu metodologiju koja osigurava visok nivo adekvatnosti upravljanja podacima o ličnosti i rizicima vezanih za njih, organizacije će pored usklađivanja sa regulatornim zahtevima izdvojiti sebe kao odgovornu organizaciju, pouzdanog partnera koji je u stanju da se izbori sa izazovima kao i siguran izbor za saradnju i potencijalne investicije.

 

Igor Radmanović

Partner u Sektoru za reviziju i upravljanje rizicima

 

Nikola Marković,

Saradnik za savetovanje u oblasti upravljanje rizicima

 

Objavljeno u: Biz Life Magazin broj 57, april 2018. godine