Me 25 maj 2018 ka hyrë në fuqi Rregullorja për Mbrojtjen e të Dhënave – shkurtimisht e njohur si GDPR. Kjo rregullore ka për qëllim mbrojtjen dhe ruajtjen e privatësisë të të gjithë qytetarëve brenda Bashkimit Evropian. Gjithashtu, Rregullorja i përcakton kushtet që poseduesit e këtyre të dhënave duhet t’i zbatojnë gjatë përdorimit dhe gjatë transferit të informatave brenda e jashtë BE-së.
Pothuajse çdo biznes ka nevojë për ruajtjen e të dhënave personale, nisur nga punëtorët e deri te klientët. Por, edhe pse mënyra e ruajtjes së të dhënave ka ndryshuar ndër vite, mbrojtja në online e informatave nuk mjafton pa pasur një sistem ose platformë të menaxhimit të tyre.
Zhvillimi i teknologjisë ka ndikuar që automatizimi i proceseve të inkuadrojë të dhëna senzitive, si për infrastrukturën e kompanisë, ashtu edhe për përmbajtjen e informatave. Si shembull, nëse keni qasje në një sistem/platformë të organizatës, aty mund t’i gjeni jo vetëm procesin e biznesit dhe akterët e involvuar, por edhe informatat personale të stafit apo klientëve – nga emri dhe mbiemri, adresa, kontakti, roli, gjinia, kualifikimi e ndoshta edhe preferencat. Përfitimi nga posedimi i këtyre informatave është shumëfish më i lartë se përcaktimi i një vlere monetare (shembull për këtë është rasti Camridge Analytica dhe ndikimi që kishte në politikat ndërkombëtare).
Por, sa po zbatohet kjo rregullore dhe cilat janë pasojat për organizatat që nuk i zbatojnë rregullat?
Niveli i zbatimit në vendet e Bashkimit Evropian, ndryshon sipas prioritetit. Vlen të theksohet se ky vendim nuk vlen për institucionet publike shtetërore, por vetëm për sektorin privat. Ndërsa, më të prekurit nga rregullorja janë organizatat që merren me rekrutimin e stafit në nivel global.
Në anën tjetër, monitoruesit e këtij ligji kanë filluar të ndëshkojnë kompanitë që nuk i zbatojnë rregullat e GDPR-së. Por, sa sjellin efekt në vetëdijesimin e tyre, kjo është çështje tjetër, për disa arsye. Në radhë të parë, kriterin bazë në rregullore për përcaktimin e një personi si zyrtar për mbrojtjen e të dhënave, organizatat konsiderojnë se e plotësojnë duke përcaktuar persona jokompetentë. Roli i atij zyrtari kërkon njohuri, duke filluar nga aspekti ligjor e siguria e informacionit, deri te njohja e proceseve të organizatës. Kjo mund të jetë për shkakun se organizatat më parë pranojnë gjobë, sesa të ndryshojnë proceset e brendshme (sepse impakti është më i vogël). Por, nuk duhet harruar nganjëherë gjoba është shumë më e vogël se rëndësia e rekomandimeve të mundshme për përmirësimin e sistemit të brendshëm. Shembull për krahasim është rasti i një institucioni bankar në Evropë që është gjobitur me 130 mijë euro. Për ata që kanë njohuri në këtë sektor, e dinë mirë se ndryshimet në sistemin bazë të bankës jo vetëm që janë të kushtueshme, por nganjëherë të pamundura për ndryshime teknike në afate të shkurta kohore. Kjo lloj kërkese mund të rezultojë me dështim apo falimentim të ndonjë organizate që nuk i zbaton rregullat e GDPR-së. Pra, nuk duhet neglizhuar si çështje, sepse impakti mund të krahasohet me Majën e Ajsbergut.
Organet kompetente që sigurohen për zbatimin e kësaj rregulloreje, duhet ta kenë parasysh që roli i tyre nuk duhet të jetë vetëm autoritet dhe instrument ndëshkues, por vetëdijesim i vazhdueshëm për organizatat që i kanë nën mbikëqyrje. Kjo sepse shumë organizata nuk e kanë idenë si ta aplikojnë këtë standard, ndërsa të shumtën e rasteve nuk kuptojnë që është praktikë që duhet zbatuar ne thelbin e proceseve dhe platformave që i shfrytëzojnë.
Instrumenti i ndëshkimit mund të ketë pasoja katastrofike në ekonominë e një vendi, sepse nuk e kuptojnë që strategjia e organizatave është në drejtim të kundërt me kërkesat e këtij standardi. Imagjinoni sikur për shkak të shkeljeve të mëdha të rregullores, duhet mbyllur korporatat që janë shtylla e ekonomisë së një vendi e që kanë dështuar t’i përballojnë dënimet apo impaktin e ndryshimit të proceseve eksistuese.
Në Kosovë nga kjo rregullore janë të prekura ato organizata me karakter të mbajtjes së të dhënave të qytetarëve nga zona e Bashkimit Evropian – në cilësinë e punonjësve apo edhe si klientë të tyre. Pra, duhet pasur kujdes që GDPR të zbatohet në tërësi. Në epokën e digjitales është e pamundur që një organizatë të mos preket së paku një herë nga sulmet kibernetike. Kjo është çështje kohe, ndaj është mirë që sistemi i mbrojtjes së të dhënave të jetë i vendosur në organizatë, si dhe një plan i veprimit të shpejt.
Si përfundim, organizatat duhet të bëjnë vlerësimin e vazhdueshëm të rrezikut nga këto sulme dhe të kenë një program vetëdijesimit në organizatë për impaktin e sulmeve kibernetike.
(Autori është themelues/CEO i kompanisë “Be Consulted”)