Kako se ponašati u slučaju povrede podataka?

Prije svega, nemojte paničariti i uvijek imajte svoj ručnik sa sobom.

Konačno se to dogodilo. Postojala je greška u vašem sistemu i neko je to iskoristio da sprovede ono što se, žargonski rečeno, zove a podaci povrede. Kršenje ličnih podataka. Ne brinite, to nije neobičan fenomen. Najsretniji naiđu na ovu mogućnost manje od jednom godišnje, ali u svijetu koji se razvija brzo poput interneta može se dogoditi da ta mogućnost postane mnogo češća. Dok pokušavate da ne paničarite, preporučujemo vam da se držite osnovnog pravila: da biste riješili kršenje, morate slijediti naznake Evropske uredbe 16/679 (GDPR) koji nudi smjernice o tome što učiniti ako dođe do povrede podataka.

Šta je povreda podataka?

Kršenje ličnih podataka je od 6 tipova, a svaki od njih može biti dobrovoljan ili slučajan na osnovu zašto se to dogodilo:

• Neovlašteni pristup. Neko nije mogao imati pristup određenim informacijama, ali jeste. U slučaju da je ovo bila greška, možda ste poslali važan dokument jednoj osobi umjesto drugoj. Bila je to nesreća, ali je i dalje uvreda podataka. Međutim, u slučaju da ste izvršili neovlašteni pristup nečijim podacima, ovaj događaj može postati špijunaža.
• Neovlaštena kopija. Neko je uzeo neke podatke koji im nisu pripadali i kopirao ih za sebe. Ovo bi mogla biti nesreća ako bi kolega odlučio da odštampa dokument koji ne bi trebao imati kako bi što bolje sastavio radni dokument. U slučaju dobrovoljnog kopiranja za manje jasne ciljeve, moglo bi biti krađa.
• Unexpected Disclosure. Neko slučajno procuri podatke koji iz bilo kojeg razloga ne bi trebali biti na mreži. Na primjer, fotografija važnog kupca je objavljena na Facebook profilu kompanije. U slučaju prijevare, ova operacija se poziva širenje.
• Neovlaštena modifikacija. Neko je promenio neke podatke, iako to nije mogao. Ako se to desilo greškom, to je to. Inače bi moglo biti petljanje od strane hakera ili napadača.
• Gubitak pristupa. Neko izgubi informacije i one više nisu dostupne. Zaboravljanje lozinke za računar predstavlja kršenje, jeste li to znali? A u slučaju da je to učinjeno namjerno, to i postaje enkripcija.
• Brisanje podataka. Neko briše osjetljive podatke. Ako se ovo dogodilo greškom, to je prekršaj. Ali u slučaju da je otkazivanje dobrovoljno, nastaje uništavanje podataka.

Kršenje ličnih podataka: kako se ponašati?

Molimo pogledajte članke 33 i 34 GDPR-a. Ova dva člana odnose se na evropsku regulativu koja nastoji ukazati na procedure koje treba slijediti u slučaju povrede podataka. Član 33. odnosi se na unutrašnje upravljanje privrednom društvom i odnose sa garantom, dok se član 34. odnosi na upravljanje sa zainteresovanim licima, odnosno osobama čije lične podatke posjedujemo.

Bitno je to precizirati povreda podataka se uvijek mora evidentirati e, u slučaju, o tome obavijestiti Garant kako je navedeno u članu 33. Ovo također kaže da u slučaju povrede, rukovalac podataka mora obavijestiti nadzorne organe u roku od 72 sata od saznanja za to, posebno ako to predstavlja rizik po prava i slobode fizičkih lica. Obrađivači podataka (firma za obračun plaća, računovođa, sistemski analitičari...) moraju obavijestiti kontrolora podataka.

Ako odlučite da obavijestite Garanta, njemu su potrebne informacije: priroda kršenja, broj ljudi koji su uključeni, podaci o ugovoru službenika za zaštitu podataka, moguće posljedice kršenja i sve mjere koje su poduzete ili koje treba poduzeti.

Međutim, kompanija ima obavezu da komunicirati sve što se dešava, bez obzira da li su povrede nenamjerne ili namjerne, te preuzimaju odgovornost (odgovornost).

Odgovornost?

Kompanija mora biti odgovoran, kompetentan i svjestan onoga što se dešava u svojim okruženjima i sistemima. Kompanija mora pokazati svoju sposobnost da proaktivno riješi problem i pokazati da ima alate za zaustavljanje posljedica kršenja podataka. To se radi pružanjem dokaza i podataka – i tako što vam nudimo da garantu ponudite sigurnost da se ono što se dogodilo nikada više neće ponoviti. U slučaju nedostatka "odgovornosti" nastaje kazna.

Koje povrede treba saopćiti žirantu?

Jamcu se saopštavaju samo dobrovoljni prekršaji, a ne slučajni. Rukovalac podataka mora odlučiti hoće li ili ne obavijestiti, po logici odgovornosti, ako povreda podataka može uzrokovati štetu pravima i slobodi pojedinaca. L'ENISA (Agencija Evropske unije za sajber sigurnost) je stvorila a metodologija za izračunavanje rizika o slobodi lica u slučaju povrede. Ova metodologija se može primijeniti iu preduzeću.

Kako znate da li je došlo do prekršaja?

Kršenje se mora shvatiti kao istinski otkriveno. Ovo je izvodljivo ako postoji odgovarajuća obuka u kompaniji za procjenu rizika i razumijevanje eventualne štete. Ukratko, ne treba vam inženjer koji stupa na scenu dva mjeseca u pokušaju da procijeni moguću štetu izgubljenog fleš diska: potreban vam je kurs obuke koji pomaže dostupnom osoblju da shvati razmjere štete bez dodavanja već značajnih troškova upravljanja. Jednostavno rečeno, osoblje mora biti obučeno o tome šta kršenje podrazumijeva i da o proceduri na vrijeme komuniciraju subjekte podataka.

Član 34. nam govori da kontrolor podataka ne smije saopćiti povredu subjektu podataka kada:

• Sprovode se odgovarajuće tehničke i organizacione mjere, ali uz obavještenje Žiranta i dokaz o odgovornosti.
• Usvojila je mjere za izbjegavanje visokog rizika od povrede podataka.
• Objavljivanje se može izostaviti ako zahtijeva nesrazmjeran napor – u ovom slučaju, mora biti javno objavljeno!

Događaju se povrede podataka. Ali kako mislite da to možete podnijeti?