Cijena GDPR prilagodbe

Klijenti me gotovo svakodnevno pitaju: “A koliko GDPR prilagodba košta?”

Odgovor na to pitanje nije jednostavan s obzirom da GDPR prilagodba može obuhvaćati vrlo širok dijapazon zadaća. Povučemo li paralelu s informatičkom podrškom, to bi bilo jednako pitanju koliko košta usluga informatičke podrške. Ako se točno ne specificira što ta usluga podrazumijeva nije moguće odrediti cijenu. Nije isto održavati jedno računalo ili stotinu računala, održavati jednostavnu mrežu koju koristi nekoliko korisnika ili kompleksnu koju koristi nekoliko stotina korisnika.

Što GDPR prilagodba može obuhvaćati?

Kada govorimo o GDPR prilagodbi pojam prilagodbe može obuhvaćati:  

  • Provođenje temeljite analize aktivnosti obrade u organizaciji/društvu i mapiranje osobnih podataka
  • Za svaki tip obrade odrediti pravni temelj. (Svrhe, kategorije ispitanika, kategorije podataka, kategorije primatelja, prijenose podataka, načine i vrijeme pohrane, provedene tehničke i organizacijske mjere)
  • Kontinuirana provedba odgovarajućih tehničkih i organizacijskih mjera sukladno rizicima
  • Upravljanje rizicima. (Identifikacija-procjena-tretman rizika, dokumentiranje postupaka, izrada metodologije za upravljanje rizicima)
  • Izrada i objava odgovarajućih pravila i obavijesti o zaštiti privatnosti. (Imati transparentnu i javno dostupnu politiku zaštite privatnosti, imati jasne politike zadržavanja podataka, politiku brisanja podataka, politiku za obradu zahtjeva pojedinaca i dr.)
  • Sklopiti valjane ugovore/sporazume o obradi osobnih podataka s izvršiteljima obrade koji obrađuju osobne podatke u ime voditelja obrade
  • Voditi evidencije obrade. (Uredba ne zahtjeva nužno vođenje evidencija za sve obrade, ali bez njih voditelj će teško dokazati prilagodbu)
  • Imenovati službenika za zaštitu podataka i osigurati njegovu pravodobnu uključenost u sva pitanja koja se odnose na zaštitu podataka. (Imenovanje nije nužno za sve organizacije, međutim svaka organizacija trebala bi imati stručnu osobu koja može savjetovati i brinuti o usklađenju)
  • Odgovaranje na upite pojedinaca u svezi obrade njihovih osobnih podataka i ispunjavanje zahtjeva pojedinaca. (Pravo na informiranost, pravo na pristup, pravo na ispravak, pravo na brisanje, pravo na prigovor, pravo na prenosivost podataka, pravo suprotstaviti se automatiziranom donošenju odluka i izradi profila)
  • Vođenje ostalih evidencija. (Evidencija privola, evidencija sigurnosnih incidenata, evidencija informacijskih resursa, evidencija izvršitelja i pod-izvršitelja obrade, evidencija zahtjeva ispitanika)
  • Donošenje i slijeđenje internih politika i procedura. (Npr. politike informacijske sigurnosti, procedura kod povrede podataka, pravilnik o videonadzoru, planovi oporavka, itd.)
  • Provedba procjena učinka na zaštitu podataka i testova legitimnog interesa
  • Upoznati i redovito podsjećati osoblje na važnost zaštite podataka za njihov svakodnevni rad, kao i na sve politike na radnom mjestu koje se odnose na zaštitu podataka (Awareness program)
  • Prilagodba internetske stranice. (Objava i pozicioniranje politike privatnosti i obavijesti o kolačićima, izrada valjane opt-in privole za kolačiće, selekcija kolačića, pravilne početne postavke kolačića)
  • Prilagodba videonadzora. (Obavijesti o videonadzoru, sustav automatiziranih logova, kontrola pristupa, itd.)
  • Postupanje u skladu s kodeksima ponašanja ili programima certificiranja, npr. ISO/IEC 27001
  • Bilježenje i, prema potrebi, prijavljivanje povreda osobnih podataka. (Bilježenje podrazumijeva dokumentiranje događaja, detaljnu analizu događaja i po potrebi računalnu forenziku, provođenje mjera za ublažavanje posljedica, iskorjenjivanje prijetnje i uvođenje mjera za sprječavanje ponavljanja događaja)

