Informacijska sigurnost odnosi se na skup mjera i postupaka osmišljenih za zaštitu informacija od neovlaštenog pristupa, upotrebe, otkrivanja, izmjene ili uništavanja. Cilj informacijske sigurnosti je zaštititi informacije i ostale oblike imovine.
U kontekstu informacijske sigurnosti, izraz "oblici imovine" odnosi se na sve što ima vrijednost za organizaciju i što treba zaštititi. Ovo uključuje:
Obje vrste imovine su ključne za organizaciju i njihovo ugrožavanje može prouzročiti veliku financijsku štetu, narušiti ugled organizacije, ili dovesti do zakonskih i regulatornih problema i kazni.
Kako bi poslovanje teklo neometano i podaci bili pravilno zaštićeni, ključna zadaća u poslovanju je zaštititi organizaciju od različitih prijetnji i rizika. Ovo postaje posebno važno kada su u pitanju osjetljive informacije, kao što su financijski podaci, medicinski zapisi, osobni podaci i poslovne tajne. Pravilna implementacija informacijske sigurnosti omogućava organizacijama da upravljaju svojim podacima na siguran način, smanjujući rizik od potencijalnih sigurnosnih incidenata.
Informacijska sigurnost i kibernetička sigurnost su sinonimi, ali se u stvarnosti odnose na različite aspekte zaštite informacija. Jednoj je fokus na zaštiti svih informacija, a drugoj je fokus na zaštiti digitalnih informacija. Tako onda informacijska sigurnost podrazumijeva zaštitu informacija u svim oblicima, bilo da su one fizičke, digitalne ili verbalne, dok je kibernetička sigurnost usmjerena isključivo na zaštitu digitalnih informacija i sustava.
Međutim, u svakodnevici se takva podjela najčešće ignorira. Na primjer Zakon o kibernetičkoj sigurnosti koji uz mjere kibernetičke sigurnosti navodi i mjere informacijske sigurnosti poput treninga osoblja i izrade sigurnosnih politika i procedura. Važno je zapamtiti da se pojmovi mogu različito tumačiti pa to imajte u vidu kako ne bi došlo do pogrešnog razumijevanja.
U praksi, organizacije trebaju implementirati strategije koje obuhvaćaju informacijsku sigurnost i kibernetičku sigurnost, kako bi učinkovito zaštitile svoje resurse.
Kada se definira informacijska sigurnost, često se koristi engleski pojam “CIA Triad” pod kojim se podrazumijevaju tri stupa informacijske sigurnosti:
Ovi pojmovi pomažu bolje razumjeti informacijsku sigurnost i njezine ciljeve osobama koje nisu stručne po pitanju informacijske sigurnosti. Većina ljudi pod informacijskom sigurnošću podrazumijeva isključivo zaštitu povjerljivosti informacija, zanemarujući da je jednako tako važno osigurati njihov integritet i dostupnost. Najbolje je to objasniti kroz kratku priču.
Godina je 45. pr. Kr., a rimski legionar Marcus dobio je zadatak prenijeti tajnu vojnu poruku od vojnog zapovjednika u Rimu do generala u udaljenom garnizonu. Kako bi se osiguralo da nitko osim generala ne pročita poruku, poruka je kodirana Cezarovom šifrom, tehnikom zamjene slova koja pomiče svako slovo za određeni broj mjesta u abecedi. Tako, ako netko presretne svitak, neće moći razumjeti sadržaj bez ključa za dešifriranje (Povjerljivost). Da bi se osigurao integritet poruke, odabran je pouzdan i lojalan kurir Marcus, te je svitak zapečaćen voštanim pečatom koji bi otkrio bilo kakvo otvaranje (Integritet). Kako bi se osiguralo da poruka stigne na vrijeme unatoč potencijalnim opasnostima i preprekama na putu, Marcus putuje poznatom rutom koja ima osigurane postaje za odmor. Ako na putu naiđe na nepredviđene prepreke, Marcus ima alternativne rute i resurse osigurane od strane legije, kako bi obavijest stigla do generala unutar planiranog vremena (Dostupnost). Ova Marcusova misija je primjer kako povjerljivost, integritet i dostupnost čine jednu cjelinu. Ako samo jedan od elemenata izostane - ako, na primjer, poruka nije šifrirana i neprijatelj je pročita (povjerljivost) ili je izmijeni kako bi generalu dostavio pogrešne informacije (integritet) ili spriječi dostavu poruke na vrijeme (dostupnost) - to će rezultirati vrlo ozbiljnim ili katastrofalnim posljedicama po generala i njegove vojnike u udaljenom garnizonu.
Razmotrimo sada ova tri stupa informacijske sigurnosti malo detaljnije, u današnjem kontekstu poslovanja.
Povjerljivost se odnosi na zaštitu od neautoriziranog pristupa ili otkrivanja.
Najčešće metode zaštite povjerljivosti su:
Postizanje povjerljivosti u informatičkim sustavima može biti izazovan zadatak, posebno kada korisnici sustava nisu stalni zaposlenici nego gosti ili kupci. Problem se dodatno komplicira jer često ne znamo koriste li korisnici siguran uređaj ili aplikaciju, što može povećati rizik od kompromitacije sustava. Zadaća stručnjaka za informacijsku sigurnost je stoga balansirati između zaštite osjetljivih podataka i omogućavanja pristupa onima koji imaju pravo na to.
Drugi pojam koji se povezuje s povjerljivošću je "osjetljivost", a odnosi se na važnost koju vlasnik informacije dodjeljuje podacima i potrebu za njihovom zaštitom. Osjetljive informacije su one koje, ako bi bile nepropisno otkrivene ili modificirane, mogu nanijeti štetu organizaciji ili pojedincu. Osjetljivost je često povezana s potencijalnom štetom za vanjske sudionike – dakle, za ljude ili organizacije koje možda nisu dio organizacije koja obrađuje ili koristi te informacije. Primjer bi bio bankarski sustav koji pohranjuje financijske podatke svojih klijenata. Financijski podaci su izrazito osjetljivi jer njihovo neovlašteno otkrivanje može dovesti do financijskih prijevara i gubitka povjerenja klijenata.
Kako bi se postigla povjerljivost, potrebno je primjenjivati razne sigurnosne mjere, poput enkripcije podataka i autentikacije korisnika, kako bismo osigurali da samo autorizirani korisnici mogu pristupiti određenim informacijama. Povrh toga, potrebno je konstantno balansirati između sigurnosti i pristupačnosti, kako bi sustavi bili sigurni, ali i korisni za one kojima su namijenjeni.
Integritet se odnosi na zaštitu od neautoriziranih izmjena.
Najčešće metode zaštite integriteta su:
Integritet je koncept koji mjeri koliko je nešto cjelovito, dosljedno i ispravno. Ova se ideja može primijeniti na različita područja: informacije i podatke, poslovne sustave i procese, organizacije, pa čak i na ljude i njihove radnje.
Kada govorimo o integritetu podataka, mislimo na to da podaci nisu mijenjani na neovlašten način. To znači da podaci moraju biti zaštićeni unutar sustava i tijekom obrade kako bi se osiguralo da su slobodni od nepravilnih promjena, pogrešaka ili gubitka informacija.
Integritet sustava odnosi se na zadržavanje poznate dobre konfiguracije i očekivanu funkcionalnost sustava. Da bi se održao integritet, prvo je važno razumjeti trenutačno stanje sustava (eng. Baseline). Ova referentna točka omogućava da se u svakom trenutku može provjeriti je li integritet očuvan. Na primjer, ako se podaci o prometu na web stranici redovito prate, normalno stanje ili opterećenje sustava može poslužiti kao baza za usporedbu kako bi se uočile eventualne anomalije, poput kibernetičkih napada.
