Danas su zahtjevi za zaštitom podataka, dostupnošću, povjerljivošću i integritetom, odnosno upravljanjem informacijskom sigurnošću, uz regulatorni okvir koji je postao sve određeniji po pitanju informacijske sigurnosti, postali temeljni zahtjevi o kojima ovisi naše pravo na privatnost sada i u budućnosti.

Tehnološki napredak, pojava računalstva u oblacima nastavljaju predstavljati prijetnju za privatnost, te zahtjevi za zaštitom privatnosti i korištenjem tehnologija koje štite privatnost kako bi minimizirali te prijetnje su kritični za održavanje privatnosti.

Prikladna zaštita osobnih podataka je i dalje najveći izazov s kojim se suočavaju pojedinci, tvrtke i državna uprava. Tehnologija sama po sebi ne mora biti prijetnja privatnosti. Naprotiv, tehnologija može u isto vrijeme ugroziti i štititi privatnost. Ključ je u tome kako ju koristimo. Stoga, oni koji na vrijeme prepoznaju sve prednosti ugrađivanja mehanizama za zaštitu osobnih podataka moći će uživati komparativnu prednost pred konkurencijom, odnosno veće povjerenje građana.

Nova pravila zaštite osobnih podataka – jesmo li spremni?

Europska unija donijela je ove godine novi regulatorni okvir za zaštitu privatnosti naziva Opća uredba o zaštiti podataka (General Data Protection Regulation, kraće GDPR). Uredba će stupiti na snagu u svibnju 2018. i za razliku od direktive iz 1995. bit će direktno primjenjiva u državama članicama bez potrebe za implementacijom u nacionalno zakonodavstvo.

Kako propisane kazne za njezino kršenje sežu do 4 % godišnjega prihoda ili 20 milijuna eura, donosimo pregled brojnih novih obveza za privatne tvrtke, državne organizacije, udruge i sve ostale subjekte koji sudjeluju u prikupljanju i obradi osobnih podataka kako bi na vrijeme započeli prilagođavati svoje poslovanje novim zahtjevima Uredbe, koje se odnose na procjene rizika, očuvanje sigurnosti, otkrivanja prijetnji i povreda osobnih podataka.

Što GDPR znači pojedincu?

Pravo na zaštitu privatnosti jedno je od temeljnih prava svakoga čovjeka. Svrha je zaštite osobnih podataka zaštita privatnoga života. Stoga, za organizacije koje obrađuju osobne podatke privatnost je povezana s rizikom kojim treba profesionalno upravljati na sličan način kako upravljamo i drugim rizicima, odnosno osobni podatci se moraju koristiti odgovorno s uključenim mehanizmima za zaštitu od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa te neovlaštenoga objavljivanja.

Treba li nam „pravo na zaborav“?

Zanimljivi su rezultati istraživanja provedenoga prije donošenja GDPR-a o potrebi za „pravom na zaborav“. Gotovo dvije trećine stanovništva smatra da je objava osobnih podataka sastavni dio modernoga života, ali isto tako 75 % stanovništva misli da trebaju imati pravo na brisanje informacija pohranjenih na internetu. Nažalost 67 % stanovništva nije upoznato s postojanjem nacionalnih regulatora za zaštitu osobnih podataka.

Tim više je inicijativa izrade novih ujednačenih pravila važna za EU te će se jedan zakon primjenjivati u cijeloj Europi, što će svakako olakšati snalaženje s različitim zakonskim implementacijama direktive koja je donedavno bila na snazi.

Uredba definira nova prava ispitanika: pravo na zaborav i brisanje te pravo na prenosivost podataka. Pravo na zaborav i brisanje uključuje obvezu voditelja zbirke koji je inicijalno učinio podatke javno dostupnim da informira sve treće strane te izbriše sve poveznice ili kopije osobnih podataka. Pravo na prenosivost podataka predviđa prava ispitanika na dobivanje kopije osobnih podataka od voditelja zbirke te pravo na prijenos podataka (npr. drugom davatelju usluge). Pravo na zaborav i pravo na prenosivost podataka tehnološki su izazovi zbog potrebe osiguranja da se podatci prikupe, odnosno izbrišu na svim mjestima na kojima su zabilježeni, od aktivnih baza podataka do sigurnosnih kopija.

