Горан Чамуровски: Заканите за неавторизирано користење на лични податоци се најголема опасност за дигиталниот идентитет

БизнисРегулатива | 05.03.2019

Во пресрет на инфо-сесиите кои утре и задутре (6 и 7 март) ќе се одржат во Битола и Скопје  за Законот за заштита на личните податоци, по иницијатива на проектот на УСАИД Партнерство за подобра бизнис регулатива, разговаравме со Горан Чамуровски, консултант со 20-годишно меѓународно искуство во регулираните индустрии и имплементација на легислативата од областа на заштитата на личните податоци, како и истакнат експерт од областа на управување со ризици.
 
Бизнис Регулатива: Зошто приватноста и GDPR регулативата се толку актуелни теми?
 
Не е коинциденција дека приватноста доминираше како тема во 2018 година. Тоа е резулатат на многу интензивни настани кои се случуваа како, на пример, Cambridge Analytica и кои беа антиципирани од оваа регулатива. Затоа оваа регулатива е соодветен одговор на таканаречената Post privacy ера односно фактот дека нашата приватност е веќе деградирана заради живеењето во едно информациско општество. Борбата е како тоа да не се злоупотреби и таа борба се води во реално време со алатки кои се користат во доменот на cybersecurity и со регулатива која даде рамка како Европската Унија и ние како дел од неа да се справиме со ризиците и опасностите кои произлегуваат од тоа.
 
Поспецифично, заканите за неавторизирано користење на нашите податоци претставуваа најголема опасност за нашиот дигитален идентитет. Сигурноста и приватноста беа две различни функции на начин што пред GDPR (Општа регулатива за заштита на личните податоци на Европскиот парламент и на Советот на ЕУ)  приватноста ја занемаривме и повеќе се грижевме за сигурноста односно како “безбедно” да учествуваме во социјалните мрежи, да користиме електронски услуги и да го конзумираме информациското општество. Во меѓувреме не ја согледавме опасноста која демнеше во алгоритмите за машинско учење, вештачка интелегенција и податоци за анализа на голема скала кои ги генерираме користејќи ги мрежите и услугите. Така се случи да денес најголем ризик по нашата приватност и сигурност е заканата од оставање ненамерни траги преку кои може да се заклучуваат факти за нас базирани на тие податоци за кои дури и ние не сме свесни. Пример, врз основа на типовите на автомобили кои се користат да се заклучи политичка наклонетост на одреден регион а за тоа да се користат слики од Google street view. Или пак, од историјата на пребарување на Интернет можат да се заклучат не само симптомите на болести, туку и да се дијагнозираат болести како Алцхајмер. Еднаш штом ги генерираме, секој кој поседува доволно податоците може да биде закана за нашата приватност и сигурност.
 
Дигиталните траги кои ги оставаме се вредни од различни аспекти како на пример, од маркетиншки аспект за продажба, од аспект на злоупотреба на идентитетот за финансиска добивка, од аспект на mindset за влијание на истиот во политички цели што покажува дека нашата приватност не е веќе ексклузивно во наш посед и последиците од тоа се долгорочни.
 
Бизнис Регулатива: На кој начин една регулатива како GDPR може да се справи со оваа состојба?
 
Прво, GDPR ја поставува приватноста како како основно право и слобода на поединците и со оваа регулатива тие добиваат моќ и автроитет да се застапуваат за ова право пред помоќните контролори и обработувачи (компании, институции,...). Моќта е делегирана преку механизми како можноста да се знае кој податоци ги поседуваат контролорите за нас, да се побара трајно бришење на податоците ако за тоа нема законска пречка односно „заборави ме право“, да бараме исправка ако податоците не се точни и да ја ограничиме обработката, да се побараат податоците на медиум во електронска форма со право да се пренесат на друг контролор се до право на приговори по различен основ меѓу кој и автоматското одлучување и профилирање односно заклучување на факти за нас од машини и тогаш кога тоа се прави да биде транспарентно и да се применат стриктни безбедносни мерки.
 
Второ, GDPR е една модерна регулатива која не пропишува рецепт или листа на контроли кои треба да се применат туку е базирана на анализа на ризик. За активностите со висок ризик бара да се направи процена на влијанието на заштитата на личните податоци и соодветно на тоа да се воведат пропорционални технички и организациски мерки кои ќе го намалат ризикот и ќе ја совладаат евентуалната штета. Базирано на тоа акциите кои контролорите ги прават треба да демонстрираат отчетност (accountability) која ќе гарантира дека дигиталните идентитети кои ги контролираат или обработуваат се соодветно заштитени и за што се има одговорност. Ова е новина затоа што преку имплементација на GDPR како систем, со искусни професионалци ќе може да се воведат сразмерни, трошковно ефективни и деловно засновани мерки.
 
За жал затоа што облозите се големи и кршењето на приватноста некогаш може да е повредно од сообразноста (compliance) со GDPR и заради потребата оваа регулатива да биде на масата на врвниот менаџмент казните се големи. Ова е политика и тоа не значи дека казните секогаш ќе бидат во апсолутен износ за што ќе има критериуми како ќе се скалираат, но интенцијата е имплементирањето на регулативата да биде секогаш повеќе трошковно ефективна во споредба со казните.
 
Бизнис Регулатива: Како воведувањето на GDPR влијае и во иднина може да влијае на компаниите, вклучително и македонските?
 
Интересно е што перспективата во моментов е дека оваа регулатива се гледа како закана иако едно од начелата заради кои GDPR е донесен е слободната трговија и можноста да не бидете ограничен да пенетрирате на било кој пазар во ЕУ земјите заради трансферот на личните податоци што треба да се види како шанса. Наместо да се оградуваме од GDPR и да се самоизолираме, проактивно да ја прифатиме можноста да бидеме дел од тој пазар и да конкурираме со услуги и производи без да бидеме ограничени.
 
Проблемот е што и во моментов имаме компании во одредени индустрии, компании во слободните економски зони и партнери на европски компании за кои регулативата веќе важи заради екстериторијалната примена на GDPR за граѓани на ЕУ кога се надвор од територијата на ЕУ и за производи и услуги кои ги испорачуваме на тој пазар и за кои има опасност од загрозување на бизнисот.
 
Овие компании доброволно воведуваат адекватни мерки но истите треба сами да ги докажуваат или да ги користат методите на задолжителни корпоративни правила во случај кога се во релација мајка ќерка. Во најлош случај добиваат договори во кои се преоптоварени како обработувачи што со сегашниот модел на пенали, каде обработувачот е подеднакво одговорен за процесирањето кое тој го изведува, преставува огромен ризик за нив.
 
Вториот период ќе настане по донесувањето на GDPR регулативата која има период за прилагодување од една година (законот е веќе во финална верзија) што е прекратко за нашите компании и затоа треба да се искористи проактивно овој период и да се направат сите подготовки како идентификација на личните податоци, анализа на ризик и проценка на влијанието кои ќе ја дадат сликата за нивото на заканите и комплексноста на имплементацијата за да може да се направи план и буџетирање за имплементација на мерките за заштита на личните податоци кои GDPR ги бара.
 
За ова треба да се работи со професионалци кои веќе имаат компетенции и референци и да не се подлегнува на локални толкувања затоа што постои механизам на one stop shop кој форсира конзистентно толкување и наметнување на усогласеност низ сите земји на ЕУ.
 
Разгoвараше - Верица Јорданова


Сподели