Marija Bošković Batarelo jedna je od prvih stručnjakinja za primjenu Opće uredbe o zaštiti podataka (GDPR) u Hrvatskoj. Iako je svoju karijeru započela kao klasična pravnica, s radom u bankarskom sektoru, no magistarski studij odveo ju je u smjeru prava i tehnologije, što je shvatila da ju puno više privlači, te se u daljoj karijeri fokusirala na područje privatnosti i zaštite osobnih podataka.
U razgovoru s Women in Adria, Bošković Batarelo nam je opisala kako je pokrenula svoju tvrtku, kako izgleda rad na zaštiti podataka, te nam je podijelila niz savjeta i smjernica za biznise koji su obvezni pridržavati se Opće uredbe o zaštiti podataka – što su gotovo svi.
Danas se, kaže, susreće s raznim tehnologijama – od razvoja i održavanja softvera, poslovanja u cloudu, implementacije umjetne inteligencije, do usklađivanja web stranica i mobilnih aplikacija. Uloga pravnika u takvom okruženju ima jasnu logiku: radi se procjene rizika, analiziraju legitimni interesi, procjenjuje učinak na zaštitu podataka te utjecaj na temeljna prava i slobode, izrađuju se procedure, interni akti, ugovori, provode edukacije.
Rad s ljudima
“Zapravo se uvijek radi s ljudima i sve je u ljudima, pa čak i tehnologija. Iako se mnogima GDPR čini kao birokratski teret, u suštini svega je zaštita ljudskog prava na privatnost i zaštitu osobnih podataka”, kaže Bošković Batarelo.
Njezin poduzetnički put nije krenuo naglo. Najprije je, prisjeća se, odlučila pokrenuti franšizu nizozemskog brenda Privacy Company, koji je već imao značajno iskustvo u području privatnosti. Edukacije je u početku održavala preko tvrtki specijaliziranih za organizaciju edukacija.
Prekretnica se dogodila kada je jedno od društava s kojima je najviše surađivala otišlo u stečaj. Tada je odlučila pokrenuti vlastiti brend – Parser compliance. “Tako da ništa od toga nije išlo brzo i nepromišljeno, ali je definitivno bilo u pravom trenutku”, objašnjava. U trenutku kada se priča oko GDPR-a “zahuktala”, već je imala iza sebe diplome i edukacije i bila spremna za tržište.
Pročitajte više: Znate li da imate pravo na zaborav? Pravnica Ana Čosić objašnjava što je i kako ga ostvariti
Biti prvi
Biti među prvima u nekom području donosi i prednosti i mane, kaže Bošković Batarelo. Prednost je sloboda kreiranja proizvoda i usluga, osmišljavanja novih edukacija i prepoznatljivost po onome što radiš i voliš. S druge strane, tržište često još nije posve spremno, pa je trebalo puno educirati potencijalne klijente kako bi uopće razumjeli zašto im treba stručnjak za GDPR.
Na pitanje koliko je danas važno pridržavati se GDPR-a, Bošković Batarelo je jasna: ne radi se o sitnoj zakonskoj obvezi, nego o regulativi koja štiti ljudsko pravo, a nadzire je Agencija za zaštitu osobnih podataka, koja je u posljednjih sedam godina izrekla više od 10 milijuna eura upravnih novčanih kazni.
“Poduzetnici često zanemaruju da se GDPR na njih odnosi”, rekla nam je. “Zapravo su svi poduzetnici, bez obzira čime se bave, obveznici primjene GDPR-a. To znači, npr. ako imaju web stranicu tada na stranici mora biti istaknuto tko je poduzetnik, čime se bavi, što sve prikuplja. Ako klijent ispunjava neki obrazac, mora se u tom trenutku znati koji podatak služi u koju svrhu i je li se nekom prosljeđuje te koliko dugo se čuva.”
“Ako nas klijent pita nešto u vezi obrade osobnih podataka, tada moramo dati smislen odgovor, a ne ‘oduvijek smo to tako radili, ma samo kliknite i sve će biti u redu’ ili ‘ne znam, moram pitati kolegicu’ i slično”, kaže Bošković Batarelo.
Izazovi novih tehnologija
Razvoj alata umjetne inteligencije donosi sasvim nove izazove. Međutim, kako napominje Bošković Batarelo, mnogi još nisu svladali ni “stare” tehnologije. I dalje se viđaju zbunjujuće i neusklađene obavijesti o kolačićima, veliki broj kibernetičkih napada počinje lažnim e-mailovima, a korisnici često nisu svjesni da su svoje podatke dali u krive ruke.
Tehnologija se razvija brže nego što prate regulativa i edukacija. U tome, po njezinim riječima, prednjače zemlje izvan EU-a. “Tako da svi pričaju o tome kako EU regulira, dok druge zemlje razvijaju”, kaže Bošković Batarelo, komentirajući aktualne pokušaje Europske unije da regulira umjetnu inteligenciju.
Novi izazovi koje ona vidi povezani su s povećanom obradom osobnih podataka za treniranje i korištenje sustava umjetne inteligencije, često na nejasan i netransparentan način, uz kibernetičku sigurnost koja nije na razini na kojoj bi trebala biti. Zbog toga pravnici provode procjene rizika i predlažu mjere kako bi se ti rizici izbjegli ili barem smanjili.