Uredba potvrđuje jasan i afirmativan pristanak (opt in) kao preduvjet prikupljanja i obrade osobnih podataka pojedinca te od voditelja zbirki i drugih sudionika traži da jednostavnim i nedvosmislenim rječnikom objasne svoje postupke i politiku zaštite privatnosti i osobnih podataka. Isto tako, znači da ako ste dali privolu za jednu svrhu isti podatci ne mogu biti iskorišteni za  drugu svrhu.

Ispitanici (fizičke osobe čiji se osobni podatci obrađuju) na području EU-a, od početka primjene nove Uredbe uživat će u širemu rasponu pravnih mjera s pomoću kojih će moći zaštititi svoja prava od postupanja voditelja zbirki i izvršitelja obrade, npr. pravu na naknadu štete zbog povreda koje je napravio voditelj zbirke ili izvršitelj obrade.

Bitno je znati da jednom dani podatci nisu zauvijek u nečijemu vlasništvu, ispitanik se uvijek ima pravo predomisliti i zatražiti brisanje ili ispravak jednom danih podataka.

Što GDPR znači tvrtkama?

Tvrtke koje posluju u više zemalja EU-a bit će odgovorne samo jednom regulatoru, što će ubrzati i ujednačiti postupak odlučivanja. Isto tako, svugdje će se primjenjivati ista pravila.

Umjesto obveze slanja evidencija o zbirkama osobnih podataka nezavisnomu nadzornom tijelu, odnosno Agenciji za zaštitu osobnih podataka koja ih objedinjava u javno dostupan Središnji registar tvrtke će imati obvezu provoditi druge dokumentirane zaštitne mjere, kao npr. procjene učinka na privatnost ili imenovanje službenika za zaštitu osobnih podataka.

Jasna politika zaštite osobnih podataka, uključujući postupanje za slučaj zlouporabe podataka i jasan okvir odgovornosti te provođenje redovitih internih revizija, odnosno nadzora nad postupcima prikupljanja, pohrane, obrade i eventualnoga daljnjeg prijenosa i izvoza podataka bit će obvezna za sve sudionike u procesu prikupljanja, čuvanja i obrade osobnih podataka. Odnosno, obaveza voditelja zbirke osobnih podataka da primjenjuje odgovarajuće mjere zaštite pri obradi osobnih podataka proširuje se i na izvršitelje obrade bez obzira na njihove ugovorne obveze.

Nadalje, pri prikupljanju podataka od ispitanika trebat će voditi računa o minimalnome opsegu podataka za ispunjenje svrhe za koju se podatci prikupljaju, osobito ako se podatci prikupljaju i obrađuju kako bi ih se isporučilo drugima, a posebno su restriktivne odredbe vezane uz tehnologije koje omogućavaju praćenje korištenja uređaja i navika korištenja internetom.

Kad se za obradu podataka koriste nove tehnologije koje mogu dovesti do visokoga rizika za ispitanika, obavezno će se morati provoditi procjena utjecaja na privatnost (eng. Data Protection Impact Assessments) za posebne kategorije osobnih podataka, odnosno podatke koji omogućuju predviđanje ponašanja osoba.

Prilika za razvoj novih tehnologija za sigurnost i zaštitu podataka

Voditelji zbirki morat će, također, uvesti mehanizme koji osiguravaju da početne postavke osiguravaju maksimalnu zaštitu osobnih podataka, tzv. privacy by default and privacy by design. Nova Uredba znatno postrožuje obveze voditelja zbirki osobnih podataka i povezana je sa znatnim financijskim i poslovnim rizikom.

Nadalje, nova pravila promiču tehnike kao anonimizacija (uklanjanje osobnih podataka ako nisu potrebni), pseudoanonimizacija (zamjena osobnih podataka s drugim identifikatorima) i enkripcija (kodiranje poruke da je samo autorizirane osobe mogu pročitati).

