kazna

Kazne u 2022. godini - 1. dio

Tijekom 2022. godine AZOP je izrekao nekoliko kazni zbog kršenja GDPR-a (Opće uredbe o zaštiti podataka). Visina kazni kretala se od 30.000 kuna, sve do prilično visokih 2.16 milijuna kuna.

U seriji blogova na ovu temu, razmatrat će se nekoliko slučajeva objavljenih na stranicama AZOP-a.

Slučaj 1

Upravna novčana kazna zbog nepoduzimanja odgovarajućih tehničkih mjera

Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba, koje je djelovalo u svojstvu izvršitelja obrade, haker je došao do neovlaštenog pristupa osobnim podacima 28.085 ispitanika. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima. Incident je AZOP-u prijavio voditelj obrade, telekomunikacijsko društvo iz Zagreba, koje je pisanim putem izvijestilo i korisnike svojih usluga o potencijalnoj povredi osobnih podataka.

AZOP

Objašnjenje:
Jednostavnije rečeno, telekomunikacijsko društvo je angažiralo vanjsku IT tvrtku kako bi se vršila ugovorena informatička usluga za telekomunikacijsko društvo. Angažirana IT tvrtka očigledno nije provodila zadovoljavajuće sigurnosne mjere zaštite podataka. Na žalost, iz opisa se ne može znati o kojim se sigurnosnim mjerama radilo. U nastavku ću kao primjer navesti nekoliko primjera sigurnosnih mjera, kako bi dobili bolju predodžbu o čemu se radi.

  • Kriptografija (šifriranje podataka kako ih druge osobe bez enkripcijskog ključa ne bi mogle pročitati)
  • Kontrola pristupa (nije definiran način kreiranja zaporke, korisnicima imaju prevelika prava, računi se ne ukidaju odmah nakon prestanka zaposlenja itd.)
  • Ažuriranje softvera (antivirusni softver se ne ažurira ili se ne instaliraju zakrpe koje ispravljaju greške i slabosti softvera itd.)
  • Edukacija (ne vrši se edukacija zaposlenika o informacijskoj sigurnosti i ne obavještava o aktualnim kibernetičkim prijetnjama)
  • Mreža (lokalna mreža nije dobro zaštićena, ne nadzire se pristup mreži, itd.)
  • Instalacija softvera (ne propisuje se i ne ograničava instalacija softvera)
  • Revizija (ne vrše se revizije IT sustava, ne testira se efikasnost sigurnosnih mjera, ne vrši se obrada rizika itd.)

AZOP je povodom tog slučaja donio sljedeći zaključak:

Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka.

AZOP

Što možemo naučiti iz tog primjera? Društvo nije kažnjeno zato što nije imalo propisanu GDPR dokumentaciju, već zato što nije implementiralo zadovoljavajuće tehničke i organizacijske sigurnosne mjere.

Kako izbjeći kazne?

Slijediti GDPR ne znači samo izraditi dokumentaciju i pospremiti je u registrator već znači uistinu prilagoditi obradu osobnih podataka tako da ona bude zakonita (pravni aspekt) ali isto tako osigurati tehničke i organizacijske mjere kako bi pristup osobnim podacima bio kontroliran, a sami podaci bili zaštićeni od neovlaštenog preuzimanja ili gubitka, samo ćete se tako zaštititi od plaćanja kazne.

Ako ste u ulozi voditelja obrade, obavezno osigurajte da sa svim izvršiteljima obrade imate sklopljen sporazum o zaštiti podataka. Ponekad se to zanemari, a vas kao voditelja obrade može koštati jako puno ako izvršitelj obrade skrivi povredu podataka. Smatrat će se da se vi kao voditelj obrade niste pobrinuli za sigurnost obrade.

Ako ste u ulozi izvršitelja obrade također trebate biti svjesni da ćete odgovarati za povredu podatka, iako niste sklopili sporazum o zaštiti podataka. Štoviše, odgovarat ćete još i više jer to znači da se pravno niste uskladili s GDPR-om. Na žalost, većina manjih organizacija koje nude usluge poput knjigovodstva, servisa itd. zbog vrlo limitiranih financijskih sredstava, malog broja osoblja i nedostatka osoblja s pravnim i informatičkim znanjem, nemaju zadovoljavajuću dokumentaciju kao niti zadovoljavajuće organizacijske i tehničke sigurnosne mjere.

Takve se organizacije izlažu velikom riziku u svom poslovanju i plaćanju kazne. Riziku koji se može jako smanjiti kada bi se implementirale barem osnovne mjere informacijske sigurnosti.

U slučaju da se u vašem društvu desi povreda podataka (data breach), bez ikakvog odlaganja potrebno je utvrditi što se desilo i zašto se desilo, te odmah onemogućiti daljnju povredu podataka. Na primjer, ako se radi o bazi podataka izloženoj korisnicima na internetu, odmah onemogućiti takav pristup dok se ne utvrdi što je pošlo po krivu i dok se problem ne riješi. Ako podaci koji su "iscurili" nisu bili kvalitetno šifrirani, bit će potrebno najkasnije u roku 72 sata od trenutka saznanja, obavijestiti AZOP o povredi podataka. U tom periodu mora se izvršiti i analiza kako bi se utvrdilo što se desilo, kakvi podaci i koliko podataka je "iscurilo". Na AZOP-ovim stranicama nalazi se formular za povredu podataka kojega možete preuzeti i ispuniti.

Napisao: Dragan Podvorec
Datum: 09.02.2023
DPA - vaši podaci zaslužuju najbolju zaštitu