U bazama podataka i drugim dijelovima telekom infrastrukture pohranjene su značajne količine osjetljivih podataka. Radi se o osobnim podacima kao što su imena i prezimena, dob, adrese, e-pošta, telefonski brojevi, podaci o spolu, financijski podaci, informacije o karticama. Uz sve to, tu su podaci o lokaciji mobilnih uređaja, o aplikacijama, pozivima... Budući da svi podaci imaju svoju vrijednost, postoji potencijalna opasnost preprodaje na crnim tržištima u kriminalne svrhe, što čini telekom tvrtke iznimno poželjnim metama hakera.
Za nekoliko mjeseci počet će se primjenjivati Uredba o zaštiti osobnih podataka (GDPR-a). Time će se nakon 25. svibnja ove godine stvari u digitalnom svijetu stubokom promijeniti, osobito u segmentu zaštite podataka. Snažan utjecaj Uredbe osjetit će građani, koji će dobiti nova i proširena prava u smislu kontrole nad vlastitim podacima, tvrtke koje će ta prava građanima morati omogućiti te nadzorna tijela pojedinih država članica EU, koja će provoditi nadzor nad primjenom Uredbe. Bolju tržišnu konkurentnost imat će tvrtka koja će pružati bolju zaštitu i jamčiti prava građana, a time će osigurati bolju reputaciju i vjerodostojnost. To će, konkretno, utjecati na povećanje prihoda tvrtke jer građani će svakako radije trošiti svoj novac ondje gdje su im prava omogućena.
Dosad je fokus telekom industrije bio uglavnom na izgradnji zaštitnih sustava za sprečavanje vanjskih upada. No, to se sada mijenja i postupno će trebati stvoriti procese i infrastrukturu koji će omogućiti građanima ostvarivanje njihovih prava u zaštiti osobnih podataka, prava na prenosivost podataka, prava na ispravak, prava na pristup svojim podacima te prava na brisanje podataka ako za to postoje ispunjeni određeni uvjeti.
svatko ZA SEBE Stoga je sigurno da će utjecaj GDPR-a na telekom industriju biti snažan. Tvrtke će trebati razviti metode i rješenja kojima će omogućiti prava svojih korisnika. Važno je naglasiti da ne postoje rješenja po principu jedan za sve, nego će svaka tvrtka trebati smisliti rješenje prema svojim potrebama i zahtjevima, u skladu sa svojim poslovnim procesima i okolnostima u kojima se nalazi.
GDPR ne bi trebalo promatrati kao problem i još jedan propis koji će se već nekako zaobići. Potencijalne posljedice toga nisu bezazlene, a financijski gledano, njegovo se zaobilaženje jednostavno ne isplati. Kratkoročna neugodnost koju će GDPR vjerojatno izazvati omogućit će tvrtkama da “počiste nered u svojem dvorištu” i poboljšaju svoje poslovne procese. Zaštita osobnih podataka, koja je osnova Uredbe, pomoći će tvrtkama u stjecanju povjerenja i lojalnosti kod postojećih korisnika, a ujedno će lakše privući nove. Evo pet top promjena za telekom industriju.
Krađa i posljedice
Incidenti vezani uz nezakonito pristupanje osobnim podacima ili krađu osobnih podataka imaju dalekosežne posljedice. Negativan publicitet i narušeno povjerenje u tvrtku samo su neki od njih. GDPR dodatno pojačava moguće negativne posljedice u smislu propisanih kazni, koje mogu ići od upozorenja, forenzičkih istraga i mjera koje je potrebno implementirati do visokih kazni, koje mogu iznositi čak i 20 milijuna eura. Naime, tvrtka u kojoj se takav incident dogodio mora svakog svojeg korisnika pravodobno obavijestiti (u roku do 72 sata) o tome što se s njegovim podacima dogodilo i o mogućim posljedicama. To, naravno, za sobom povlači mogućnost pojedinačnih ili skupnih tužbi koje mogu staviti dodatni pritisak na tvrtku.
Novost koju GDPR donosi jest ujednačavanje pravila na razini cijelog EU. Do sada smo imali situaciju da su za svaku državu članicu EU vrijedila pravila koja je ta država sama za sebe propisala. To se sada mijenja, što znači da će ono što vrijedi za jedan telekom u zemljama Europe vrijediti i za takvu tvrtku iz Hrvatske. S druge strane, korisnici telekomunikacijskih usluga s područja čitavog EU imat će ujednačena prava.
Značajna promjena dogodit će se u omogućavanju prava na prenosivost podataka. Korisnicima treba pružiti mogućnost jednostavnog transfera podataka između pružatelja usluga. Pružatelj usluga treba biti u mogućnosti predati sve podatke u razumljivom i prenosivom formatu svakom korisniku koji se na to odluči. Za tvrtku će to značiti dodatan posao ili opterećenje jer će zahtijevati da jedan ili više zaposlenika pronađu sve podatke pojedinog korisnika, a ti podaci mogu biti pohranjeni na različitim mjestima.
Primjerice, ako korisnik kontaktira svojeg pružatelja telekomunikacijskih usluga, može se pozvati na članak 20 (pravo na prenosivost podataka) i članak 17 (pravo na brisanje ili pravo na zaborav), zahtijevajući prijenos i brisanje podataka. U tom se slučaju telekom treba upitati može li točno identificirati o kojem se korisniku radi, gdje se sve nalaze i obrađuju podaci, postoji li mogućnost prikupljanja i prijenosa podataka u razumljiv format te mogu li se oni izbrisati iz baza podataka telekoma. Sve to potrebno je učiniti u roku od mjesec dana i bez troškova za korisnika.
Uredbom će se također omogućiti da manji pružatelji usluga ili oni koji tek počinju s poslovanjem i koji žele biti konkurentni na tržištu, kao što su startupI, raspolažu svim podacima korisnika postojećih pružatelja telekomunikacijskih usluga ako tako njihovi korisnici žele. Tvrtke koje budu u stanju dokazati da su uskladile poslovanje s Uredbom te, što je još važnije, da bolje ispunjavaju novostečena prava svojih korisnika, imat će konkurentsku prednost.
Privola
Sljedeće veliko područje koje će biti izazovno za pružatelje usluga jesu privole i način na koji se njima upravlja. Organizacije će se trebati pobrinuti da prikupljaju, pohranjuju i obrađuju korisničke podatke samo uz privolu korisnika, a u slučaju da upravljaju i nekom drugom vrstom podataka za koje nije potrebna privola jer postoji legitiman, zakonski ili ugovorni interes za njihovu obradu, tada će se trebati pobrinuti da se ti podaci međusobno ne isprepleću i nenamjerno obrađuju u bilo koje druge svrhe za koje nije dana privola. Privola korisnika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom pristaje na obradu osobnih podataka. Može biti dana u pisanom, elektroničkom ili usmenom obliku, može se povući u svakom trenutku i bez posljedica za korisnika. Pružatelji usluga trebat će razviti proces kojim će upravljati privolama kako bi u svakom trenutku znali koju obradu osobnih podataka svojih korisnika smiju provoditi, a koju ne.
(Autor je stručnjak za informatičku sigurnost, Setcor IT)