Jedna od glavnih obveza prema GDPR-u je osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštenih ili nezakonitih obrada (uključujući krađu, uništavanje, oštećenje i otkrivanje) osobnih podataka. Kako biste zaštitili osobe podatke svojih klijenata/korisnika usluga/zaposlenika (ukratko pojedinaca čijim osobnim podacima raspolažete), dužni ste provoditi odgovarajuće tehničke i organizacijske mjere. Na ovaj način svest ćete mogućnost nezakonite obrade osobnih podataka i povreda osobnih podataka na minimum.
Sve organizacije (mikro, mala, srednja, velika poduzeća, tijela javne vlasti i svi ostali voditelji i izvršitelji obrade) trebaju biti svjesne važnosti ove obveze, a posebice organizacije koje prikupljaju i pohranjuju posebne kategorije osobnih podataka. Jedno od prvih pitanja koje će postaviti nadzorno tijelo za zaštitu podataka (Agencija za zaštitu osobnih podataka – AZOP) u slučaju povrede osobnih podataka i prilikom nadzornih postupanja, upravo je koje su mjere poduzete kako bi se osigurala sigurnost osobnih podataka.
Neke od tehničkih mjera za zaštitu osobnih podataka su pseudonimizacija, enkripcija, korištenje korisničkih imena i snažnih lozinki za pristup računalima i računalnoj opremi, postavljanje adekvatnih programa na računala koji sprječavaju neovlaštene pristupe, antivirusni programi, vatrozid, dvostruka autentifikacija, redovito izrađivanje sigurnosnih kopija podataka itd. Papirnata dokumentacija koja sadrži osobne podatke trebala bi se nalaziti u zaključanim ormarićima i prostorijama, sefovima ili bi trebala biti zaštićena protuprovalnim sustavom. Također, trebali biste koristiti provjerene/certificirane uređaje, programe i tehničku opremu te redovito nadograđivati operativni sustav računala, mobilnih uređaja i računalnih programa.
Organizacijske mjere zaštite odnose se na dokumentirano uređenje unutar društva/organizacije/obrta na način da se internim aktima uredi područje zaštite osobnih podataka koje obrađujete, odnosno da se, primjerice, vodi evidencija pristupa osobnim podacima (tzv. logovi) i odredi kojim osobnim podacima zaposlenici imaju pristup prilikom obavljanja svojih poslova.
Neki od takvih internih akata su:
- Pravilnik o informacijskoj sigurnosti kojim se, između ostalog, propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu.
- Pravilnici kojima se uređuje obrada osobnih podataka: propisuju tko obrađuje osobne podatke, u koju svrhu, koji je pravni temelj obrade, koji je opseg osobnih podataka u obradi, tko ima pravo pristupa i obrade osobnih podataka, koliko dugo se podaci čuvaju, koje su tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka) itd.
- U ugovornim klauzulama unutar ugovora o radu mogu biti definirani sustavi pohrane koje će zaposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
- Izjavom o povjerljivosti zaposlenik poslovnog subjekta ili vanjski suradnik daje pisanu izjavu da će osobne podatke obrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite te da ih neće zlorabiti i davati neovlaštenim trećim stranama.
- Ugovor o obradi osobnih podataka između voditelja i izvršitelja obrade
GDPR ne definira koje konkretno tehničke i organizacijske mjere je potrebno poduzeti, a iste ovise o poslovnim procesima, postupcima obrade koje organizacija provodi, kategoriji osobnih podataka koje prikuplja i rizičnosti obrade. Poduzeća trebaju uzeti u obzir troškove i proporcionalnost provedbe određenih mjera –odluka treba uzeti u obzir ne samo najbolju i najprikladniju primjenjivu tehnologiju, već i veličinu i prirodu poduzeća, kao i obujam i prirodu osobnih podataka koji se obrađuju i pohranjuju. Što su osobni podaci osjetljiviji, to im treba osigurati veću razinu zaštite. Primjerice, laboratorij koji obrađuje posebno osjetljive medicinske podatke implementirat će strože mjere koje će osigurati veću razinu zaštite osobnih podataka od frizerskog salona koji obrađuje osobne podatke zaposlenika i prikuplja imena, prezimena, broj telefona i e-mail adrese klijenata.
VAŽNO!
Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka. Ako svi zaposlenici nemaju razvijenu svijest o važnosti informacijske sigurnosti i o zaštiti podataka, poduzete tehničke i organizacijske mjere neće biti od prevelike koristi. Naime, do najvećeg broja povreda osobnih podataka dolazi iz ljudske nepažnje, nemara ili neznanja. Upravo iz tog razloga važno je sve zaposlenike educirati o računalnim virusima i prijevarama (ransomware, phishing, socijalni inženjering itd.), potencijalnim rizicima od krađe, zlouporabe i gubitka osobnih podataka, zatim pomoću kojih zaštitnih mjera se osobni podaci mogu zaštititi, kao i o posljedicama krađe, zlouporabe i gubitka osobnih podataka.