Opća uredba o zaštiti podataka (GDPR) zamjenjuje trenutno važeću Direktivu 95/46/EZ, a stupa na snagu 25. svibnja 2018. Primjenjivat će se na području cijele Europske unije i time donijeti usklađivanje propisa i olakšanu prilagodbu za tvrtke koje posluju u više država članica.
GDPR je također donio i nova prava za EU rezidente kojih bi sve organizacije trebale biti svjesne. Ta prava donose i obaveze za voditelje obrade koji moraju provesti odgovarajuće mjere zaštite podataka, jer u suprotnom krše propise i za to mogu biti kažnjeni. Kazne idu i do 20 milijuna eura, odnosno 4 % ukupnog godišnjeg prometa na svjetskoj razini, pa se s time svakako ne treba igrati.
Pogledajmo sada neke od osnovnih načela za zaštitu osobnih podataka koja su u duhu GDPR-a.
Osnovni zahtjevi
GDPR propisuje da svaki voditelj obrade mora ustrojiti kvalitetne mjere zaštite podataka. To obuhvaća pseudonimizaciju, enkripciju, osiguravanje povjerljivosti podataka, dostupnost sigurnosnih kopija i redovne inspekcije valjanosti tehničkih i organizacijskih mjera sigurnosti.
No sve te metode ne moraju se primijeniti na cjelokupnu količinu podataka koju tvrtka posjeduje ili prikupi od klijenata. Saznajte više u odlomcima koji slijede.
Evaluacija rizika
Prikladnost raznih tehničkih metoda očuvanja podataka ovisi o samim podacima. Osjetljivi podaci moraju se itekako dobro čuvati, dok se manje važni i manje rizični podaci smiju čuvati uz nižu razinu sigurnosti.
Naravno, ništa vas ne priječi da implementirate najviše standarde osiguravanja podataka za apsolutno sve podatke, no to uglavnom znači nerazmjerno visoke troškove i zapravo predstavlja bacanje novca u vjetar.
GDPR-om se uvodi koncept rizika. Određeni osobni podatak smatra se rizičnim ako postoji osnovan strah da bi osoba (službeni pojam: ispitanik) pretrpjela značajnu štetu ili duševnu bol u slučaju da dođe do povrede tog podatka.
Često dolazi do teškoća prilikom utvrđivanja važnosti podataka i i mjera koje bi se trebale poduzeti za njihovu zaštitu. U nekim je slučajevima lako pogoditi – podaci o bankovnim računima uvijek trebaju biti dobro zaštićeni, dok naprimjer datum ili mjesto rođenja nisu toliko kritični. U većini situacija to ipak nije tako jednostavno. Zato je potrebna pomoć kvalificiranih stručnjaka koji su sposobni procijeniti potencijalni učinak koji bi povreda podataka imala na tvrtku i na osobe čiji su podaci izloženi riziku. Postoje okolnosti u kojima čak uopće nije potrebno izvijestiti osobe o povredi njihovih podataka, naime kada se podaci smatraju toliko niskorizičnima da njihov gubitak ili javna objava predstavlja minoran do nikakav rizik po oštećene osobe.
Podacima niskog rizika smatraju se podaci čiji gubitak ne bi po ispitanika prouzročio značajnu štetu, već samo neznatne smetnje. Podacima visokog i iznimno visokog rizika smatraju se oni podaci čiji gubitak ili nezakonita upotreba mogu po ispitanike ostaviti dalekosežne i duboke posljedice. To uključuje zdravstvene teškoće, gubitak imovine, pad društvenog ugleda ili čak smrt.
Organizacijske mjere sigurnosti
Ispravne sigurnosne politike za rukovanje podacima trebaju se čvrsto ustrojiti i redovito provjeravati. Ako se rukuje visokorizičnim podacima, politike treba ispitati barem dva puta godišnje, a potrebne su i zasebne politike za obradu običnih osobnih podataka.
Tvrtke se moraju pobrinuti da jasno raspodijele obaveze među zaposlenicima na način da pristup osobnim podacima imaju samo oni zaposlenici kojima je to prijeko potrebno. Kontrole pristupa trebaju se odijeliti ovisno o osjetljivosti podataka. Što je moguće manje osoba trebalo bi imati pristup podacima visokog rizika.
Na izvršiteljima obrade je da obavijeste voditelje o mogućim povredama i voditelju dokažu da su usklađeni s GDPR-om. I izvršitelj i voditelj mogu se međusobno osigurati ugovorima o tajnosti podataka ako se obrađuju osjetljivi podaci. Zaposlenicima koji rukuju osjetljivim podacima trebale bi se omogućiti edukacije i treninzi na godišnjoj bazi.
U vašoj strategiji zaštite podataka ne smije biti slabih karika.
