Davne 1955. godine, u subotnje jutro Waddy Pratt, rukovoditelj u Coca-Coli krenuo je u Des Plaines posjetiti čovjeka koji ga je kontaktirao i zaintrigirao tvrdnjama kako će njegov restoran osvojiti Ameriku.
Kada je stigao pred restoran sa žutim neonskim znakom na Lee aveniji, upitao je čovjeka koji je prao parkiralište gdje može naći Ray Kroca, na što mu je ovaj odgovorio da upravo razgovara s njime. Nekoliko sati poslije njihovim rukovanjem stvoren je simbiotski savez dvije globalno prepoznate kompanije: Coca-Cole i McDonaldsa. Niti jedna kompanija ne bi danas bila perjanicom popularne kulture da nije tog jedinstvenog odnosa.
Pametno upravljanje opskrbnim lancem ili „u dobru i zlu“
Odabir poslovnih partnera, strateških pogotovo, važna je odluka u svakom pogledu. U dobru i zlu, zdravlju i bolesti, bilo da se radi o dobavljaču ili kupcu, kooperantu ili outsourcing delegatu, njegova poslovna sinusoida svakako može utjecati na poslovanje partnera. Njegov životni ciklus.
Baš kao i pri obredu vjenčanja, postavlja se pitanje o slobodi odluke svakog partnera, o spremnosti na vjernost, ali i predanosti u prijenos zajedničkih vrijednosti. A u jeku priprema za usklađivanje s nadolazećom Općom uredbom o zaštiti osobnih podataka ili GDPR-om, te vrijednosti su usmjerene prema zaštiti privatnosti pojedinaca.
Svaka organizacija koja prikuplja podatka od pojedinaca, građana Europske Unije, podvrgnuta je stoga dubokoj kontemplaciji, unutarnjem preispitivanju ili dubinskoj analizi što postojećih podataka, izvora i tijekova, što pratećih poslovnih procesa i dionika, kojima se prikupljaju i bilježe osobni podaci svakog pojedinca s kojim se stupilo u bilo kakav odnos. Iako je očuvanje privatnosti, jednog od temeljnih ljudskih prava, kao lajtmotiv pozitivne poslovne prakse postavljeno još 70-ih godina prošlog stoljeća, ovaj zakonski akt donosi drakonske kazne za nepoštivanje regulativa, čime se (ne)odgovornost u upravljanju podacima postavlja kao bitan čimbenik partnerskih odnosa.
A oni se postavljaju u razgraničenim ulogama voditelja obrade i izvršitelja obrade.
Struktura GDPR-a: ljubavni trokut osobnih podataka
I dok pod slovom Uredbe Izvršitelji obrade obrađuju osobne podatke Subjekata obrade (osoba čiji podaci se čuvaju i obrađuju) u ime Voditelja obrade, upravo su voditelji ti koji nose teret odgovornosti. Definirani kao „tijela koja određuju svrhe i sredstva obrade osobnih podataka“, voditelji su zaduženi i za osiguravanje odgovarajućih tehničkih i organizacijskih mjera za provođenje obrade podataka u skladu s Uredbom, bilo da se ista vrši od strane njih samih ili od drugih izvršitelja, procesora obrade.
Drugim riječima, u odnosu dvije organizacije prema onoj trećoj – pojedincu čiji se podaci bilježe, ona koja određuje podatke i nalaže njihovo prikupljanje u svoje ime, treba biti u stanju pokazati mjere sukladnosti s GDPR-om.
I ne samo to.
Na voditeljima su i specifične zadaće procjena rizika za zaštitu podataka te provođenje odgovarajućih tehničkih zaštitnih mjera, osiguravanje zaštite prava vlasništva pojedinaca nad podacima, poput brisanja, slanja izvješća te održavanja evidencije obrade podataka, kao i dužnosti prema nadzornom tijelu, dežurnom dušebrižniku, poput obavijesti o curenju podataka i savjetovanja prije obrade.