Širok dijapazon zadaća

Kao što se može zaključiti iz nabrojanih točaka, prilagodba može podrazumijevati i aspekt IT podrške, upravljanja rizicima, upravljanja incidentima, upravljanja backupom, izradu planova oporavka, izradu politika i procedura informacijske sigurnosti, vođenje zadaća službenika za zaštitu podataka, detaljno preispitivanje obrada, mapiranje obrada, pomoć kod povrede podataka, itd.

Cijena GDPR prilagodbe također ovisi o veličini organizacije i kompleksnosti obrada koje se u organizaciji vrše. Veće organizacija imaju više odjela i zaposlenika pa je samim time već i prvi korak koji se odnosi na “provođenje temeljite analize aktivnosti obrade u organizaciji/društvu i mapiranje podataka” dugotrajniji.

Potom, neke organizacije su djelomično već provele prilagodbu i tu je potrebno odrediti koliko je posla odrađeno i nastaviti ga.

Stoga bi se svaki voditelj obrade prvo trebao zapitati koju razinu prilagodbe želi, odnosno koliko je spreman uložiti financijskih, ljudskih i drugih resursa kako bi izvršio prilagodbu.

Temeljita prilagodba nije jednostavna

Mikro organizacije s jednim ili dva zaposlenika, koje ujedno vrše minimalnu obradu osobnih podataka, vjerojatno će izvršiti minimalnu prilagodbu i preuzeti rizik plaćanja kazne. To su organizacije koje i inače rijetko pridaju značajniju pažnju tehničkoj i organizacijskoj zaštiti, pa nije ni čudo da je ne pridaju niti GDPR-u. Međutim, organizacije s više zaposlenika, koje raspolažu većim financijskim mogućnostima i obrađuju veću količinu osobnih podataka, morale bi ozbiljnije razmišljati o pravilnoj GDPR prilagodbi. Za njih regulatorne kazne mogu biti znatno veće.

Takve organizacije imaju tri mogućnosti za provođenje pravilne prilagodbe.

  • Osposobiti vlastito osoblje za prilagodbu
  • Angažirati vanjskog stručnjaka
  • Kombinirati angažman vlastitog osoblja i vanjskog stručnjaka

Svaka od navedenih varijanti na neki način “košta”. Osposobljavanje vlastitog osoblja potrajat će nekoliko mjeseci. Angažman vlastitog osoblja također znači da će osoblje imati manje vremena za druge poslovne zadaće. Angažman vanjskog stručnjaka se plaća, ali u konačnici može biti isplativiji. Pritom treba uzeti u obzir da novo-osposobljeno osoblje nije jednako efikasno kao stručnjak s višegodišnjim iskustvom.

Angažman vanjske strane može biti isplativiji od angažmana vlastitog osoblja, naročito u situacijama kad voditelj obrade ne raspolaže osobljem koje bi već imalo potrebna znanja i iskustva.

Postoje i oni koji prodaju setove unaprijed pripremljene GDPR dokumentacije, koju djelomično prilagode klijentu i onda to nazovu “GDPR prilagodba”. Takav set dokumentacije može se nabaviti već i za stotinu ili par stotina eura. U narodu se to kaže "prodavanje magle". Plaća se nešto što ne predstavlja prilagodbu, što neće zaštiti osobne podatke pojedinaca, niti će zaštiti kupca od plaćanja regulatornih kazni. Prilagodba traži konkretnu primjenu GDPR načela i zahtjeva.

Svakoga tko dobije kaznu prilagodba košta najviše!

Napisao: Dragan Podvorec
Datum: 29.01.2024
DPA - vaši podaci zaslužuju najbolju zaštitu