Sigurnosne kopije
Ključno je da tvrtke rade redovite sigurnosne kopije korisničkih podataka kako bi omogućile nesmetano poslovanje i smanjile rizike koji mogu nastati u slučaju uništenja originalnih podataka. Što su podaci važniji za poslovanje, to je potrebno češće i temeljitije izrađivati kopije.
Za podatke niskog rizika potrebna je samo osnovna razina sigurnosti, kao što je pohranjivanje tih zapisa na sigurnom mjestu uz pomno praćenje. Kod osjetljivih podataka potrebni su dodatni koraci koji uključuju redovno testiranje medija na koji se kopiralo i enkripcija prilikom slanja trećim stranama. Ako su podaci visoko rizični, treba ih uvijek enkriptirati, a kopije pohraniti na sigurnom mjestu ili računalu bez pristupa internetu.
Enkripcija i pseudonimizacija
Kod rukovanja niskorizičnim podacima u načelu nisu potrebne ni enkripcija ni pseudonimizacija. Međutim, podaci srednjeg i visokog rizika trebali bi biti barem pseudonimizirani.
Pseudonimizacija je postupak ‘čišćenja’ osobnih podataka na način da se pojedinci ne mogu identificirati iz skupa podataka. Takvi podaci nisu u potpunosti anonimni, ali ne sadrže imena osoba ili ostala jedinstvena obilježja. Kako bi se sa sigurnošću identificirali pojedinci, potrebni su dodatni, vanjski podaci. Pseudonimizirani podaci najčešće su i dalje korisni (npr. za marketing), ali sa stajališta privatnosti i mnogo sigurniji.
Podatke također treba pseudonimizirati kod provođenja znanstvenih ili statističkih istraživanja. Nadalje, pseudonimizacijom podataka tvrtke se mogu izuzeti od obaveze obavještavanja svih osoba u slučaju povrede podataka – jer ni tvrtka ni potencijalni napadači nisu u stanju identificirati osobu čiji su podaci pokradeni. No ipak je potrebno poduzeti mjere da se spriječi eventualna ponovna identifikacija do koje može doći ako se koriste dodatni podaci iz drugih izvora.
U GDPR-u se također potiče enkripcija kao metoda dodatnog osiguravanja i zaštite osjetljivih podataka od neželjenog pristupa i neovlaštene upotrebe, čak i ako se dogode interne ili eksterne povrede.
Kontrola pristupa
Zaposlenici koji rade s osobnim podacima trebali bi dobiti neki oblik autentifikacije kojim se reguliraju razine pristupa (kartice, tokeni i sl.). Autentifikacijski sustav se naravno onda mora implementirati na nivou cijele organizacije ili odjela koji radi s osobnim podacima, osobito ako su ti podaci osjetljivi.
Pristup rizičnim podacima trebao bi se regulirati i jakim lozinkama s provjerom u dva koraka. Takvi se podaci također ne smiju prenositi ili slati bilo kome izvan matične organizacije.
Više o kontrolama pristupa saznajte ovdje.
Preventivne mjere
Treba provoditi redovno ažuriranje antivirusnog softvera i sustava. Vanjski prijenosni uređaji poput USB memorije ne smiju se koristiti za prijenos podataka, a osjetljivi se podaci moraju enkriptirati. Valja razmisliti i o nadzoru internetskog prometa, a implementacija kriptografskih protokola danas je manje-više obavezna (SSL i TLS).
Podatke treba uništiti na siguran način. Jednostavno brisanje dovoljno je za niskorizične podatke, ali podaci visokog rizika zahtijevaju opsežniji tretman prepisivanjem medija nasumičnim podacima ili čak njegovim fizičkim uništenjem. Brisanje podataka trebalo bi se odvijati na fizičkoj lokaciji voditelja obrade.
Zaključak
Mjere koje GDPR propisuje za očuvanje sigurnosti podataka i zakonsku usklađenost vrlo su odmjerene i razumne; one, naime, slijede pristup smanjenja troškova, ali istovremeno osiguravaju da zaista osjetljivi podaci ostanu zaštićeni u svakom trenutku.
Do problema dolazi tijekom određivanja stupnja rizika podataka. Za to je potrebna stručna pomoć, a iz iskustva znamo da mala i srednja poduzeća često nemaju dovoljno znanja da to sami naprave.
To može imati vrlo neugodne posljedice ako dođe do povrede podataka. Zbog toga je potrebna pomoć stručnjaka, kao i temeljita edukacija zaposlenika uz ustrojavanje dobre prakse za postupanje s podacima unutar tvrtke. Jednom kad se započne s takvim mjerama, značajno se smanjuje rizik od povreda podataka i kazni, uz povećanu efikasnost i povjerenje klijenata.
