zaštita podataka

Što je GDPR i zašto tvrtke strahuju da će im uskoro narušiti imidž?

23.05.2017 u 08:12

Bionic
Reading

GDPR stupa na snagu 25. svibnja 2018. i neće utjecati samo na tvrtke koje posluju u EU, već i na sve tvrtke u svijetu koje svoje proizvode i usluge nude građanima EU, ili koje pak na bilo koji način prate navike građana Europske unije, primjerice tako što prate njihove navike kupovanja pojedinih proizvoda

Globalno istraživanje koje je naručio Veritas Technologies, vodeća tvrtka na području upravljanja podacima, otkriva kako je čak 86 posto organizacija u svijetu zabrinuto da bi primjena europske Opće uredbe o zaštiti podataka (GDPR) mogla imati negativan učinak na njihovo poslovanje. Gotovo 20 posto ispitanih organizacija kaže kako se plaše da bi im neusklađenost s ovom novom regulativom mogla onemogućiti daljnje poslovanje. Ovi rezultati istraživanja dodatno naglašavaju važnost pravovremene usklađenosti jer kazne koje su propisane GDPR-om sežu i do 20 milijuna eura, odnosno 4 posto godišnjeg prometa, što god od toga dvoje da je veći iznos.

Namjera i smisao GDPR-a su uskladiti regulativu u području upravljanja osobnim informacijama i drugim podacima koji su vezani uz pojedince na razini cijele Europske unije i njezinih država članica, te stoga zahtijeva veći uvid u to gdje se i kako osobni podaci koriste (uključujući npr. podatke o kreditnim karticama, financijskom stanju i podatke o zdravlju), kako se spremaju i prenose te kako je uređen pristup tim podacima, odnosno kako organizacije nadgledaju tko ima uvid u osobne podatke korisnika.

GDPR stupa na snagu 25. svibnja 2018. i neće utjecati samo na tvrtke koje posluju u EU, već i na sve tvrtke u svijetu koje svoje proizvode i usluge nude građanima EU, ili koje pak na bilo koji način prate navike građana Europske unije, primjerice tako što prate njihove navike kupovanja pojedinih proizvoda. Istraživanje pokazuje kako čak 47 posto organizacija u svijetu ima ozbiljne dvojbe hoće li se moći na vrijeme uskladiti s ovim fiksnim rokom za implementaciju.

Rezultati Veritasovog GDPR izvještaja, za čiju je izradu napravljena analiza u 900 tvrtki širom Europe, Sjedinjenih Američkih Država i azijsko-pacifičke regije, također pokazuju kako je više od 20 posto ispitanih (21%) zabrinuto zbog mogućih otpuštanja, jer su tvrtke u strahu kako bi smanjivanje broja radnika moglo biti jedno od posljedica financijskih kazni zbog neusklađenosti s GDPR-om.

Tvrtke su također zabrinute zbog mogućeg utjecaja kojeg bi neusklađenost s Općom regulativom o zaštiti podataka mogla imati na njihov brend i imidž, posebice kada i ako ove informacije dođu do javnosti jer GDPR predviđa da se o svim sigurnosnim upadima u sustave mora u kratkom roku obavijestiti javnost. Istovremeno, 19 posto ispitanih tvrtki plaši se negativnih napisa u medijima i negativnih objava na društvenim mrežama, zbog čega bi mogle izgubiti korisnike i kupce. Dodatno, jedna od deset tvrtki (točnije, 12%) posebno je zabrinuta za moguću štetu svojem brendu koja bi se mogla dogoditi kao posljedica negativnih medijskih napisa.

Nedostatak tehnologije sprječava usklađivanje s GDPR-om

Istraživanje također pokazuje kako se velik broj tvrtki susreće s velikim izazovima u procesu shvaćanja koje sve podatke imaju, gdje su ti podaci pohranjeni i koji je njihov značaj za samo poslovanje – što je sve ključan prvi korak na putu prema usklađenosti s GDPR-om. Ključni zaključci istraživanja pokazuju da se mnoge tvrtke bore s rješavanjem ovih poteškoća upravo zato što nemaju na raspolaganju odgovarajuću tehnologiju pomoću koje bi mogle adresirati te probleme.

Gotovo jedna trećina tvrtki (32%) u strahu je da njihova postojeća tehnološka rješenja neće moći učinkovito upravljati podacima, što bi u konačnici moglo ugroziti njihovu sposobnost da podatke pretražuju, otkrivaju i pregledavaju – a sve su ovo nužni kriteriji za usklađenost s Općom uredbom o zaštiti podataka.

Dodatno, 39 posto ispitanih tvrtki reklo je kako njihova organizacija ne može precizno i točno identificirati te locirati relevantne podatke u svojim IT sustavima. To je još jedan ključan kriterij usklađenosti jer Opća uredba o zaštiti podataka nalaže da tvrtke moraju – uvijek kada ih se to traži – osobama uručiti kopiju svih podataka koje o njima čuvaju ili ih pak moraju, na zahtjev, pobrisati u roku od 30 dana.

