GDPR – Zakonska prekretnica za digitalno doba
Odbrojavanje je pocelo. Primena nove Opšte regulative o zaštiti podataka (General Data Protection Regulation – GDPR) počinje 25. maja 2018. godine. Kompanije su do tada dužne da svoje programe za zaštitu podataka dovedu u red. Za razliku od ranije direktive koja se odnosila na kompanije unutar Evropske unije, GDPR će imati globalni uticaj.
Neke od najvažnijih GDPR stavki su:
-Organizacije će morati da obaveste nadležne o gubitku podataka u roku od 72 sata.
-Vlasnik podataka o ličnosti imaće pravo na povlačenje saglasnosti, brisanje i prenošenje podataka.
-Za namerna ili ne namerna curenja ličnih podataka predviđene su kazne od dva do četiri odsto godišnjeg prometa ili deset do 20 miliona evra (šta god je veće).
Dve glavne zablude
GDPR predstavlja jednu vrstu negativnog zakona
Regulativa nije preuranjena. Uspon digitalne ekonomije zahteva da se reguliše način na koji se ophodimo prema ličnim informacijama.
To je odgovornost nekog drugog
Poštovanje GDPR nije samo odgovornost službenika za zaštitu podataka (Data Protection Officer) već same kompanije kao kontrolera podataka.
Pet ključnih koraka za procenu osnovne usklađenosti
Bezbednosni okviri su dobar način za usklađivanje sa programom sigurnosti informacija i zaštite podataka. Ako koristimo NIST Cyber Security okvir, izdvojićemo pet osnovnih koraka za procenu:
Identifikacija
Prvi zadatak svake organizacije je da se identifikuje kao kontroler ili procesor. Firme treba da razmotre obaveze koje donosi njihov položaj, kao što su izdavanje obaveštenja građanima i čuvanja.
Takođe, potrebna je indetifikacija lokacije kritičnih podataka, bilo da su oni „u mirovanju“, „u pokretu“ ili „u upotrebi“, kao i vođenje evidencije o aktivnostima obrade i upućenost u zaštitu tih podataka.
Zaštita licnih podataka
Nakon što odrede koji su to kritični podaci, firme treba da osiguraju njihovu adekvatnu zaštitu. Šifriranje i kontrola pristupa su uobičajeni standardi kontrole, ali upravljanje šifriranim podacima preko više poslovnih procesa je težak zadatak. Organizacije treba da upravljaju tokovima podataka putem odobrenih procesora treće strane, zaštitom od krađe podataka od spoljnih napadača, kao i da prate slučajne ili namerne zloupotrebe i potencijalno curenje podataka od strane zaposlenih.
Otkrivanje krađe podataka
Ako dođe do krađe podataka unutar firme, važno je da se to otkrije i utvrdi da li su pogođeni lični podaci. Ukoliko jesu, organizacija će biti u obavezi da u roku od 72 sata obavesti nadležne. Zatim će se pokrenuti istraga koja će otkriti detalje o krađi preko informacija o događajima i incidentima iz alata kao što su Data Loss Prevention (DLP).
Otkrivanje krađe podataka
Reakcija na incident je od kriticnog značaja za zaštitu. Ovaj plan mora redovno da se testira kako bi se obezbedila uključenost zaposlenih u reakciju na gubitak podataka, kao i to da budu sasvim upoznati sa novim zakonom, procesom komunikacije i protokolima.
Oporavak od krađe podataka
Posle krađe podataka, organizacije moraju pokazati da održavaju stalnu komunikaciju sa nadležnima kako bi obezbedile redovno informisanje subjekata koji su pogođeni incidentom. Ovih pet kljucnih koraka može da se primeni kako na GDPR, tako i na druge aspekte sprečavanja zloupotrebe podataka.
Comtrade System Integration može da vam pomogne pri svakom od ovih koraka kroz primenu svoje ekspertize i Data Loss Prevention rešenja.
MILE JELIC, Business Development Manager, mile.jelic@comtrade.com