Konačno, integritet je ključan za pouzdanost informacija i sustava. Na njega se možemo osloniti kad trebamo donijeti odluke temeljem točnih i dosljednih podataka. Bez integriteta, sustavi i podaci postaju nepouzdani, što može dovesti do pogrešaka i ozbiljnih posljedica, posebno u osjetljivim sektorima poput zdravstva, financija i sigurnosti.
Dostupnost se odnosi na raspoloživost informacija i sustava ovlaštenim korisnicima.
Najčešće metode kojima možemo osigurati dostupnost su:
Raspoloživost u kontekstu informacijske sigurnosti podrazumijeva pravovremen i pouzdan pristup informacijama i mogućnost njihove upotrebe. Za ovlaštene korisnike, to znači da trebaju imati pristup podacima i informacijskim uslugama kad im je to potrebno.
Osnovna ideja raspoloživosti jest da su podaci dostupni ovlaštenim korisnicima tada kad su im potrebni, tamo gdje ih trebaju i u obliku koji zadovoljava njihove potrebe. To, međutim, ne znači da podaci ili sustavi moraju biti dostupni 24 sata dnevno. Cilj je da sustavi i podaci zadovolje poslovne potrebe za pravovremenim i pouzdanim pristupom.
Neki sustavi i podaci su od kritične važnosti za poslovanje, stoga stručnjak za informacijsku sigurnost treba osigurati da njima pripadajuća razina raspoloživosti uistinu odgovara tim potrebama. To zahtijeva suradnju s poslovnim sektorima organizacije kako bi se identificirali kritični sustavi i osiguralo da budu dostupni kad su potrebni. U ovom kontekstu se često koristi termin "kritičnost", jer on označava važnost koju organizacija pridaje podacima ili informacijskom sustavu u izvršavanju svojih zadataka ili postizanju svojih ciljeva. Na primjer, u bolnici će sustavi koji pohranjuju medicinske podatke pacijenata biti izuzetno kritični, jer liječnici moraju imati konstantan pristup tim podacima kako bi pružili pravodobnu i učinkovitu zdravstvenu skrb. Ako ti sustavi padnu, to bi moglo ozbiljno ugroziti liječenje pacijenata. Drugi primjer može biti internetska trgovina, gdje je ključno osigurati dostupnost web stranice i baze podataka s informacijama o proizvodima i skladištu. Ako sustav postane nedostupan, kupci ne mogu izvršiti narudžbe, što će rezultirati gubitkom prihoda i povjerenja kupaca.
Kako bi se osigurala dostupnost, implementiraju se razne strategije, poput redundancije sustava, distribucije opterećenja i održavanja sustava. Sve te mjere pomažu u izbjegavanju ili minimiziranju vremena zastoja. Kroz sve to, stručnjak za informacijsku sigurnost gleda postići optimalnu ravnotežu između raspoloživosti, sigurnosti i ekonomičnosti.
Ako želite provjeriti jeste li usvojili gradivo iz ove edukacije možete pristupiti online provjeri znanja na poveznici Provjera znanja: Osnove informacijske sigurnosti. Provjera znanja je besplatna i možete je ponavljati više puta. Prag za prolaznost je 80% i po uspješnom prolasku na vašu e-mail adresu doći će certifikat o uspješnom prolasku. Ostale edukacije i provjere znanja iz područja informacijske sigurnosti dostupne su našim klijentima u sklopu programa osvješćivanja zaposlenika.
Pravo na zaštitu osobnih podataka je temeljno ljudsko pravo zajamčeno Poveljom Europske unije o temeljnim pravima i Ugovorom o funkcioniranju Europske unije.
Međutim, ovo pravo nije apsolutno jer bi njegova apsolutna primjena onemogućila objavljivanje informacija važnih za javnost. Premda svatko ima pravo na privatnost u određenim situacijama je nužno osigurati transparentnost i javnu dostupnost informacija. Posebice kada je u pitanju zlouporabe položaja, korupcija ili drugo nezakonito ili neetično ponašanje. Pravo na zaštitu osobnih podataka treba biti uravnoteženo s drugim pravima, poput prava na slobodu izražavanja i informiranja.
Opća uredba o zaštiti podataka - Uredba (EU) 2016/679, ili na engleskom General Data Protection Regulation (GDPR), ključna je za zaštitu osobnih podataka i osnaživanje prava pojedinaca nad vlastitim osobnim podacima.
Uredba nameće obvezu zakonite i transparentne obrade osobnih podataka organizacijama, kao i svim pojedincima koji obrađuju osobne podatke građana EU u profesionalne ili komercijalne svrhe.
Uredba ujedno pruža usklađen i snažan okvir za zaštitu podataka i uklanja prepreke slobodnom protoku osobnih podataka unutar Europskog gospodarskog prostora.
Zaštita koju pruža Opća uredba o zaštiti podataka (GDPR) odnosi se samo na fizičke osobe (pojedince) i ne odnosi se na pravne osobe ili preminule. Pritom je važno napomenuti da su pojedinci koji djeluju u poslovnom svojstvu, poput obrtnika ili odvjetnika, također obuhvaćeni zaštitom GDPR-a.
Svi poslovni subjekti, kao i pojedinci koji obrađuju osobne podatke u profesionalne ili komercijalne svrhe, moraju se pridržavati Opće uredbe o zaštiti podataka - Uredba (EU) 2016/679 ali i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18).
To znači da osim privatnog sektora, obvezi usklađivanja podliježu i sve institucije javnog sektora. Nadalje, ova obveza se proširuje i na organizacije izvan granica Europske unije koje nude proizvode ili usluge građanima unutar Europskog gospodarskog prostora ili prate njihovo ponašanje, čime su i one dužne poštivati GDPR
Opća uredba o zaštiti podataka i Zakon o provedbi Opće uredbe o zaštiti podataka primjenjuju se na svaku automatiziranu i neautomatiziranu obradu osobnih podataka koja je dio sustava za pohranu ili je namijenjena da bude dio sustava za pohranu.
Opća uredba o zaštiti podataka i Zakon o provedbi Opće uredbe o zaštiti podataka primjenjuju se na:
Primjerice, pregled osobne iskaznice radi identifikacije ne podliježe odredbama Uredbe, budući da ne uključuje proces pohrane podataka. No, čim se podaci s osobne iskaznice zabilježe ili pohrane, takva radnja postaje predmetom Uredbe.
Kada govorimo o postupanju s osobnim podacima od strane nadležnih tijela u cilju sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela, izvršenja kaznenih sankcija ili zaštite od prijetnji javnoj sigurnosti, primjenjuje se Zakon o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija (NN 68/18)
U slučaju kršenja Opće uredbe o zaštiti podataka, organizacije mogu biti kažnjene novčanim kaznama koje mogu doseći do 4% njihovog globalnog godišnjeg prihoda ili do 20 milijuna eura, ovisno o tome što je veće. Stoga je vrlo važno da organizacije ozbiljno shvate svoje obveze prilagodbe i poduzimaju mjere zaštite osobnih podataka.
U Hrvatskoj su do trenutka pisanja ovog teksta izrečene kazne u rasponu od nekoliko tisuća eura do 5,47 milijuna eura. Kažnjeno je ukupno 26 poslovnih subjekata. Detaljan popis i statistiku izrečenih novčanih kazni za svaku zemlju možete redovito pratiti na: https://www.enforcementtracker.com/
Broj kazni (sve članice EU):
Iznos kazni (sve članice EU):
Anonimizacija: Postupak obrade osobnih podataka na način da se osobni podaci ne mogu više povezati s određenim pojedincem, čak ni uz korištenje dodatnih informacija. Anonimizacija se smatra najvišim stupnjem zaštite privatnosti podataka jer osigurava da osobni podaci postanu nepovratno nepovezani s pojedincem.
Ispitanik: Fizička osoba (pojedinac) čije osobne podatke obrađujemo.