Također je raširena i zabrinutost oko retencije (politike čuvanja) podataka. Više od 40 posto ispitanih organizacija (42%) priznaje kako nemaju uspostavljen mehanizam kojim bi se utvrđivalo koje je podatke potrebno spremiti ili obrisati, ovisno o njihovoj vrijednosti za poslovanje. Prema GDPR-u, tvrtke mogu čuvati osobne podatke ako se oni i dalje koriste za namjenu koja je korisnicima opisana u trenutku prikupljanja podataka, ali ih moraju obrisati kada ti podaci više nisu potrebni za opisanu svrhu.

Daleko od očiju, daleko od srca

"Tek je nešto više od godinu dana ostalo do primjene nove europske Opće uredbe o zaštiti podataka, ali čini se da mentalitet daleko od očiju, daleko od srca i dalje prevladava u većini organizacija širom svijeta. Nije uopće važno nalazi li se vaša tvrtka na području Europske unije ili ne – ovaj će se zakonodavni okvir u svakom slučaju odnositi i na vas", naglašava Mike Palmer, izvršni potpredsjednik i glavni direktor za proizvode u Veritasu. "Logičan sljedeći korak bio bi zatražiti savjetovanje sa stručnjacima koji mogu procijeniti razinu spremnosti pojedine tvrtke te izraditi strategiju koja će dovesti do potpunog postizanja usklađenost. Ukoliko tvrtke to ne naprave već danas, ne budu li odgovarajuće reagirale, bit će ugrožena radna mjesta, reputacija brenda kao i općenito dinamika poslovnog svijeta", naglašava Palmer.

Ulaganje u usklađenost s GDPR-om

Veritasovo istraživanje otkrilo je kako manje od jedne trećine tvrtki (31%) vjeruje da su njihove organizacije u ovom trenutku usklađene s GDPR-om. Tvrtke koje rade na tome da ispune uvjete usklađenosti kažu kako će morati uložiti sedmeroznamenkaste iznose u taj proces. U prosjeku, tvrtke koje su bile uključene u istraživanje procjenjuju da će ih postizanje usklađenosti s GDPR-om stajati više od 1,4 milijuna dolara.

Mogući globalni izazovi u pogledu usklađenosti s GDPR-om

Pred mnogim je tvrtkama u svijetu još dugačak put do usklađenosti s GDPR-om. Neki od ključnih izazova na tom putu u pojedinim zemljama izvan Europske unije bili su, primjerice:

  • Nedostatak usklađenosti s GDPR-om: Istraživanje naglašava podatak da nekoliko zemalja znatno kasni u odnosu na druge zemlje u pogledu implementacije GDPR-a. Singapur, Japan i Republika Koreja na samom su dnu popisa nakon ovog istraživanja. Čak 56 posto ispitanih tvrtki u Singapuru plaši se da neće moći ispuniti uvjete postavljene ovim rokovima. Situacija je još gora u Japanu i Republici Koreji, gdje ovaj postotak iznosi i više od 60 posto.
  • Strah od obustave poslovanja: Kada se govori o strahu vezanom uz prestanak poslovanja kao mogućem rezultatu neusklađenosti s GDPR regulacijom, ovaj je strah najveći u Sjedinjenim Američkim Državama i Australiji. Gotovo 25 posto ispitanih u tim zemljama plaši se da bi neusklađenost s GDPR-om mogla ugroziti direktno i samo poslovanje tih organizacija.
  • Strah od otpuštanja: Slično tome, ispitanici u Sjedinjenim Američkim Državama i Australiji također su najviše zabrinuti oko mogućih kazni vezanih uz Opću uredbu o zaštiti podataka jer vjeruju da bi velike kazne zbog neusklađenosti mogle dovesti do otpuštanja. Pritom je 26 posto ispitanih u SAD-u izrazilo zabrinutost zbog mogućeg smanjenja radne snage, a ta brojka raste na čak 30 posto u Australiji. To je također bio i najveći razlog zabrinutosti u Republici Koreji, gdje je 23 posto ispitanih izjavilo kako se plaše otpuštanja te tu zabrinutost smatraju prilično izraženom i realnom.
  • Strah od štete za brend i imidž: U azijsko-pacifičkoj regiji, tvrtke su, čini se, vrlo zabrinute oko mogućeg utjecaja neuspješnog procesa usklađivanja s GDPR-om na reputaciju njihovog brenda. Dvadeset posto ispitanih u Singapuru plaši se da će izgubiti korisnike iz Europske unije zbog negativnog izvještavanja u medijima ili objava na društvenim mrežama. Brojka za Japan i Republiku Koreju je 21 posto.

Metodologija istraživanja

Veritas je ovo istraživanje povjerio tvrtki Vanson Bourne, koja ga je i provela.

Ukupno je ispitano više od 900 pojedinaca koji donose ključne poslovne odluke u jednakom broju tvrtki širom Sjedinjenih Američkih Država, Ujedinjenog Kraljevstva, Njemačke, Australije, Singapura, Japana i Republike Koreje. Ispitanici su predstavljali tvrtke koje imaju najmanje 1000 zaposlenika te su mogle biti iz bilo kojeg sektora gospodarstva. Kako bi mogli sudjelovati u istraživanju, ispitanici su morali biti iz organizacija koje imaju barem jedan aspekt poslovanja sa zemljama EU, te stoga imaju razloga prikupljati i čuvati podatke građana Europske unije.