GDPR i Cloud (intervju)
Opća uredba o zaštiti osobnih podataka (GDPR) stupa na snagu za manje od šezdeset dana. Smisao uredbe je zaštiti privatnost građana Europske unije. Mnogi vjeruju da to znači da se njihovi podaci moraju čuvati u zemlji Europske unije u kojoj borave. U stvari, podaci mogu biti pohranjeni bilo gdje u svijetu – sva dok je zbirka podataka i njene upotreba u skladu s Općom uredbom. O odnosu tehnologije i GDPR-a razgovarali smo s konzultantom Dankom Pigcem iz tvrtke Pragmatekh.
Danko je dugogodišnji menadžer s velikim poslovnim iskustvom. Karijeru je započeo u vlastitoj tvrtki a potom je stekao veliko iskustvo radeći u vodećim regionalnim korporacijama na pozicijama menadžera u IT-u: Hotel Inter-Continental, Agrokor, mStart, Vipnet. Trenutno radi u Pragmatekhu kao konzultant za digitalnu transformaciju poslovanja, management coach i poslovni trener posebno specijaliziran za usklađenje poslovanja s GDPR-om.
Koja je uloga cloud computinga u rješavanju GDPR izazova? Odnosno, može li nam cloud pomoći pri usklađenju poslovanja s GDPR-om?
GDPR ili Opća EU Uredba o zaštiti osobnih podataka, danas je jednako vruća tema kao što je računarstvo u cloudu posljednjih nekoliko godina. Obje priče prošle su relativno dugi put od neprihvaćanja i sumnjičenja do suočavanja s činjenicom da je prihvaćanje neminovna potreba korisnika. GDPR je za taj proces ipak trebalo znatno manje vremena. I GDPR i cloud su sada na hrvatskom tržištu u posljednjoj fazi prihvaćanja.
I dok je cloud computing prisutan i o njemu se već cijelo desetljeće govori kao o poslovnom ‘driveru’ i ‘enableru’, GDPR je prihvaćen kao neminovan i poslovni subjekti su – po hrvatskoj navici – u posljednji čas prihvatili činjenicu da moraju uskladiti poslovanje.
Što povezuje Cloud kao tehnologiju i GDPR kao regulativu?
Prije svega suzdržan stav naše poslovne javnosti. Ona nevoljko prihvaća mogućnost korištenja tehnologije u cloudu as-a-Service, uglavnom još uvijek u vlastitom angažmanu i pod vlastitom kontrolom. A usklađivanje s Općom uredom o zaštiti osobnih podataka odrađuje jer jednostavno mora.
Proaktivnim pristupom cijela priča može se predstaviti u puno boljem poslovnom svjetlu, jer i prelazak na cloud i usklađenje s GDPR-om mogu donijeti znatne pogodnosti tvrtkama koje odluče usklađenje s GDPR-om prihvatiti kao stratešku inicijativu koja će im donijeti dugoročnu kompetitivnu prednost.
Što bi konkretno bio proaktivan pristup, što bi tvrtke trebale činiti?
Prije svega, usklađenje s GDPR-om traži od poslovnih subjekata da odrade interno pospremanje cijelog poslovnog sustava. Postavivši tu inicijativu u strateške ciljeve, samom uspostavom Data Governancea (1), koji je još uvijek strana riječ kod nas, kompanije postaju spremnije za interne promjene, jer točno znaju tko upravlja kojim setom internih podataka. Pored toga, snimanjem poslovnih procesa, što je jedan od temeljnih operativnih zadataka pri procjeni spremnosti, kompanije ih mogu revidirati i procijeniti njihovu učinkovitost. U trenutku odluke o poslovno-tehničkim mjerama kojima će uskladiti poslovanje na stol dolazi i odluka o ‘adekvatnim mjerama sigurnosti’ koje GDPR traži. Uprava koja taj trenutak dočeka gledajući u budućnost znatno će lakše financijski i daleko brže realizacijom mjera postići željene učinke korištenjem usluga utemeljenih na cloudu.
Mnogi su sumnjičavi prema cloudu zbog sigurnosti. Jesu li takve sumnje opravdane?
Nisam prorok cloud computinga. I sam sam dugo bio vrlo nepovjerljiv prema ‘mi možemo sve u cloudu’ ponudama, jer često je trošak vlasništva (total cost of ownership – TCO) bio znatno viši nego kod vlastitih rješenja. Naročito sam bio skeptičan prema sigurnosti cloud usluga. Ali GDPR sada donosi veliku razliku. IDC je u istraživanju prije godinu dana ustanovio da je 32 posto kompanija u zapadnoj i sjevernoj Europi svoje cloud-computing usluge preselilo u Europsku uniju, očekujući znatno strože mjere sigurnosti za svoje podatke. Njemačka je praktično prisilila jednog od vodećih davatelja cloud usluga da sagradi Data Centar za pružanje cloud usluga u Njemačkoj, upravo zbog poštivanja odredbi GDPR-a. GDPR, naime, vrlo striktno gleda na sigurnost osobnih, a time i ostalih podataka. Time je argument kojega danas često čujem u hrvatskim kompanijama da cloud usluge nisu sigurne uglavnom nestao.
S druge strane, GDPR definitivno čini hrvatsko tržište interesantnim pružateljima usluga cloud computinga iz Europske unije, a broj aplikacija koje pomažu pri usklađenju s GDPR-om koje su iznjedrile hrvatske kompanije dodatno nas približava tom tržištu. Naravno, moram naglasiti da i kod nas imamo stvarno veliki broj pružatelja usluga smještaja opreme ili korištenja računalne snage as-a-Service te da usklađenjem s GDPR-om njihova ponuda postaje bolja i interesantnija.
Zadnji, ali ne manje važan argument u korist cloud computinga je činjenica da je korištenjem iznajmljenih resursa moguće daleko lakše i brže tržištu pružiti inovativna rješenja i proizvode. To smo već u više navrata vidjeli, a GDPR rješenja hrvatskih kompanija samo to dodatno potvrđuju.