Izvršitelj obrade: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Primjeri izvršitelja obrade su knjigovodstveni servisi, društva ovlaštena za obavljanje privatne zaštite, itd.
Kriptografija (šifriranje, enkripcija): Postupak obrade osobnih podataka koji se koristi za zaštitu privatnosti podataka. Šifriranje podataka podrazumijeva pretvaranje ili kodiranje osobnih podataka u oblik koji je nečitljiv ili nerazumljiv osobama koje nemaju odgovarajući ključ ili autorizaciju za dešifriranje tih podataka. Kriptografija se koristi kao sigurnosna mjera kako bi se osiguralo da osobni podaci ostanu zaštićeni od neovlaštenog pristupa ili zlouporabe.
Nadzorno tijelo: Neovisno javno tijelo odgovorno za nadzor primjene GDPR-a. U svakoj državi članici EU-a postoji nadzorno tijelo za zaštitu podataka. U Hrvatskoj je nadzorno tijelo Agencija za zaštitu osobnih podataka - AZOP
Obrada: Bilo koja operacija ili skup operacija koje se provode na osobnim podacima, kao što su prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, pretraživanje, obavljanje uvida, korištenje, otkrivanje prijenosom, širenje ili stavljanje na raspolaganje, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Osobni podaci: Informacije koje se odnose na pojedinca. To može uključivati ime, prezime, datum rođenja, adresu, e-mail adresu, broj telefona, IP adresu, otisak prsta, etničku pripadnost, vjeroispovijest i druge informacije.
Povreda podataka (Data Breach): Kršenje sigurnosti koji dovodi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađeni. Povreda podataka može uključivati incidente kao što su hakiranje, gubitak ili krađa uređaja koji sadrže osobne podatke, ili neovlašten pristup osobnim podacima.
Prijenos podataka: U Općoj uredbi o zaštiti podataka (GDPR) prijenos podataka definiran je kao prijenos osobnih podataka ili skupa osobnih podataka iz jednog mjesta na drugo, bilo unutar Europskog gospodarskog prostora (EGP) ili izvan njega. Može se odnositi na prijenos podataka između tvrtki, organizacija ili država, kao i na prijenos podataka unutar iste organizacije ili tvrtke.
Primatelj: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo kojem su osobni podaci otkriveni, neovisno o tome je li riječ o trećoj strani.
Pseudonimizacija: Postupak obrade osobnih podataka na način da se osobni podaci ne mogu više povezati s određenim pojedincem bez korištenja dodatnih informacija. Uvjet je da se te dodatne informacije štite i čuvaju odvojeno kako bi se zadržala nepovezanost osobnih podataka s određenim pojedincem).
Službenik za zaštitu podataka (DPO): Osoba koju organizacija imenuje za nadzor i savjetovanje o pitanjima zaštite osobnih podataka te za suradnju s nadzornim tijelom.
Sustav pohrane: U Općoj uredbi o zaštiti podataka (GDPR), sustav pohrane se odnosi na svaki strukturirani skup osobnih podataka dostupnih prema određenim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi. Sustav pohrane podataka obuhvaća baze podataka, datoteke, registre, aplikacije i druge oblike organizirane pohrane osobnih podataka.
Voditelj obrade: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhu i način obrade osobnih podataka. Primjeri voditelja obrade su trgovačka društva, dionička društva, obrti, udruge, škole, bolnice, tijela jedinica lokalne ili regionalne samouprave, itd.
Osobni podatak je svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može izravno ili neizravno utvrditi, poput:
GDPR štiti sve vrste osobnih podataka, ali neke vrste podataka zahtijevaju veću zaštitu zbog većih rizika za pojedince. Na primjer, podaci o imenu i prezimenu su manje osjetljivi od biometrijskih podataka. Stoga je važno biti oprezan prilikom obrade podataka koji mogu uzrokovati visok rizik za pojedinca čiji se podaci obrađuju.
GDPR uvodi termin Posebne kategorije osobnih podataka. Radi se o osjetljivim informacijama koje se odnose na:
Ovi podaci smatraju se posebno osjetljivima i zahtijevaju dodatnu razinu zaštite prema Općoj uredbi o zaštiti podataka (GDPR). Pored toga, Uredba zabranjuje obradu posebnih kategorija osobnih podataka osim ako je zadovoljen neki od uvjeta propisanih u Uredbi. Za većinu organizacija to znači da bez izričitog pristanka pojedinca (privole) takve osobne podatke ne smiju obrađivati.
Osim posebnih kategorija osobnih podataka GDPR također zabranjuje obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane sigurnosne mjere. Ista se smije provoditi samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode pojedinca
Postoje i osobni podaci koji nisu izrijekom spomenuti u Uredbi, ali po svojoj prirodi ipak predstavljaju osjetljive podatke. Na primjer, obrada osobnih podataka ranjivih skupina poput tražitelja azila, starijih osoba ili djece. Potom imamo financijske podatke, lozinke, pinove i dr. Radi se o podacima čije neovlašteno otkrivanje ili obrada može nanijeti veliku materijalnu ili nematerijalnu štetu pojedincima i zato s takvim podacima treba iznimno pažljivo postupati.
Voditelj obrade je pravna ili fizička osoba koja samostalno ili zajedno s drugima određuje svrhu obrade i način obrade osobnih podataka. Voditelj obrade je taj koji donosi ključne odluke o obradi i odgovoran je za pravilno slijeđenje Uredbe.
Primjeri voditelja obrade su trgovačka društva, dionička društva, obrti, udruge, škole, bolnice, tijela jedinica lokalne ili regionalne samouprave, financijske institucije, itd. Voditelji obrade su i fizičke osobe koje obrađuju osobne podatke u profesionalne ili komercijalne svrhe poput iznajmljivača apartmanskog smještaja.
Kad govorimo o pravnim osobama, važno je razumjeti da voditelj obrade nije direktor društva, voditelj odjela ili neki drugi pojedinac u društvu, već da je voditelj obrade društvo/organizacija (pravna osoba).
Pravilno identificiranje voditelja obrade važno je kako bi se osiguralo da se osobni podaci obrađuju u skladu s propisima o zaštiti podataka i da se voditelj obrade može odgovorno postaviti prema zahtjevima zaštite privatnosti i sigurnosti podataka.
Voditelj obrade može se prepoznati preispitivanjem razloga i načina na koji se osobni podaci obrađuju. Ponekad je to već određeno pravnim propisima, a ponekad će to biti jasno iz stvarnog stanja u kojemu se vidi tko i zašto obrađuje podatke. U nekim slučajevima, uloge se mogu odrediti ugovorom, ali one moraju odgovarati stvarnom stanju.
Kad se radi o odluci zašto se osobni podaci obrađuju, uvijek je voditelj obrade taj koji donosi odluku o tome. Samo kod odluke kako će se osobni podaci obrađivati voditelj obrade može prepustiti neke manje i praktične detalje izvršitelju obrade. Na primjer, voditelj obrade angažira vanjsku IT tvrtku kako bi omogućio i osigurao siguran prijenos podataka između svojih poslovnica i sjedišta tvrtke. Vanjskoj IT tvrtki prepušta da odabere i implementira najbolje rješenje za njihove potrebe.
Zajednički voditelji obrade su dva voditelja obrade ili više njih koji zajednički odlučuju kako i zašto provode obradu osobnih podataka. Odluka može biti zajednička, ali dva ili više voditelja obrade također mogu donositi i pojedinačne odluke koje se međusobno nadopunjuju.
Primjeri zajedničkih voditelja obrade:
Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Primjeri izvršitelja obrade su knjigovodstveni servisi, društva ovlaštena za obavljanje privatne zaštite, IT društva koja pružaju usluge, itd.