Prema novim odredbama voditelj zbirke mora prijaviti neovlašteni pristup podatcima regulatornom tijelu (Agenciji za zaštitu osobnih podataka), unutar prvih 72 sata od trenutka kad sazna za povredu.

IDC-ovo istraživanje provedeno 2016. godine pokazalo je da je notifikacija obveza zbog koje su organizacije najviše zabrinute. Čini se da gubitak ugleda brine tvrtke više od novčanih kazna, te se u tome smislu najviše organizacija izjasnilo da će investirati u preventivne tehnologije, dok će 50 % investirati u otkrivanje, a nešto malo manje, 45 % razmišlja o poboljšanju procesa odgovora na incidente.

Pitanje: koje će aktivnosti poduzeti da zadovolje zahtjev za obaveznom notifikacijom?

Nova pravila svakako otvaraju vrata za razvoj novih tehnologija za sigurnost i zaštitu podataka i oni koji na vrijeme spoznaju priliku moći će i profitirati od GDPR-a razvojem novih rješenja koja će podupirati implementaciju svih novih pravila.

Prijenos podataka u zemlje izvan EU-a bit će pojednostavnjen, ali uz pridržavanje formalnih pravila, čime bi se olakšalo poslovanje multinacionalnim tvrtkama.

Voditelji zbirki trebat će imati čvrst pravni temelj (ugovor i pristanak ispitanika, odredbu zakona itd.) na temelju kojega izvoze podatke kako se ne bi našli na udaru novih visokih kazni za one koji se ne pridržavaju Uredbe. Kazne za nemarne mogu iznositi čak do 20 mil. eura ili do 4 % ukupnoga godišnjeg prometa, što je posve dovoljno da neke tvrtke dovede na rub bankrota.

Agencija za zaštitu osobnih podataka

Uredba ostavlja mogućnost za uvođenje certifikacijskih mehanizama s upotrebom posebnih oznaka kako bi se jamčila zaštita podataka, koji bi omogućili ispitanicima brzu procjenu razine zaštite osiguranu kod voditelja zbirke osobnih podataka.

Donošenje odluka o mehanizmima certifikacije prepušteno je nacionalnim regulatorima, što je u Hrvatskoj Agencija za zaštitu osobnih podataka, koja će se brinuti o provođenju Uredbe kad se počne primjenjivati.

Od kuda krenuti?

Pravila su uspostavljena i donose niz novosti, ali implementacija za neke organizacije tek slijedi, pa je pravo pitanje od kuda krenuti.

Danas se osobni podatci pohranjuju, prenose ili obrađuju uglavnom putem informacijske, komunikacijske i tehničke infrastrukture te trebaju biti zaštićeni u skladu s organizacijskom sigurnosnom politikom i korištenjem najboljih praksa, odnosno metodologija kao što je i međunarodna norma ISO 27001, na koju upućuje i Uredba o mjerama informacijske sigurnosti za zaštitu neklasificiranih podataka te Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka.

Implementacija je norme najjasniji pokazatelj da tijelo poduzima mjere zaštite osobnih podataka te je određeno jamstvo u pogledu ostvarivanja odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka.

Prednosti implementacija, a poglavito certifikacija prema normi ISO 27001, doći će do punoga izražaja kod ugovaranja usluga računalstva u oblaku, pri čemu će to biti jedan od važnih pokazatelja implementiranih kontrola zaštite i sigurnosti podataka odnosno pri odabiru izvršitelja obrade ili pružanja usluga izvršitelja obrade drugom voditelju zbirke osobnih podataka kao svojevrsno jamstvo zaštite i sigurnosti podataka.

Međutim, norme za informacijsku sigurnost ne obrađuju zaštitu osobnih podataka u detalje, naime, još uvijek treba provjeriti adekvatnu razinu zaštite podataka pri iznošenju podataka izvan granica Republike Hrvatske, način prikupljanja, vremensko razdoblje čuvanja i uporabe podataka, podatci se ne smiju prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha, treba osigurati prava ispitanika, pribaviti privole i dr. zahtjeve propisane Zakonom o zaštiti osobnih podataka, a GDPR propisuje i provođenje procjene moguće povrede privatnosti prije početka obrade podataka te obaveze službenika za zaštitu osobnih podataka.