S druge strane, izvršitelji obrade mogu djelovati samo prema odredbama ugovora sklopljenim s voditeljima obrade, a prema kojima su dužni osigurati uvjete za povjerljivost i sigurnost podataka. U protivnome, i sami mogu biti odgovorni pred kontrolom za nepoštivanje mjera Uredbe ili za djelovanje koje nije u skladu s odgovornostima dobivenim od voditelja.
Uzimam…
I tu ljubav dolazi na kušnju. Odgovornost je teško breme svakog odnosa. Kod odabira izvršitelja obrade podataka, voditelji trebaju birati samo one partnere koji imaju dovoljna jamstva i mogućnosti za implementaciju tehničkih i organizacijskih mjera za zadovoljavanje Uredbe. Naravno, moguće je prije toga provesti procjenu utjecaja na privatnost (eng.Data Protection Impact Assessments). No, koliko vremena preostaje za to „hodanje“ i upoznavanje obitelji? Vrlo malo, jer sam odabir posljedično treba biti potvrđen ugovorom. Ja, xy, uzimam tebe za partnera i obećavam vjernost u dobru i zlu, u privatnosti i povredi podataka, sa svim odredbama o zadacima i odgovornostima izvršitelja obrade, uključujući kako i kada će podaci biti vraćeni ili izbrisani nakon obrade te pojedinosti obrade (predmet, trajanje, priroda, svrha, vrsta podataka i kategorije ispitanika).
I živjeli su GDPR do kraja života?
No, GDPR propisuje i specifične obveze izvršitelja uz uvjete ugovora: (a) vršiti obradu podataka samo prema uputama voditelja; (b) koristiti odgovarajuće tehničke i organizacijske mjere kako bi se uskladili s Uredbom; (c) brisanje ili vraćanje podataka voditelju nakon dovršetka obrade.
Tako je i pitanje vjernosti pod posebnim povećalom budući da je izvršiteljima zabranjeno i „stupanje u odnose“ sa drugim procesorima bez prethodnog specifičnog ili općeg pisanog dopuštenja voditelja. U svakom slučaju, voditelji zadržavaju pravo prigovora na zamjenu ili dodavanje novih partnera. Dakako, ne treba zaboraviti povjerenje, temelj svakog uspješnog braka. U slučaju kršenja privatnosti iliti „curenja“ podataka, procesori moraju obavijestiti voditelja tj. kontrolora bez “nepotrebnog kašnjenja” budući da je spomenuti teret na njemu da o tome obavijesti nadzorno tijelo. U protivnome, voditelji moraju dati opravdanje za kašnjenje.
Što GDPR spoji… vrlo lako može i razdvojiti.
Bill Clinton jednom je zaključio da je cijena stalnog činjenja iste stvari mnogo veća od cijene promjene.
Stoga, u nastavku donosimo pregled nekih od zahtjeva koje je potrebno osigurati pri izboru izvršitelja obrade podataka, a koje ne bi bilo naodmet unijeti u zavjete tj. ugovornu obvezu:
- Razmotriti treba li izmijeniti definicije i uvjete postojećih ugovora u skladu s Uredbom (npr. definicija „osjetljivih osobnih podataka“)
- U slučaju „curenja“ podataka, izvršitelj mora biti u mogućnosti dojaviti incident u najkraćem roku
- U slučaju incidenta, izvršitelj treba biti u obvezi osigurati suradnju u istraživanju i ispravljanju incidenta te komunikaciji s nadzornim tijelom
- Razmotriti je li potrebno pri obradi koristiti specifične tehničke mjere, poput pseudonimizacije ili enkripcije podataka
- Razmotriti izvršiteljeve sustave i resurse sigurnosti podataka
- Izvršiteljeva obrada podataka treba biti orkestrirana tako da pomogne ispunjavanju zahtjeva subjekata podataka (npr. s obzirom na njihova „pravo na zaborav“, pravo na pristup, ispravak, prijenos podataka te prava na prigovor obradi te profiliranju)
- Izvršitelj treba osigurati mogućnost isporuke potrebnih podataka
- Izvršitelj treba voditi evidenciju obrade podataka u voditeljevo ime te biti u mogućnosti istu dostaviti na zahtjev nadzornog tijela
- Uzeti u obzir je li izvršitelj obrade dužan imati imenovanog službenika za zaštitu podataka