Obrada koju provodi izvršitelj obrade mora se urediti ugovorom s voditeljem obrade ili drugim pravnim aktom (npr. Sporazumom o obradi osobnih podataka). Pravni akt mora sadržavati sve elemente navedene u odredbi članka 28. Opće uredbe o zaštiti podataka.
Osim toga voditelj obrade trebao bi se koristi uslugama jedino onih izvršitelja obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz Uredbe i da se njome osigurava zaštita prava ispitanika. (Članak 28, točka 1).
Agencija za zaštitu osobnih podataka (AZOP) je samostalno i neovisno državno tijelo koje nadzire provedbu Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka na području Republike Hrvatske, a za svoj rad odgovara Hrvatskom saboru.
Agencija za zaštitu osobnih podataka
Ako želite provjeriti jeste li usvojili gradivo iz ove edukacije možete pristupiti online provjeri znanja na poveznici Provjera znanja: GDPR osnove. Provjera znanja je besplatna i možete je ponavljati više puta. Prag za prolaznost je 80% i po uspješnom prolasku na vašu e-mail adresu doći će certifikat o uspješnom prolasku. Ostale edukacije i provjere znanja iz područja GDPR-a dostupne su našim klijentima u sklopu programa osvješćivanja zaposlenika.
Život je pun iznenađenja i izazova, a jedan od važnijih koraka koje možemo poduzeti kako bismo smanjili neugodna iznenađenja jest uspostaviti dobar backup.
Zamislite to kao plan "B" koji vas štiti od gubitka dragocjenih sjećanja, bitnih dokumenata i svega onoga što čini vaš digitalni identitet.
Evo nekoliko savjeta kako uspostaviti dobar backup:
Uspostavljanjem dobroga backupa ne samo da ćete biti mirniji, već ćete imati i više vremena i energije usmjeriti na ono što zaista volite i što vas ispunjava. Budite proaktivni i zaštitite svoje digitalno blago pravovremeno.
Trebate pouzdano automatizirano rješenje? Pogledajte našu uslugu uspostave backupa!
Svako dobro!
Obavještajni podaci o prijetnjama (eng. Threat Intelligence) predstavljaju informacije o potencijalnim i stvarnim prijetnjama koje se odnose na povjerljivost, integritet i dostupnost informacijskih resursa. To je nova sigurnosna kontrola koju je donijela aktualna ISO/IEC 27001:2022 verzija standarda informacijske sigurnosti.
Od organizacija se očekuje da uspostave odgovornosti i postupke za prikupljanje, analizu, distribuciju i korištenje obavještajnih podataka o prijetnjama.
Postupci za prikupljanje uključuju identifikaciju, procjenu i odabir vanjskih izvora obavještajnih podataka o prijetnjama, uzimajući pritom u obzir pouzdanost, relevantnost i kredibilitet izvora. To onda mogu biti pouzdani dobavljači, vladine agencije, stručne grupe i forumi itd. Osim toga, postupci za prikupljanje uključuju i odabir internih izvora obavještajnih podataka o prijetnjama. To onda mogu biti sigurnosni logovi, izvješća o incidentima, procjene o ranjivostima itd.
Potrebno je odrediti koji bi uočljivi dokazi mogli ukazati na to da se prijetnja ostvarila. Obrazložiti i procijeniti važnost prijetnje uzimajući u obzir moguće negativne utjecaje na informacijske resurse i poslovne procese organizacije.
Distribuirani podaci o prijetnjama trebaju biti odgovarajuće klasificirani s obzirom na njihovu osjetljivost i distribucijske zahtjeve.
Obavještajni podaci o prijetnjama mogu se primijeniti za poboljšanje upravljanja incidentima, poboljšanje upravljanja rizicima, implementaciju sigurnosnih kontrola, ažuriranje dokumentacije informacijske sigurnosti, kao i za poboljšanje programa osvješćivanja zaposlenika.
Program upravljanja obavještajnim podacima o prijetnjama potrebno je periodično preispitivati i poboljšavati na način da se redovito ažuriraju i nadograđuju izvori obavještajnih podataka o prijetnjama, tehnike analiziranja obavještajnih podataka o prijetnjama, kao i metode distribucije obavještajnih podataka o prijetnjama.
Sve aktivnosti programa upravljanja obavještajnim podacima o prijetnjama trebaju biti u skladu s primjenjivim zakonima, propisima, ugovornim obvezama i internim politikama.
Klijenti me gotovo svakodnevno pitaju: “A koliko GDPR prilagodba košta?”
Odgovor na to pitanje nije jednostavan s obzirom da GDPR prilagodba može obuhvaćati vrlo širok dijapazon zadaća. Povučemo li paralelu s informatičkom podrškom, to bi bilo jednako pitanju koliko košta usluga informatičke podrške. Ako se točno ne specificira što ta usluga podrazumijeva nije moguće odrediti cijenu. Nije isto održavati jedno računalo ili stotinu računala, održavati jednostavnu mrežu koju koristi nekoliko korisnika ili kompleksnu koju koristi nekoliko stotina korisnika.
Kada govorimo o GDPR prilagodbi pojam prilagodbe može obuhvaćati:
Kao što se može zaključiti iz nabrojanih točaka, prilagodba može podrazumijevati i aspekt IT podrške, upravljanja rizicima, upravljanja incidentima, upravljanja backupom, izradu planova oporavka, izradu politika i procedura informacijske sigurnosti, vođenje zadaća službenika za zaštitu podataka, detaljno preispitivanje obrada, mapiranje obrada, pomoć kod povrede podataka, itd.
Cijena GDPR prilagodbe također ovisi o veličini organizacije i kompleksnosti obrada koje se u organizaciji vrše. Veće organizacija imaju više odjela i zaposlenika pa je samim time već i prvi korak koji se odnosi na “provođenje temeljite analize aktivnosti obrade u organizaciji/društvu i mapiranje podataka” dugotrajniji.
Potom, neke organizacije su djelomično već provele prilagodbu i tu je potrebno odrediti koliko je posla odrađeno i nastaviti ga.
Stoga bi se svaki voditelj obrade prvo trebao zapitati koju razinu prilagodbe želi, odnosno koliko je spreman uložiti financijskih, ljudskih i drugih resursa kako bi izvršio prilagodbu.
Mikro organizacije s jednim ili dva zaposlenika, koje ujedno vrše minimalnu obradu osobnih podataka, vjerojatno će izvršiti minimalnu prilagodbu i preuzeti rizik plaćanja kazne. To su organizacije koje i inače rijetko pridaju značajniju pažnju tehničkoj i organizacijskoj zaštiti, pa nije ni čudo da je ne pridaju niti GDPR-u. Međutim, organizacije s više zaposlenika, koje raspolažu većim financijskim mogućnostima i obrađuju veću količinu osobnih podataka, morale bi ozbiljnije razmišljati o pravilnoj GDPR prilagodbi. Za njih regulatorne kazne mogu biti znatno veće.
Takve organizacije imaju tri mogućnosti za provođenje pravilne prilagodbe.
Svaka od navedenih varijanti na neki način “košta”. Osposobljavanje vlastitog osoblja potrajat će nekoliko mjeseci. Angažman vlastitog osoblja također znači da će osoblje imati manje vremena za druge poslovne zadaće. Angažman vanjskog stručnjaka se plaća, ali u konačnici može biti isplativiji. Pritom treba uzeti u obzir da novo-osposobljeno osoblje nije jednako efikasno kao stručnjak s višegodišnjim iskustvom.
Angažman vanjske strane može biti isplativiji od angažmana vlastitog osoblja, naročito u situacijama kad voditelj obrade ne raspolaže osobljem koje bi već imalo potrebna znanja i iskustva.
