Cyber kriminal (ili, ako vam je draže: kiberkriminal) danas je postao prava pošast koja tvrtke i osobe košta milijarde eura godišnje. GDPR za cilj ma pokušati spriječiti takve napade i smanjiti njihovu razornost ako se i dogode. To se želi postići na način da se od tvrtki zahtijeva primjena boljih načela zaštite podataka. Pogledajmo zato na koji vam način GDPR može pomoći smanjiti sigurnosne rizike i kako štiti osobe čiji su podaci izloženi riziku.
Kako GDPR pomaže u zaštiti podataka?
GDPR donosi postrožene propise za primjenu sigurnosnih mjera koje će pomoći u sprečavanju potencijalnih povreda. Tvrtke će, jasno, imati dodatne obaveze koje će morati ispuniti ako ne žele plaćati ogromne kazne, ali dobri sustavi za zaštitu podataka u svačijem su interesu jer i povrede podataka tvrtke mogu skupo koštati.
Procjena rizika
Procjena je rizika među glavnim čimbenicima zaštite podataka, i kao takva nalazi se u smjernicama za izradu procjene učinka na zaštitu podataka. Što je stupanj rizika veći, to je veća i potreba za boljim i cjelovitim sigurnosnim mjerama. Sve procjene učinka na zaštitu osobnih podatka moraju sadržavati popis koraka koji će se poduzeti u svrhu smanjenja rizika. Vaš službenik za zaštitu osobnih podatka pomoći će vam u ispravnom određivanju stupnja rizika.
Nadalje, najbolji način za prevenciju povreda podataka jest smanjenje količine podataka koju pohranjujete. GDPR ionako propisuje obvezu brisanja podataka koji nisu prijeko potrebni za izvršavanje svrhe za koju su dobiveni. Razina sigurnosti trebala bi biti razmjerna procijenjenom stupnju rizika.
Vođenje evidencije
Evidencije moraju voditi sve tvrtke i organizacije s više od 250 zaposlenika. U zapisima se moraju navesti svrha obrade, kategorije obrade i eventualni daljnji primatelji osobnih podataka (izvršitelji obrade i osobe unutar tvrtke). Također, obavezno je navođenje svih prijenosa podataka u treće zemlje, kao i popis sigurnosnih mjera kojim se podaci štite (sigurnosne ste mjere odredili prethodno, u procjeni učinka na zaštitu podataka).
Time se povećava transparentnost vaših aktivnosti obrade, a tvrtka bi također trebala biti u stanju lakše odrediti gdje su podaci i što se s njima radi. To će olakšati otkrivanje povreda podataka, kao i krivaca za iste. Za više informacija o vođenju evidencije podataka zaposlenika, kliknite ovdje.
Tehničke mjere
U čl. 32. GDPR-s propisuju se konkretne mjere za sigurnost podataka. Ipak, kako je navedeno u odjeljku za procjenu rizika, ne morate primijeniti sve metode na cjelokupne podatke koje posjedujete.
Kao jedna od boljih mjera često se spominje pseudonimizacija, a trebali biste je primijeniti kad god je to moguće. Pojam pseudonimizacije odnosi se na ‘čišćenje’ i obradu podataka na način da je iz njih nemoguće s dovoljnom sigurnošću utvrditi o kojem se pojedincu radi. Prednosti su tu odmah vidljive – naime, čak i da dođe do povrede podataka, ti će podaci napadačima uglavnom biti bezvrijedni, a osobama će biti teško naštetiti njihovim neovlaštenim korištenjem.
Enkripcija podataka također je vrlo važna i trebalo bi je primjenjivati. Zajedno s pseudonimizacijom predstavlja glavne mehanizme za zaštitu podataka koje GDPR potiče i trebali biste ih primjenjivati u što većoj mogućoj mjeri.
Nakon što podatke sortirate prema stupnju rizika, možete započeti s usvajanjem ostalih organizacijskih i tehničkih mjera. Među ostalim, to su i sigurnosne politike, kontrole pristupa, jasna podjela odgovornosti, upravljanje resursima i sl.
