GDPR TEHNIČKA RJEŠENJA
TKO ŠTITI VAŠE PODATKE ?
Kako bezbolno uskladiti svoj ured, tvrtku, ordinaciju , ... s GDPR regulativom
UVOD
Zaštita osobnih podataka jedan je od osnovnih zadataka koje GDPR stavlja pred organizacije bilo da je riječ o osobnim podacima korisnika, klijenata ili zaposlenika. Organizacije u svakom trenutku moraju znati gdje su koji podaci te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, organizacije moraju biti u mogućnosti učiniti to u zadanom roku.
Ovaj će tekst predstaviti neke osnovne zahtjeve regulative i ponuditi tehničke mjere koje vas mogu zaštititi i olakšati vam primjenu regulative.
Što je sve osobni podatak?
Ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagova i kolačića na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Gdje se sve mogu naći osobni podaci?
Osobni podaci se nalaze u vašim E-Mail porukama, u raznim mapama u kojima pohranjujete svoje i primljene dokumente, kao što je mapa Moji dokumenti, često su to dokumenti i mape na Radnoj površini, a mogu to biti i mape na drugim dijelovima vašeg tvrdog diska. Mogu biti i na eksternim medijima, kao što su vanjski diskovi, USB stikovi ili CD/DVD mediji.
Što regulativa govori o zaštiti podataka ?
Članak 5. objašnjava principe obrade osobnih podataka:
1. Osobni podaci će biti:
f) Obrađeni na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te slučajnog gubitka, uništenja ili oštećenja, uz primjenu odgovarajućih tehničkih ili organizacijskih mjera (‘integritet i povjerljivost’).
Članak 32. o sigurnosti obrade podataka kaže:
1. Uzimajući u obzir stupanj razvoja, troškove uvođenja i prirodu, opseg, kontekst i namjenu obrade podataka, kao i rizike razne razine i vjerojatnosti za prava i slobode privatnih osoba, kontrolor i procesor će uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku, uključujući između ostalog i sljedeće mjere:
a) Unošenje pseudo-podataka i enkripciju osobnih podataka;
b) Osiguravanje stalne povjerljivosti, integriteta, dostupnosti i stabilnosti sustava i servisa koji obavljaju obradu podataka;
c) Mogućnost brzog uspostavljanja ponovne dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta;
d) Plan redovitog testiranja, ocjenjivanja i procjene efikasnosti tehničkih i organizacijskih mjera za sigurnost obrade.
Enkripcija predstavlja najjednostavniji i najefikasniji način osiguravanja podataka u skladu sa zahtjevima Članka 32. GDPR regulative.
Članak 30. regulative zahtjeva postojanje pismene evidencije, zajedno s opisom poduzetih tehničkih i organizacijskih mjera, u skladu s Člankom 32, što znači da institucije moraju biti u stanju dokazati da su sistemi sigurni te da se šifrirani podaci mogu vratiti u slučaju tehničkog incidenta.
Članak 33. zahtijeva da se o slučaju povrede sigurnosti osobnih podataka obavijesti nadzorno državno tijelo u roku od 72 sata od trenutka kada je institucija saznala za incident.
Članak 34. regulira obavještavanje vlasnika podataka o povredi sigurnosti podataka te kaže sljedeće:
1. U slučaju kada povreda sigurnosti podataka može dovesti do ugrožavanja prava i sloboda privatnih osoba, kontrolor će bez odlaganja obavijestiti vlasnika podataka o incidentu.
Međutim, regulativa u nastavku kaže:
3. Obavještavanje vlasnika podataka u skladu s paragrafom 1 neće biti potrebno ukoliko je ispunjen bilo koji od sljedećih uvjeta:
a) Kontrolor je uveo odgovarajuće tehničke i organizacijske mjere zaštite i te mjere su primjenjene na osobne podatke čija sigurnost je narušena, a posebno kada se radi o mjerama kao što je enkripcija, koje čine osobne podatke nečitljive bilo kojoj neovlaštenoj osobi;
Vidljivo je kako enkripcija predstavlja dovoljnu zaštitu od ovog rizika i posljedica za reputaciju poduzeća, obrta, ureda, ordinacije, … .
Koje tehničke mjere bi trebalo poduzeti:
- ANTIVIRUSNI PROGRAM (više na antivirusna zaštita)
- FIREWALL – često sastavni dio kvalitetnih antivirusnih programa (više na antivirusna zaštita)
- KRIPTIRANJE
- ARHIVIRANJE PODATAKA (više na C-Cloud backup)
Većina ozbiljnih korisnika posjeduje antivirusne i firewall programe, međutim manji broj koristi profesionalno arhiviranje podataka i kriptiranje.
Profesionalno arhiviranje:
(više na C-Cloud backup)
Osnovne karakteristike:
- jednostavan i potpuno automatski rad – arhiviranje u intervalima prema vašim potrebama od 5 minuta na više
- kriptiranje podataka koji se šalju u arhivu – da udovoljava FIPS-140-2 standardu 256-bitne AES enkripcije
- praćenje verzija dokumenata – moguće vraćanje na prethodnu ispravnu verziju dokumenta ili vraćanje slučajno obrisanog dokumenta
- trenutni pristup i pretrage arhiviranih podataka