Postoje i oni koji prodaju setove unaprijed pripremljene GDPR dokumentacije, koju djelomično prilagode klijentu i onda to nazovu “GDPR prilagodba”. Takav set dokumentacije može se nabaviti već i za stotinu ili par stotina eura. U narodu se to kaže "prodavanje magle". Plaća se nešto što ne predstavlja prilagodbu, što neće zaštiti osobne podatke pojedinaca, niti će zaštiti kupca od plaćanja regulatornih kazni. Prilagodba traži konkretnu primjenu GDPR načela i zahtjeva.
Svakoga tko dobije kaznu prilagodba košta najviše!
Članak 5. Opće uredbe o zaštiti podataka sadrži dvije stavke. U prvoj stavci navodi se šest načela obrade osobnih podataka, a u drugoj stavci navodi se načelo Pouzdanosti. Pouzdanost znači je Voditelj obrade odgovoran za usklađenost s prvih 6 načela, te je mora biti u mogućnosti dokazati.
AZOP je načelo Pouzdanosti obrazložio na sljedeći način: “Načelo pouzdanosti je načelo kojim se izričito određuje da su voditelji obrade odgovorni za poštivanje drugih načela zaštite podataka i da moraju biti u mogućnosti dokazati poštivanje tih načela.”
Voditelj obrade dužan je osigurati slijeđenje odredbi Opće uredbe o zaštiti podataka. Između ostalog i na način da uspostavi odgovarajuće procedure i dokumente kojima dokazuje usklađenost. Na taj način voditelj obrade izbjegava regulatorne kazne i gradi povjerenje prema svim dionicima organizacije/društva. Npr. kupcima, klijentima, korisnicima, dobavljačima, zaposlenicima itd..
AZOP u tom pogledu navodi: “Ako je voditelj obrade pouzdan, to bi mu moglo pomoći da izgradi povjerenje sa svojim klijentima/kupcima/pojedincima, a u slučaju povrede podataka i pritužbi pojedinaca Agenciji, da ublaži provedbene mjere. U slučajevima povreda osobnih podataka ili kršenja prava pojedinaca, ako voditelji obrade podataka poštuju načelo pouzdanosti, moći će dokazati da su aktivno razmotrili rizike i uspostavili mjere zaštite i sigurnosti. S druge strane, ako voditelj obrade ne može dokazati poštivanje načela pouzdanosti, mogao bi dobiti novčanu kaznu i/ili pretrpjeti štetu za ugled.“
Načelo pouzdanosti traži od voditelja obrade aktivan rad na usklađenju kako bi mogao dokazati usklađenost s Općom uredbom o zaštiti podataka.
Organizacija/društvo u svojstvu voditelja obrade je u konačnici odgovorno za usklađenost sa zahtjevima Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka. Stoga je u interesu voditelja obrade da pažljivo odabere osoblje koje mu pruža potporu u prilagodbi. Npr. imenovanje Službenika za zaštitu podataka).
Odabir nedovoljno osposobljenog osoblja, osoblja čije ostale dužnosti dovode iste do sukoba interesa (kontroliraju sami sebe), kao i izbjegavanje dodjeljivanja potrebnih resursa za provedbu i održavanje usklađenosti, dovodi voditelja obrade u nepriliku. Kad dođe do pritužbe pojedinaca AZOP-u ili povrede podataka, obveza je agencije reagirati i od voditelja obrade zatražiti dokaze slijeđenja GDPR-a. Rezultat toga je sljedeći: “Ako voditelj obrade ne može dokazati poštivanje načela pouzdanosti, mogao bi dobiti novčanu kaznu i/ili pretrpjeti štetu za ugled.“
Osim toga, voditelj obrade trebao bi osigurati kontinuiranu izobrazbu osoblja po pitanju zaštite podataka. Usklađenost sa zaštitom podataka smatra se odgovornošću svih zaposlenika. Osoblje bi trebalo upoznati i redovito podsjećati na važnost zaštite podataka i slijeđenje intrenih politika u njihovom svakodnevnom radu.
Još jedan aspekt koji se često zanemaruje je “Tehnička i integrirana zaštita podataka”. Ona je sastavni dio načela pouzdanosti. AZOP u tom smislu navodi: “Tehnička i integrirana zaštita podataka nije načelo samo za sebe, već uključuje sva načela iz članka 5. Opće uredbe o zaštiti podataka te tehničke i organizacijske mjere kojima se osigurava odgovarajuća razina sigurnosti osobnih podataka u odnosu na rizik i da poduzeće (voditelj obrade) obrađuje samo osobne podatke koji su nužni za svaku posebnu svrhu obrade.”
Tehničku i integriranu zaštitu podataka treba provesti prije početka obrade, te je potom kontinuirano održavati i poboljšavati. Kako bi se zaštita poboljšavala, potrebno je redovito preispitivati učinkovitost primijenjenih zaštitnih mjera.
Svaki bi voditelj obrade trebao vrlo pažljivo razmotriti tehničke i organizacijske mjere kojima osigurava odgovarajuću razinu sigurnosti u odnosu na rizike s kojima je suočen. To znači da tehničke i organizacijske mjere moraju odgovarati stvarnim okolnostima, uzimajući u obzir različite parametre. Npr. količinu osobnih podataka koje obrađuje, osjetljivost podataka, izloženost organizacije kibernetičkim prijetnjama, izloženost fizičkim prijetnjama, itd.
Organizacija koja obrađuje podatke desetak ili stotinjak pojedinaca može provoditi jednostavnije mjere zaštite od organizacije koja obrađuje podatke tisuća ili desetaka tisuća pojedinaca. Nije ista posljedica ako je povredom podataka obuhvaćeno desetak pojedinaca ili desetak tisuća pojedinaca. Nadalje, nije isto obuhvaća li povreda podataka samo ime, prezime i e-mail adresu pojedinca, ili obuhvaća i osjetljive podatke. Na primjer, podatke o visini primanja, članovima obitelji, broju bankovnog računa, itd. Organizacija koja koristi udaljeni pristup računalima, bilo da je takav pristup omogućila zaposlenicima ili vanjskoj strani, izloženija je prijetnjama po tom pitanju od organizacije koja takav pristup blokira. Organizacija koja nije definirala perimetre fizičke sigurnosti i pravilno ih zaštitila (npr. zaključavanje ureda, i ormara, alarmni sustav, video nadzor itd.) snosi veći rizik od provale i krađe u odnosu na ostale.
Identifikacija i tretman rizika podrazumijeva angažiranje osobe s iskustvom u upravljanju rizicima. Pravilno savjetovanje voditelja obrade po pitanju kibernetičkih i fizičkih rizika kao i predlaganje mjera za ublažavanje rizika od suštinske su važnosti.
Mnogi rizici mogu se tretirati već i izradom/provedbom dobro osmišljenih pravilnika i procedura kojima se regulira način rada i prihvatljivog ponašanja u organizaciji.
Ponekad je uvođenje dodatnih tehničkih i fizičkih mjera neophodno, ali će dobar stručnjak znati pravilno odabrati. Time će trošak svesti na minimum jer će predlagati ona manje zahtjevna i financijski prihvatljivija rješenja. Pritom će paziti da cijena nije jedini kriterij kad god to dovodi do značajnog gubitka na kvaliteti, funkcionalnosti, sigurnosti i pouzdanosti rješenja. Na primjer, ako ste za potrebe backupa odabrali cloud servis koji ne pruža opciju postavljanja privatnog kriptografskog ključa (end-to-end enkripcija), to znači da ste loše odabrali. S takvim servisom niste osigurali povjerljivost podataka jer pružatelj usluge može čitati vaše podatke i potencijalno ih dijeliti s drugima. Preostaje Vam tu obradu nastaviti vršiti uz visok rizik ili koristiti (platiti) dodatni servis ili aplikaciju koja će postojećem servisu dodati funkcionalnost end-to-end enkripcije. U konačnici Vas takvo "jeftinije" rješenje može izaći dosta skuplje od rješenja koje je imalo tu funkcionalnost, ali ga niste uzeli jer je bilo malo skuplje.
