GDPR - Načelo pouzdanosti

Načelo pouzdanosti u GDPR-u

Što je načelo pouzdanosti u GDPR-u?

Članak 5. Opće uredbe o zaštiti podataka sadrži dvije stavke. U prvoj stavci navodi se šest načela obrade osobnih podataka, a u drugoj stavci navodi se načelo Pouzdanosti. Pouzdanost znači je Voditelj obrade odgovoran za usklađenost s prvih 6 načela, te je mora biti u mogućnosti dokazati.

  1. Zakonitost, poštenost i transparentnost
  2. Ograničavanje svrhe
  3. Smanjenje količine podataka
  4. Točnost
  5. Ograničenje pohrane
  6. Cjelovitost i povjerljivost
  7. Pouzdanost

AZOP je načelo Pouzdanosti obrazložio na sljedeći način: “Načelo pouzdanosti je načelo kojim se izričito određuje da su voditelji obrade odgovorni za poštivanje drugih načela zaštite podataka i da moraju biti u mogućnosti dokazati poštivanje tih načela.”

Voditelj obrade dužan je osigurati slijeđenje odredbi Opće uredbe o zaštiti podataka. Između ostalog i na način da uspostavi odgovarajuće procedure i dokumente kojima dokazuje usklađenost. Na taj način voditelj obrade izbjegava regulatorne kazne i gradi povjerenje prema svim dionicima organizacije/društva. Npr. kupcima, klijentima, korisnicima, dobavljačima, zaposlenicima itd..

AZOP u tom pogledu navodi: “Ako je voditelj obrade pouzdan, to bi mu moglo pomoći da izgradi povjerenje sa svojim klijentima/kupcima/pojedincima, a u slučaju povrede podataka i pritužbi pojedinaca Agenciji, da ublaži provedbene mjere. U slučajevima povreda osobnih podataka ili kršenja prava pojedinaca, ako voditelji obrade podataka poštuju načelo pouzdanosti, moći će dokazati da su aktivno razmotrili rizike i uspostavili mjere zaštite i sigurnosti. S druge strane, ako voditelj obrade ne može dokazati poštivanje načela pouzdanosti, mogao bi dobiti novčanu kaznu i/ili pretrpjeti štetu za ugled.

Kako organizacija/društvo može dokazati slijeđenje načela pouzdanosti?

Načelo pouzdanosti traži od voditelja obrade aktivan rad na usklađenju kako bi mogao dokazati usklađenost s Općom uredbom o zaštiti podataka.

Organizacija/društvo u svojstvu voditelja obrade je u konačnici odgovorno za usklađenost sa zahtjevima Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka. Stoga je u interesu voditelja obrade da pažljivo odabere osoblje koje mu pruža potporu u prilagodbi. Npr. imenovanje Službenika za zaštitu podataka).

Odabir nedovoljno osposobljenog osoblja, osoblja čije ostale dužnosti dovode iste do sukoba interesa (kontroliraju sami sebe), kao i izbjegavanje dodjeljivanja potrebnih resursa za provedbu i održavanje usklađenosti, dovodi voditelja obrade u nepriliku. Kad dođe do pritužbe pojedinaca AZOP-u ili povrede podataka, obveza je agencije reagirati i od voditelja obrade zatražiti dokaze slijeđenja GDPR-a. Rezultat toga je sljedeći: “Ako voditelj obrade ne može dokazati poštivanje načela pouzdanosti, mogao bi dobiti novčanu kaznu i/ili pretrpjeti štetu za ugled.

Osim toga, voditelj obrade trebao bi osigurati kontinuiranu izobrazbu osoblja po pitanju zaštite podataka. Usklađenost sa zaštitom podataka smatra se odgovornošću svih zaposlenika. Osoblje bi trebalo upoznati i redovito podsjećati na važnost zaštite podataka i slijeđenje intrenih politika u njihovom svakodnevnom radu.

Tehnička i integrirana zaštita podataka

Još jedan aspekt koji se često zanemaruje je “Tehnička i integrirana zaštita podataka”. Ona je sastavni dio načela pouzdanosti. AZOP u tom smislu navodi: “Tehnička i integrirana zaštita podataka nije načelo samo za sebe, već uključuje sva načela iz članka 5. Opće uredbe o zaštiti podataka te tehničke i organizacijske mjere kojima se osigurava odgovarajuća razina sigurnosti osobnih podataka u odnosu na rizik i da poduzeće (voditelj obrade) obrađuje samo osobne podatke koji su nužni za svaku posebnu svrhu obrade.”

Tehničku i integriranu zaštitu podataka treba provesti prije početka obrade, te je potom kontinuirano održavati i poboljšavati. Kako bi se zaštita poboljšavala, potrebno je redovito preispitivati učinkovitost primijenjenih zaštitnih mjera.

Svaki bi voditelj obrade trebao vrlo pažljivo razmotriti tehničke i organizacijske mjere kojima osigurava odgovarajuću razinu sigurnosti u odnosu na rizike s kojima je suočen. To znači da tehničke i organizacijske mjere moraju odgovarati stvarnim okolnostima, uzimajući u obzir različite parametre. Npr. količinu osobnih podataka koje obrađuje, osjetljivost podataka, izloženost organizacije kibernetičkim prijetnjama, izloženost fizičkim prijetnjama, itd.