Sve su to specifična znanja za koja će trebati vremena da se izrade novi obrazovni programi.

Međunarodna organizacija za standardizaciju 2011. godine izdala je međunarodnu normu ISO 29100 Privacy framework, 2013. godine ISO 29101 Privacy architecture framework i 2014. godine ISO 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. Sve tri norme dobra su podloga za implementaciju novoga regulatornog okvira.

Trenutačno postoji mogućnost certifikacije kao Lead privacy implementer, izobrazba koja kroz sedam domena daje osnovna načela i koncepte u provedbi privatnosti, pojašnjava pravila za primjenu najbolje prakse, daje smjernice za projektiranje, izradu i implementaciju organizacijskoga okvira privatnosti i potrebnih kontrola, uvođenje nadzora i mjerenja te poboljšanje procesa implementacije privatnosti.

Kako su današnje tehnologije promijenile i ekonomski i socijalni život pojedinca, jačanje povjerenja u nove tehnologije, posebno one na internetu, je ključni čimbenik ekonomskog razvoja, jer nedostatak može usporiti razvoj inovativnih uporaba tih tehnologija. Zaštita osobnih podataka u tom svjetlu igra središnju ulogu, što je prepoznato u strategiji Europe 2020.

U tome svjetlu, iako se očekuje da će nova Uredba izazvati dodatno opterećenje u smislu povećanja vremena, troška i osoblja potrebnoga da se održi zadovoljavajuća razina sukladnosti s regulativom, EU šalje jasnu poruku tvrtkama i organizacijama da moraju ozbiljno shvatiti zaštitu osobnih podataka kao jedan od temeljnih ljudskih prava koje je suočeno s ozbiljnom prijetnjom u ovome novom tehnološki naprednom i globalnom okruženju.

U novome okruženju diktiranom kontinuiranim tehnološkim napretkom netko će prepoznati priliku za razvoj novih alata, servisa ili usluga kao procjena utjecaja na privatnost, okvir za upravljanje rizicima, različiti IT sigurnosni alati, različiti modeli zaštite privatnosti, alati za upravljanje pravima pristupa, alati za uklanjanje zapisa iz povezanih baza i sl.

Nove prlike i mogućnosti za sve sudionike

U kojoj god se ulozi našli, bitno je imati na umu da su za očuvanje privatnosti u novome tehnološkom dobu odgovorni svi: korisnici koji će zahtijevati poštivanje privatnosti, regulatori koji će nadgledati provođenje propisa te raditi na izgradnji zakonodavnoga okvira koji će moći pratiti tehnološki napredak i globalne razmjere transfera podataka, organizacije koje će prepoznati komparativne prednosti uvođenja mjera zaštite osobnih podataka te država koje Ustavom jamče pravo svakog pojedinca te svakomu jamče sigurnost i tajnost osobnih podataka.

Očekuje se da će nova Uredba izazvati dodatno opterećenje u smislu povećanja vremena, troška i osoblja potrebnog da se održi zadovoljavajuća razina sukladnosti s regulativom, ali isto tako EU šalje jasnu poruku tvrtkama i organizacijama da moraju ozbiljno shvatiti zaštitu osobnih podataka, kao jednog od temeljnih ljudskih prava koje je suočeno s ozbiljnom prijetnjom u ovom novom tehnološki naprednom i globalnom okruženju.

Stoga nudimo niz usluga vezanih uz zaštitu osobnih podataka:

Dizanje svijesti o zaštiti osobnih podataka
Obuka službenika za zaštitu osobnih podataka
Izrada evidencija o zbirkama osobnih podataka
Pomoć oko prava ispitanika
Priprema za novi zakonodavni okvir

Share and Enjoy !

0Shares
0 0 0