Za kraj nabrojimo neke od preporučenih mjera dokazivanja usklađenosti s GDPR-om:
Obveze u skladu s načelom pouzdanosti razvijaju se tijekom vremena i nemoguće ih je provesti u svega nekoliko dana. Osim toga, voditelj obrade trebao bi stalno preispitivati i ažurirati svoje mjere.
Trebate GDPR prilagodbu? Pogledajte našu uslugu prilagodbe!
Osnovno pravilo je da kod odabira takvog rješenja ne uzimate u obzir samo cijenu usluge već i druge važne parametre. Vrlo lako je odabrati pogrešno backup rješenje ako ne pripazite na:
Recimo da ste za backup odabrali cloud servis čija je primarna svrha sinkronizacija i dijeljenje podataka. Takav servis, premda je vrlo praktičan u svakodnevnom radu, vrlo je loš odabir za backup.
Zašto? Da bi Vam omogućio dijeljenje podataka takav servis koristi javni kriptografski ključ, što ujedno znači da pristup podacima ima i sam pružatelj cloud usluge. Što je još gore, pružatelj usluge Vaše podatke može dodatno podijeliti s trećim stranama a da vi to i ne znate. Osim toga i sam korisnik zabunom može podijeliti povjerljive datoteke ili mape s drugima.
Za backup koristite samo cloud servise koji omogućuju korištenje privatnog kriptografskog ključa, tj. end-to-end enkripciju. Kriptografski ključ kojim su šifrirani podaci u tom slučaju znate samo Vi i nitko drugi. Pružatelj cloud usluge ne može pročitati Vaše podatke, a samim time ne može ih ni podijeliti s trećim stranama. Barem ne u čitljivom obliku s obzirom da su podaci kriptirani.
Siguran sam da mnogi od Vas u svakodnevnom radu koristite OneDrive ili Google disk. Zamislite sada da Vas zadesi ransomware napad i kriptira datoteke na računalu, mrežnim mapama i svim priključenim diskovima. Zaražene (promijenjene) datoteke sinkroniziraju se s Vašim cloud diskom. Sada imate zaražene datoteke lokalno na računalu i na cloudu. Mislite kako ćete lako vratiti prijašnje verzije s clouda, odlazite na cloud disk i shvatite da nemate opciju skupnog vraćanja prijašnje čiste verzije datoteka. Servis Vam nudi samo opciju pojedinačnog vraćanja. Na svaku datoteku morate "kliknuti", označiti verziju datoteke koju želite vratiti, preuzeti je lokalno na računalo i to onda ponavljati onoliko puta koliko datoteka imate. Ako imate par datoteka, nije nikakav problem, ali ako imate stotine, tisuće ili čak desetine tisuća datoteka, u velikom ste problemu. Teoretski možete vratiti, ali praktično nećete osim ako imate volje i strpljenja tjednima ili mjesecima "klikati" po datotekama.
Zato je vrlo bitno kakvo rješenje koristite za cloud backup. Dobro rješenje mora omogućavati jednostavno i skupno vraćanje prijašnjih čistih verzija datoteka. Morali bi imati mogućnost odabrati točan datum i sat do kojeg se želite vratiti unazad i potom s jednim ili par klikova mišem vratiti sve zadnje verzije datoteka do označenog trenutka.
OneDrive, Google disk, Dropbox i slični servisi namijenjeni sinkronizaciji i dijeljenju podataka odlični su za sinkronizaciju i dijeljenje. Mogu čak poslužiti kao svojevrstan “backup” u slučaju kada se vaše računalo pokvari ili slučajno izbrišete neku datoteku. Recimo da se računalo pokvari, jednostavno nabavite drugo računalo, povežete se na cloud disk i podaci će se automatski s cloud diska sinkronizirati s Vašim novim računalom. Međutim, dođe li do ransomware infekcije shvatite da takvi servisi ipak nisu zamjena za pravi backup.
Kako ne bi bespotrebno plaćali veliki kapacitet cloud pohrane, možete uz malo truda smanjiti potrebu za kapacitetom backupa. Možete razvrstati dokumente u mape po načinu njihova korištenja. Na primjer, vjerojatno imate priličan broj datoteka povezanih s prijašnjim projektima koje više ne namjeravate mijenjati, već ih samo koristiti kao arhivu ili kao predloške za nove dokumente. Sve takve datoteke nije nužno pohraniti na cloud, već ih možete pohraniti lokalno na dva ili više medija. Ovo Vam je ujedno i prilika da obrišete sve zastarjele i nepotrebne datoteke, kao i datoteke s osobnim podacima za koje je istekla svrha obrade.
Moj je postupak da datoteke koje više ne koristim aktivno pohranim unutar mapa koje nazovem Arhiva XY i u njih premjestim sve takve datoteke. S obzirom da se radi o datotekama koje više ne mijenjate, u takav backup potrebno je samo povremeno dodati nove datoteke koje su Vam postale arhiva. To možete učiniti svakih par mjeseci ili čak jednom godišnje. Prilikom toga je vrlo važn slijediti nekoliko pravila:
Ako slijedite ova tri pravila osigurali ste podatke u slučaju da jedan medij zataji, da bude uništen (npr. požar) ili da bude ukraden. Uvijek Vam ostaje drugi medij na drugoj lokaciji. Kriptirani medij ili kriptirani podaci na mediju onemogućit će neovlašten uvid u podatke iz backupa. Za kriptiranje medija ili podataka možete koristiti besplatno rješenje VeraCrypt - https://www.veracrypt.fr/en/Downloads.html
Premda je opisani postupak s izradom lokalnih kopija kompleksniji od onoga da sve podatke jednostavno uključite u cloud backup, njegova prednost je što podatke možete vrlo brzo vratiti, što nije potrebna internetska veza i ne manje bitno, za malo novaca možete osigurati veliki kapacitet pohrane. Također, ako imate problema sa sporom internetskom vezom ili imate limitiran promet, tada je lokalni backup vrlo praktično rješenje.
Što u slučaju kloniranja čitavog diska ili izrade sistemske kopije? To je postupak koji je uobičajen u većim organizacijama gdje puno korisnika koristi računala. Ja za time nemam potrebe, računalo je dobro zaštićeno, a u najgorem slučaju lako ću softver ponovno instalirati na novom računalu.
Bitno je da osigurate vlastite datoteke, jer samo one mogu biti nepovratno izgubljene!
Ransomware je specifičan maliciozni napad koji traži vrlo dobru osmišljenu strategiju backupa. Kvalitetan i ažuran antivirus i antimalware alat popraćen s pouzdanim Cloud backupom je najefikasniji način zaštite podataka od ransomware prijetnji.
Za kraj, htio bih opet nagalastii da dobro pripazite kod odabira cloud backupa. Bez mogućnosti skupnog vraćanja većeg broja datoteka nakon zaraze ransomware-om i bez mogućnosti korištenja privatnog kriptografskog ključa, tj. end-to-end enkripcije, imat ćete problema. Osim što se nećete moći lako ili se nećete moći uopće oporaviti od ransomware napada, nećete se moći ni prilagoditi zahtjevima GDPR-a po pitanju cjelovitosti i povjerljivosti. Nemojte zaboraviti da i podaci u backupu podliježu GDPR-u. Bez end-to-end enkripcije nemoguće je osigurati povjerljivost i punu kontrolu nad podacima pohranjenim na sustavima koji nisu u Vašem vlasništvu i pod Vašom punom kontrolom.
AZOP je krenuo u kažnjavanje organizacije koje nisu prilagodile svoje web stranice GDPR zahtjevima. Naime, svaka obrada osobnih podataka, uključujući i obradu osobnih podataka na internetskim stranicama, mora zadovoljiti zahtjeve Opće uredbe o zaštiti podataka.