Tehničke mjere obuhvaćaju politike autentifikacije i korištenja lozinki. Obavezno je osigurati baze podataka metodama kao što su enkripcija, autorizirane pretrage ili pretraživa enkripcija. Razmilite o enkriptiranju tvrdih diskova na poslužitelju. Svakako ažurirajte antivirusni softver na računalima zaposlenika i zabranite prijenos osobnih podataka s jednog na drugo računalo. Računala koja sadrže osjetljive podatke svakako enkriptirajte i po mogućnosti odspojite s Interneta.
Dobra enkripcija najbolji je mogući način za zaštitu podataka.
U slučaju povrede…
… prvo se morate obratiti nadzornom tijelu. U čl. 4 obrađuje se pojam povrede podataka, kojom se smatra svako „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;”
Voditelji obrade trebaju prijaviti povredu nadzornim tijelima što je prije moguće bez odlaganja, ali nikad nakon 72 sata od trenutka povrede. U prijavi povrede trebate navesti sljedeće:
- Opis i prirodu povrede, kategorije i procjena broja oštećenika
- Kontakt detalji službenika za zaštitu podataka unutar tvrtke
- Opis mogućih posljedica povrede
- Popis poduzetih mjera za smanjenje štetnih posljedica povrede
Sve korake koje poduzmete tijekom odgovora na povredu morate temeljito dokumentirati. Upamtite da prijaviti povredu smijete čak i ako nemate sve od gorenavedenih podataka. Daljnje informacije možete dostavljati kad ih dobijete.
Ako sumnjate, prijavite
Relevantne procedure naći ćete u čl. 33 i 34. Ako dođe do povrede podataka, pokušajte utvrditi je li povreda prouzročila „visok rizik za prava i slobode pojedinaca“, jer ako je, „voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.“ U svakom slučaju nemojte pokušati prikriti povredu podataka, kao što rade neke velike tvrtke poput Ubera.
Dakle, u slučaju da je povreda visokorizična obvezni ste to dojaviti ispitanicima (osobama) čiji su podaci ugroženi, a osobito ako su povrijeđeni osjetljivi podaci. Ako je obuhvaćeno toliko osoba da bi kontaktiranje svake od njih bilo nepraktično, dovoljnim se smatra i javna objava putem medija. Sva priopćenja trebala bi biti sročena na jednostavan, lako razumljiv način.
Ako ste podatke pravilno pseudonimizirali ili enkriptirali, nemate obavezu takvog priopćavanja jer se osobni podaci smatraju dovoljno sigurnima i neiskoristivim napadačima, ali na vama je da dokažete da ste te mjere zaista i proveli te da rizik za osobe ne postoji. Zato je bitno ustrojiti dobar sustav za zaštitu podataka i voditi detaljnu evidenciju aktivnosti, čime možete izbjeći ogromne kazne.
Ustrojite jedinicu za hitne računalne intervencije (CERT) zajedno s planom aktivnosti u slučaju da dođe do povrede. Vodite evidenciju o svim koracima koje poduzmete, i dokumentirajte sve činjenice o povredi koja se dogodila.
Kolike su kazne?
U GDPR-u su jasno navedena pravila i uvjeti za administrativne kazne. Kazna za neobavještavanje nadzornog tijela iznosi do 10 milijuna eura, odnosno do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće. Ako se dokaže da je došlo do težih povreda kao što su nezakonita obrada podataka, netransparentnost, kršenje prava ispitanika ili nezakonitog prijenosa podataka u treće zemlje, kazne se mogu udvostručiti na do 20 milijuna eura odnosno do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Budite uvijek na oprezu
Povrede podataka nikad nisu ugodne, i mogu vas skupo koštati. Negativan utjecaj na reputaciju i gubitak povjerenja osjetit će te još dugo vremena, što čak može biti i gore od same prijetnje kaznama.
Međutim, to ne mora biti tako. GDPR je pisan na način da tvrtke usmjeri ka usklađenosti i dobrim politikama sigurnosti koje smanjuju mogućnost da do povreda uopće dođe, a ako i dođe, smanjit će njihov štetan utjecaj.
Naš je savjet jednostavan. Uskladite se s GDPR-om i već ste napravili većinu posla. Podaci će vam biti sigurniji, a i izbjeći ćete moguće kazne. Vremena još ima, ali sve ga je manje – 25. svibnja doći će brže nego što mislite!