Organizacija koja obrađuje podatke desetak ili stotinjak pojedinaca može provoditi jednostavnije mjere zaštite od organizacije koja obrađuje podatke tisuća ili desetaka tisuća pojedinaca. Nije ista posljedica  ako je povredom podataka obuhvaćeno desetak pojedinaca ili desetak tisuća pojedinaca. Nadalje, nije isto obuhvaća li povreda podataka samo ime, prezime i e-mail adresu pojedinca, ili obuhvaća i osjetljive podatke. Na primjer, podatke o visini primanja, članovima obitelji, broju bankovnog računa, itd. Organizacija koja koristi udaljeni pristup računalima, bilo da je takav pristup omogućila zaposlenicima ili vanjskoj strani, izloženija je prijetnjama po tom pitanju od organizacije koja takav pristup blokira. Organizacija koja nije definirala perimetre fizičke sigurnosti i pravilno ih zaštitila (npr. zaključavanje ureda, i ormara, alarmni sustav, video nadzor itd.) snosi veći rizik od provale i krađe u odnosu na ostale.

Obrada rizika

Identifikacija i tretman rizika podrazumijeva angažiranje osobe s iskustvom u upravljanju rizicima. Pravilno savjetovanje voditelja obrade po pitanju kibernetičkih i fizičkih rizika kao i predlaganje mjera za ublažavanje rizika od suštinske su važnosti.

Mnogi rizici mogu se tretirati već i izradom/provedbom dobro osmišljenih pravilnika i procedura kojima se regulira način rada i prihvatljivog ponašanja u organizaciji.

Ponekad je uvođenje dodatnih tehničkih i fizičkih mjera neophodno, ali će dobar stručnjak znati pravilno odabrati. Time će trošak svesti na minimum jer će predlagati ona manje zahtjevna i financijski prihvatljivija rješenja. Pritom će paziti da cijena nije jedini kriterij kad god to dovodi do značajnog gubitka na kvaliteti, funkcionalnosti, sigurnosti i pouzdanosti rješenja. Na primjer, ako ste za potrebe backupa odabrali cloud servis koji ne pruža opciju postavljanja privatnog kriptografskog ključa (end-to-end enkripcija), to znači da ste loše odabrali. S takvim servisom niste osigurali povjerljivost podataka jer pružatelj usluge može čitati vaše podatke i potencijalno ih dijeliti s drugima. Preostaje Vam tu obradu nastaviti vršiti uz visok rizik ili koristiti (platiti) dodatni servis ili aplikaciju koja će postojećem servisu dodati funkcionalnost end-to-end enkripcije. U konačnici Vas takvo "jeftinije" rješenje može izaći dosta skuplje od rješenja koje je imalo tu funkcionalnost, ali ga niste uzeli jer je bilo malo skuplje.

Preporučene mjere

Za kraj nabrojimo neke od preporučenih mjera dokazivanja usklađenosti s GDPR-om:  

  • Provesti temeljitu analizu aktivnosti obrade u organizaciji/društvu i mapiranje podataka
  • Kontinuirana provedba odgovarajućih tehničkih i organizacijskih mjera
  • Izrada i objava odgovarajućih pravila i obavijesti o zaštiti privatnosti. Imati dostupnu i transparentnu politiku zaštite privatnosti, politiku zadržavanja podataka, politiku brisanja podataka, politiku za obradu zahtjeva pojedinaca i sl.
  • Sklapanje ugovora o obradi osobnih podataka s izvršiteljima obrade koji djeluju u ime voditelja obrade.
  • Vođenje evidencije o aktivnostima obrad. Premda uredba ne zahtjeva nužno vođenje evidencija za sve obrade, bez njih će voditelj puno teže dokazati usklađenje.
  • Imenovanje stručne osobe kao službenika za zaštitu podataka i osiguravanje njegove pravodobne uključenosti u sva pitanja koja se odnose na zaštitu podataka. Imenovanje nije nužno za sve organizacije, ali bi svaka organizacija trebala imati stručnu osobu koja može savjetovati voditelja obrade i brinuti o usklađenju.
  • Donošenje internih politika i provedba procjena učinka na zaštitu podataka. Npr. politike i pravilnici informacijske sigurnosti, procedura kod povrede podataka, pravilnik o videonadzoru, registar rizika, itd.
  • Prilagodba internetske stranice. Objava i pozicioniranje politike privatnosti i obavijesti o kolačićima, izrada valjane opt-in privole za kolačiće, selekcija kolačića, pravilne početne postavke kolačića.
  • Prilagodba videonadzora- Obavijesti o videonadzoru, sustav automatiziranih logova, kontrola pristupa, itd.
  • Postupanje u skladu s kodeksima ponašanja ili programima certificiranja, npr. ISO/IEC 27001.
  • Bilježenje i, prema potrebi, prijavljivanje povreda osobnih podataka

Obveze u skladu s načelom pouzdanosti razvijaju se tijekom vremena i nemoguće ih je provesti u svega nekoliko dana. Osim toga, voditelj obrade trebao bi stalno preispitivati i ažurirati svoje mjere.

Trebate GDPR prilagodbu? Pogledajte našu uslugu prilagodbe!

Napisao: Dragan Podvorec
Datum: 27.01.2024
DPA - vaši podaci zaslužuju najbolju zaštitu