U rujnu ove godine, AZOP je izrekao dvije upravne novčane kazne u iznosima 20.000,00 eura (150.690,00 kuna) i 30.000,00 eura (226.035,00 kuna) zbog kršenja GDPR-a na internetskim stranicama.
Upravne novčane kazne zbog nezakonite obrade osobnih podataka putem kolačića
Agencija za zaštitu osobnih podataka izrekla je dvije upravne novčane kazne voditeljima obrade, trgovačkim društvima za djelatnosti kockanja i klađenja u iznosu od 20.000,00 eura (150.690,00 kuna) i 30.000,00 eura (226.035,00 kuna), zbog tri utvrđene povrede Opće uredbe o zaštiti podataka u oba slučaja
AZOP
Bilo je samo pitanje vremena kad će AZOP krenuti s kažnjavanjem subjekata koji nisu prilagodili svoje intrenetske stranice. U Njemačkoj i drugim zapadnim zemljama praksa kažnjavanja se provodi već niz godina. Nažalost, to jedini način da se obrada osobnih podataka stavi pod kontrolu. U Hrvatskoj je ta praksa započela tek sada i na žalost posljedice kašnjenja vidljive su na našem webu. Većina organizacija u Hrvatskoj do današnjeg dana nije prilagodilo svoje stranice GDPR-u ili ih je pogrešno prilagodila. To znači da se osobni podaci posjetitelja obrađuju netransparentno, na nezakonit način i prenose sumnjivim trećim stranama.
Voditelji obrade prikupljali su i obrađivali osobne podatke ispitanika odnosno posjetitelja internetske stranice putem kolačića bez pravne osnove, čime je povrijeđen čl. 6. st. 1 Opće uredbe o zaštiti podataka. Naime, kako bi obrada osobnih podataka bila zakonita potrebno je postojanje najmanje jedne od pravnih osnova iz predmetnog članka, što u konkretnom slučaju voditelji obrade nisu ispunili, odnosno nisu dokazali postojanje pravne osnove za obradu osobnih podataka putem kolačića (eng. cookies – male datoteke koje Internet preglednik pohranjuje na računalo, mobilni uređaj ili neki drugi uređaj kojim je ispitanik posjetio Internet stranice te na taj način pamte i prate njegove daljnje radnje na internetskim stranicama, a koja obrada je odnosna i na aspekte osobnih podataka).
AZOP
Internetski kolačići na web stranicama služe za prikupljanje i pohranu informacija o posjetitelju (npr. IP adresa, ID računala, Operativni sustav posjetitelja, Posjećene stranice, itd.). Kolačići su smješteni na računalu posjetitelja, ali se prikupljene informacije često dijele s trećim stranama. Jasno je onda zašto je takva obrada sporna i zašto ona bez znanja i/ili privole korisnika predstavlja ugrozu privatnosti i kršenje GDPR-a. Za svaki tip obrade osobnih podataka mora se odrediti pravna osnova za obradu osobnih podataka. Obrade osobnih podataka za koje nismo odredili i dokumentirali pravnu osobu smatraju se nezakonitima, bez obzira što su nam one možda neophodne. GDPR zahtjeva da te obrade identificiramo, odredimo pravnu osnovu, dubinski analiziramo i zaštitimo. Bez pravilne prilagodbe obrada osobnih podataka smatra se nezakonitom.
Isto tako, voditelji obrade nisu na odgovarajući način dali informacije ispitanicima, odnosno omogućili ispitanicima da dostatno informirano, tj. dobrovoljno daju i/ili povuku privolu, čime je povrijeđen članak 7. Opće uredbe o zaštiti podataka. Naime, posjetitelj za svaku vrstu kolačića po njihovoj funkcionalnosti treba dati posebnu privolu, odnosno privola ne može biti objedinjena za sve vrste kolačića, a u konkretnim slučajevima nije postojala opcija zasebnog davanja/povlačenja privole za svaku vrstu kolačića.
AZOP
Samo nužni funkcionalni internetski kolačići bez kojih stranica ne bi funkcionirala ispravno mogu se koristiti bez privole. Sve ostale vrste kolačića, u koje spadaju statistički, marketinški i drugi kolačići, mogu se koristiti samo uz izričitu privolu posjetitelja. Neki subjekti koriste tzv. "legitimni interes" kako bi koristili ostale kolačiće bez privole, ali to je kršenje GDPR-a. AZOP naglašava da je jedina valjana pravna osnova za korištenje ostalih kolačića privola. Stranice s vijestima često koriste plugin privole u kojemu su gotovo svi kolačići uključeni pod legitimnim interesom, međutim taj plugin nije sukladan s GDPR-om.
Kada spominjemo privolu, važno je podsjetiti se i na osnovna načela koja privola mora zadovoljiti da bi se smatrala važećom. Privola mora biti dobrovoljna i mora biti potvrđena jasnom radnjom ispitanika. To znači da ne smije biti unaprijed označeno polje za davanje privole, te da davanje i povlačenje privole mora biti jednako jednostavno. Ako je za davanje privole potreban jedan klik mišem a za povlačenje privole je potrebno skrolanje i više klikova, onda povlačenje i davanje privole nije jednako jednostavno i takva privola može se smatrati nevažećom. Dodatan zahtjev privole je da ona mora biti slojevita, odnosno da se ispitaniku mora omogućiti davanje privole za pojedine aspekte. Na primjer, ako koristimo statističke i marketinške kolačiće, tada posjetitelju moramo omogućiti da odabere za koji tip kolačića daje ili povlači privolu.
Obavijesti poput, "ova stranica koristi kolačiće i daljnjim korištenjem prihvaćate kolačiće" ili "kolačiće možete isključiti sami u web pregledniku tako što u postavkama...", nisu u skladu s GDPR-om. Takve obavijesti lako mogu rezultirati plaćanjem kazni.
Također je vrlo važno osigurati da web stranica nema unaprijed uključene kolačiće, odnosno da su eventualno jedino nužni funkcionalni kolačići unaprijed uključeni (GDPR i ePrivacy direktiva).
Utvrđeno je kako voditelji obrade nisu na adekvatan način obavijestili ispitanike (posjetitelje internetskih stranica) o obradi osobnih podataka, odnosno o obradi podataka putem kolačića čime je povrijeđen čl. 13. st. 1. i 2. Opće uredbe o zaštiti podataka. Naime, o predmetnoj obradi voditelji obrade nisu informirali ispitanike sukladno načelu transparentnosti te su na taj način ispitanici (posjetitelji internetskih stranica) bili zakinuti za informacije o obradi podataka poput pravne osnove, funkciji svakog kolačića te razdoblju pohrane kolačića.
AZOP
U konačnici došli smo i do načela transparentnosti i prava na informiranost. Ako stranice koriste kolačiće, posjetitelje je potrebno informirati o tome da stranice koriste kolačiće, ali i pružiti konkretne informacije o kolačićima koji se koriste na dotičnim stranicama. To znači da nije dovoljno samo opisati što su kolačići ili uputiti na stranicu Wikipedije. Potrebno je navesti koji se točno kolačići koriste, u koje svrhe se koriste, koliko dugo se čuvaju i kome se informacije prenose. Samo takva konkretna obavijest o kolačićima će se smatrati transparentnom i informirajućom. Obavijest o kolačićima mora biti vidljiva i lako dostupna.
Osim toga, potrebno je pobrinuti se da su na internetskoj stranici dostupni i ostali važni dokumenti poput Politike privatnosti. Internetska stranica je javno dostupna i odličan je medij putem kojeg se korisnike može informirati o obradama, pravima i zaštiti podataka.