Bez velikih ulaganja
Mnogim malim tvrtkama GDPR i zaštita podataka zvuče apstraktno i skupo. No Bošković Batarelo naglašava da se može krenuti od osnova i bez velikih ulaganja. “Savjetovala bih da krenu s osnovama: znati koje podatke prikupljaju, zašto ih prikupljaju i tko im ima pristup”, kaže.
Greške su često banalne: loše lozinke, slanje osjetljivih podataka e-mailom, nedostatak edukacije, spremanje svega na jedno računalo ili USB bez sigurnosnih kopija i bez dvofaktorske autentikacije. Mnogi problemi, dodaje, mogu se izbjeći uspostavom jasnih internih procedura i osnovnom edukacijom zaposlenika.
U tome im može pomoći i besplatan alat Olivia, web aplikacija koju je razvila Agencija za zaštitu osobnih podataka, a na kojoj je i sama radila godinu dana kao vanjska suradnica. U Oliviji je moguće brzo krenuti od osnova – naučiti ključne pojmove, izraditi evidenciju aktivnosti obrade te Pravilnik o zaštiti osobnih podataka.
Najčešće greške
U svom radu, Bošković Batarelo jasno vidi razlike između malih i većih sustava. “Kod malih poduzetnika najčešće viđam zastarjele obrasce i dokumente, u kojima nije jasno zašto se koji podatak prikuplja i što je obavezno, a što ne”, kaže. “Obično se sve pokušava riješiti putem jednog dokumenta pod nazivom privola, a pritom se na razumiju pravne osnove i osnovni pojmovi iz GDPR-a.”
Kod srednjih i velikih tvrtki, izazov je drukčiji: potrebno je osmisliti cijeli sustav usklađenosti i osigurati dovoljno resursa ljudima koji se njime bave. “Često nedostaje pravnika u takvim sustavima pa bude jedan pravnik zadužen za dosta toga, a zapravo se mora razmišljati i o uvođenju compliance funkcija, compliance odbora i slično”, kazala nam je.
Procedure i interni akti su nerijetko neažurirani i neadekvatni, a u većim sustavima svaki radnik bi trebao biti educiran, znati što i kako mora raditi te koje su posljedice ako se posao ne obavi na propisani način. Posebno važno je, navodi, imati jasan proces kad zaposlenik odlazi – od provjere opreme do pristupa informacijskim sustavima.
Zaštita od početka
Na pitanje kada startupi trebaju početi razmišljati o zaštiti osobnih podataka, Bošković Batarelo odgovara bez zadrške – od samog početka. “Ako start-up od početka gradi svoj proizvod s ugrađenom zaštitom osobnih podataka i privatnosti (‘privacy by design’), kasnije će sve biti puno lakše”, kaže.
U ranim fazama razvoja to znači razmisliti koje podatke prikupljaju, kako ih pohranjuju, s kime ih dijele i kako ih štite. To je, dodaje, i poslovno pametno, jer ulagači sve češće traže dokaze da startup vodi računa o usklađenosti poslovanja.
Pomažu i inkubatori te startup zajednice koje često osiguravaju mentore za područje usklađenosti poslovanja, osobito u fazama kada još ne postoji budžet za angažiranje stručnjaka.
Bilo da se tvrtka oslanja na vlastite kapacitete ili vanjske stručnjake, Bošković Batarelo naglašava da je uvodna edukacija o zaštiti podataka za sve zaposlenike – nužna. Idealno, tu bi uvodnu edukaciju trebao pratiti i kratki test znanja, a edukacije je potrebno provoditi barem jednom godišnje.
Edukacije obično provode službenici za zaštitu podataka. “Kada obavljam usluge službenika za zaštitu podataka, onda edukacije provodim u okviru te usluge. Također, educiram osobe koje su imenovane kao službenik za zaštitu podataka na koji način držati edukacije da budu primjenjive, jasne i efikasne”, objašnjava.
Poslovanje sve složenije
Na kraju, Bošković Batarelo podsjeća da s razvojem tehnologije i regulative poslovanje postaje sve složenije i skuplje, pa je upravljanje rizicima postalo jedna od ključnih poduzetničkih vještina. To znači znati što je prioritet i čemu posvetiti ograničeno vrijeme i budžet.
“Npr. – ako naš sav promet dolazi od poslovanja preko webshopa onda ćemo se posvetiti Općim uvjetima poslovanja i Pravilima privatnosti na webshopu, a ako se bavimo poslovanjem koje ne podrazumijeva obrade osobnih podataka, to znači da ćemo se prvenstveno posvetiti odnosu prema radnicima, pravilniku o radu i evidenciji o radu/radnom vremenu”, kaže Bošković Batarelo.
Zaključuje kako bi etičnost i usklađenost poslovanja trebale biti važne od samih početaka, ali u praksi se poduzetnici njima više bave kako posao raste i postaje složeniji. Tada zapošljavaju ljude koji se posvećuju upravo tim temama i, kako nam je rekla, “na kraju krajeva onda poslujemo održivo i uspješno”.
Foto: Privatni arhiv, Canva, Midjourney
