GDPR TEHNIČKA RJEŠENJA

TKO ŠTITI VAŠE PODATKE ?

Kako bezbolno uskladiti svoj ured, tvrtku, ordinaciju , ... s GDPR regulativom

UVOD

Zaštita osobnih podataka jedan je od osnovnih zadataka koje GDPR stavlja pred organizacije bilo da je riječ o osobnim podacima korisnika, klijenata ili zaposlenika. Organizacije u svakom trenutku moraju znati gdje su koji podaci te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, organizacije moraju biti u mogućnosti učiniti to u zadanom roku.

Ovaj će tekst predstaviti neke osnovne zahtjeve regulative i ponuditi tehničke mjere koje vas mogu zaštititi i olakšati vam primjenu regulative.

Što je sve osobni podatak?

Ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagova i kolačića na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Gdje se sve mogu naći osobni podaci?

Osobni podaci se nalaze u vašim E-Mail porukama, u raznim mapama u kojima pohranjujete svoje i primljene dokumente, kao što je mapa Moji dokumenti, često su to dokumenti i mape na Radnoj površini, a mogu to biti i mape na drugim dijelovima vašeg tvrdog diska. Mogu biti i na eksternim medijima, kao što su vanjski diskovi, USB stikovi ili CD/DVD mediji.

Što regulativa govori o zaštiti podataka ?

Članak 5. objašnjava principe obrade osobnih podataka:

1. Osobni podaci će biti:

f) Obrađeni na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te slučajnog gubitka, uništenja ili oštećenja, uz primjenu odgovarajućih tehničkih ili organizacijskih mjera (‘integritet i povjerljivost’).

Članak 32. o sigurnosti obrade podataka kaže:
1. Uzimajući u obzir stupanj razvoja, troškove uvođenja i prirodu, opseg, kontekst i namjenu obrade podataka, kao i rizike razne razine i vjerojatnosti za prava i slobode privatnih osoba, kontrolor i procesor će uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku, uključujući između ostalog i sljedeće mjere:

a) Unošenje pseudo-podataka i enkripciju osobnih podataka;

b) Osiguravanje stalne povjerljivosti, integriteta, dostupnosti i stabilnosti sustava i servisa koji obavljaju obradu podataka;

c) Mogućnost brzog uspostavljanja ponovne dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta;

d) Plan redovitog testiranja, ocjenjivanja i procjene efikasnosti tehničkih i organizacijskih mjera za sigurnost obrade.

Enkripcija predstavlja najjednostavniji i najefikasniji način osiguravanja podataka u skladu sa zahtjevima Članka 32. GDPR regulative.

Članak 30. regulative zahtjeva postojanje pismene evidencije, zajedno s opisom poduzetih tehničkih i organizacijskih mjera, u skladu s Člankom 32, što znači da institucije moraju biti u stanju dokazati da su sistemi sigurni te da se šifrirani podaci mogu vratiti u slučaju tehničkog incidenta.

Članak 33. zahtijeva da se o slučaju povrede sigurnosti osobnih podataka obavijesti nadzorno državno tijelo u roku od 72 sata od trenutka kada je institucija saznala za incident.

Članak 34. regulira obavještavanje vlasnika podataka o povredi sigurnosti podataka te kaže sljedeće:

1. U slučaju kada povreda sigurnosti podataka može dovesti do ugrožavanja prava i sloboda privatnih osoba, kontrolor će bez odlaganja obavijestiti vlasnika podataka o incidentu.

Međutim, regulativa u nastavku kaže:

3. Obavještavanje vlasnika podataka u skladu s paragrafom 1 neće biti potrebno ukoliko je ispunjen bilo koji od sljedećih uvjeta:

a) Kontrolor je uveo odgovarajuće tehničke i organizacijske mjere zaštite i te mjere su primjenjene na osobne podatke čija sigurnost je narušena, a posebno kada se radi o mjerama kao što je enkripcija, koje čine osobne podatke nečitljive bilo kojoj neovlaštenoj osobi;

Vidljivo je kako enkripcija predstavlja dovoljnu zaštitu od ovog rizika i posljedica za reputaciju poduzeća, obrta, ureda, ordinacije, … .

Koje tehničke mjere bi trebalo poduzeti:

Većina ozbiljnih korisnika posjeduje antivirusne i firewall programe, međutim manji broj koristi profesionalno arhiviranje podataka i kriptiranje.

Profesionalno arhiviranje:

(više na C-Cloud backup)
Osnovne karakteristike:

  • jednostavan i potpuno automatski rad – arhiviranje u intervalima prema vašim potrebama od 5 minuta na više
  • kriptiranje podataka koji se šalju u arhivu – da udovoljava FIPS-140-2 standardu 256-bitne AES enkripcije
  • praćenje verzija dokumenata – moguće vraćanje na prethodnu ispravnu verziju dokumenta ili vraćanje slučajno obrisanog dokumenta
  • trenutni pristup i pretrage arhiviranih podataka

internet.hr

Ova web stranica NE koristi kolačiće.