Za kraj bih htio dodati da su internetske stranice ogledalo organizacije. Organizacije koje nisu izvršile prilagodbu svojih internetskih stranica, svima daju do znanja da nisu izvršile GDPR prilagodbu. A to je onda odmah vidljivo i AZOP-u. Osim toga, time posjetitteljima odmah daju do znanja da im nije previše stalo do zaštite njihovig osobnh podataka. Danas, kada su sve učestalije krađe osobnih podataka i krađe identiteta, nemaran odnos prema osobnim podatcima organizacije može koštati gubitka reputacije i klijenata.
Prije nekoliko dana izrečena je upravna novčana kazna Zagrebačkom holdingu u iznosu od 25.000,00 eura (188.362,50 kuna) zbog kršenja Opće uredbe o zaštiti podataka (GDPR)
AZOP
- Voditelj obrade nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi obrade osobnih podataka te razdoblju pohrane osobnih podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta zbog izdavanja prijepisa računa putem e-pošte čime je postupio protivno odredbi čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka. Sukladno navedenim odredbama, a ukoliko se osobni podaci prikupljaju od ispitanika, voditelj obrade dužan je u trenutku prikupljanja pružiti ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, razdoblju u kojem će osobni podaci biti pohranjeni itd.) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika
- Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika usluga zbog izdavanja prijepisa računa putem e-pošte, čime je povrijedio odredbe čl. 25. st. 2. Opće uredbe o zaštiti podataka.
Zagrebački holding d.o.o. od korisnika usluga traži presliku osobne iskaznice prije izdavanja prijepisa računa (naknada za uređenje voda i komunalnu naknadu) putem e-pošte.
Prikupljanje preslika osobnih iskaznica samo je po sebi vrlo rizična obrada, koju je ujedno vrlo teško opravdati sa stanovišta GDPR-a (prekomjerna obrada). Naime, identifikacija osoba može se postići i na drugi, manje rizičan način. Dodatni rizik predstavlja prikupljanje preslika osobnih iskaznica putem e-maila. Svaki stručnjak informacijske sigurnosti odmah bi odbacio mogućnost korištenja e-maila u tu svrhu. U slučaju presretanja maila ili hakiranja lozinke napadač na jednostavan način dolazi do informacija i dokumenata koje može vrlo lako zloupotrijebiti. Na primjer, iskoristiti za krađu identiteta i ugovaranje različitih usluga, poput usluga kod teleoperatera. Korisnici čiji je identitet ukraden mogu imati velikih problema i novčanih gubitaka.
Za istu uslugu u svrhu identifikacije ranije je bilo dovoljno dostaviti ime, prezime, adresu, OIB, sistemski broj objekta i sistemski broj obveznika.
Holding je očigledno promijenio postupak obrade osobnih podataka a da tu promjenu nije analizirao sa aspekta informacijske sigurnosti i GDPR-a. To se dešava svim organizacijama koje nisu uspostavile model "Privacy by design". Naime, zahtjevi GDPR-a i informacijske sigurnosti morali bi se uzeti u obzir u svakoj fazi, počevši od razvoja do implementacije, dok promjene moraju biti strogo kontrolirane.
U postupku je utvrđeno kako voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem e-pošte samo u slučaju sumnje na lažno predstavljanje.
Sve organizacije bi trebale propisati službena pravila za identifikaciju ispitanika i educirati zaposlenike o propinom načinu identifikacije. Identificirati ispitanika se može na različite načine. Na primjer, korisnik zna iznose prijašnjih uplata, korisnik zna kada su uplate izvršene i sl. Osim toga, organizacije s korisnicima može dogovoriti i poseban podatak, kod ili šifru s kojom će se korisnik moći identificirati putem telefona ili e-maila. S obzirom na te ostale mogućnosti identifikacije, prikupljanje kopija osobnih iskaznica smatra se prekomjernom obradom i kršenjem GDPR-a.
Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa. Sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge.
Na žalost, kada GDPR prilagodbu radi osoba ili osobe koje nemaju dovoljno tehničkog znanja i u prilagodbu ne uključe osobe s potrebnim znanjem, donose se pogrešne odluke. Svatko može otvoriti e-mail tipa, ime.prezime@domena. S obzirom da svatko može otvoriti e-mail adresu koja u nazivu sadrži ime i prezime potpuno druge osobe, onda to ne može biti potvrda da se usitinu radi o osobi istog imena i prezimena. Isto je ujedno zaključio i AZOP.
Slijedom navedenog, utvrđeno je kako je voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2 Opće uredbe o zaštiti podataka.
Očigledno se napravilo niz propusta u ovoj obradi. To je ugrozilo osobne podatke korisnika i rezultiralo novčanom kaznom Zagrebačkom holdingu.
Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.
Ovo je očit primjer da GDPR prilagodba zahtjeva stručnjaka koji će na pravilan način prilagoditi procese organizacije. Nije dovoljno samo prepisati dokumentaciju drugog poslovnog subjekta, malo je prilagoditi i reći, "mi smo usklađeni". Uloga stručnjaka je da voditelja savjetuje, uzimajući u obzir tehničke i organizacijske mjere, strukturu i osposobljenost zaposlenika, način komunikacije, itd.
Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.
Kao što sam ranije spomenuo, korištenje e-maila za obradu ili pohranu povjerljivih informacija nije dobra praksa. E-mail je servis koji je nastao prije više desetljeća, u vremenima kada se o informacijskoj sigurnosti nije ni razmišljalo. Tijekom vremena dodavane su sigurnosne značajke e-mailu, ali to je poput krpanja rupa na trulom brodu. Svaka organizacija koja drži do sigurnosti, povjerljivu dokumentaciju putem maila šalje samo koristeći kriptografiju. Ako vas neka organizacija traži da im pošaljete osobnu iskaznicu putem e-maila u nekriptiranom obliku, nemojte to učiniti jer može dovesti do krađe identiteta. Ako je već i potrebno poslati kopiju osobne iskaznice, organizacija vam mora omogućiti da to uradite na tehnički siguran način. Ako ništa drugo, može Vas barem uputiti da zacrnite podatke na kopiji koji nisu potrebni za obradu, npr. vašu sliku, prije njezinog slanja e-mailom.
Voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.
S obzirom da za tu obradu nije određena pravna osnova, to znači da ista nije bila pravilno dokumentirana. Kada se uvode promjene u obradama iste je potrebno zabilježiti u evidenciji aktivnosti obrade, politici privatnosti, procijeniti rizike i dr. Ispitanike je potrebno informirati o promjenama u obradi. S obzirom na veći broj propusta i ugrozu osobnih podataka korisnika, ovaj slučaj je rezultirao novčanom kaznom Zagrebačkom holdingu.
Pravilna GDPR prilagodba podrazumijeva istinsku zaštitu osobnih podataka i obuhvaća sljedeće korake navedene u AZOP-ovim uputama za DPO:
U postupku GDPR prilagodbe također je u obzir potrebno uzeti:
Za svaki tip obrade osobnih podataka koji vršimo potrebno je preispitati postupke obrade (vidi sliku). Primjeri takvih postupaka obrade su npr. izrada platne liste, vođenje evidencije radnog vremena, kadrovska evidencija zaposlenika, izrada ponuda, izrada računa, zapošljavanje kandidata za posao, izrada backupa, itd.
Na žalost, većina organizacija nije pravilno izvršila prilagodbu. tj. izrađena je samo dokumentacija “reda radi”, bez ikakvih konkretnih promjena u obradama i mjerama zaštite podataka. U slučaju povrede podataka ili bilo kakvom drugom kršenju GDPR-a regulator uspoređuje dokumentaciju s činjeničnim stanjem.
Potrebno je imati na umu da je svrha GDPR-a osigurati visoku i ujednačenu razinu zaštite podataka u Europskoj uniji, a ne puko stvaranje dodatne papirologije. Stoga je prava mjera sljeđenja GDPR-a ono što konkretno činimo, a papirologija predstavlja dokumentiranje činjeničnog stanja, odnosno toga što smo učinili i što kontinuirano činimo po pitanju zaštite podataka.
