Jedna od glavnih obveza prema GDPR-u je osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštenih ili nezakonitih obrada (uključujući krađu, uništavanje, oštećenje i otkrivanje) osobnih podataka. Kako biste zaštitili osobe podatke svojih klijenata/korisnika usluga/zaposlenika (ukratko pojedinaca čijim osobnim podacima raspolažete), dužni ste provoditi odgovarajuće tehničke i organizacijske mjere. Na ovaj način svest ćete mogućnost nezakonite obrade osobnih podataka i povreda osobnih podataka na minimum.

🧐 Saznajte više o informacijskoj sigurnosti i tehničkim i organizacijskim mjerama u vodičima na web stranici ARC projekta: Sigurnost podataka https://arc-rec-project.eu/wp-content/uploads/2022/06/ARC-Sigurnost-podataka.pdf, Vodič za informacijsku sigurnost, https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf, 5 koraka do sigurnog cloud okruženja: https://arc-rec-project.eu/wp-content/uploads/2022/06/ARC-Pet-koraka-do-sigurnog-Cloud-okruzenja.pdf.

Sve organizacije (mikro, mala, srednja, velika poduzeća, tijela javne vlasti i svi ostali voditelji i izvršitelji obrade) trebaju biti svjesne važnosti ove obveze, a posebice organizacije koje prikupljaju i pohranjuju posebne kategorije osobnih podataka. Jedno od prvih pitanja koje će postaviti nadzorno tijelo za zaštitu podataka (Agencija za zaštitu osobnih podataka – AZOP) u slučaju povrede osobnih podataka i prilikom nadzornih postupanja, upravo je koje su mjere poduzete kako bi se osigurala sigurnost osobnih podataka.

Neke od tehničkih mjera za zaštitu osobnih podataka su pseudonimizacija, enkripcija, korištenje korisničkih imena i snažnih lozinki za pristup računalima i računalnoj opremi, postavljanje adekvatnih programa na računala koji sprječavaju neovlaštene pristupe, antivirusni programi, vatrozid, dvostruka autentifikacija,  redovito izrađivanje sigurnosnih kopija podataka itd. Papirnata dokumentacija koja sadrži osobne podatke trebala bi se nalaziti u zaključanim ormarićima i prostorijama, sefovima ili bi trebala biti zaštićena protuprovalnim sustavom. Također, trebali biste koristiti provjerene/certificirane uređaje, programe i tehničku opremu te redovito nadograđivati operativni sustav računala, mobilnih uređaja i računalnih programa.

Organizacijske mjere zaštite odnose se na dokumentirano uređenje unutar društva/organizacije/obrta na način da se internim aktima uredi područje zaštite osobnih podataka koje obrađujete, odnosno da se, primjerice, vodi evidencija pristupa osobnim podacima (tzv. logovi) i odredi kojim osobnim podacima zaposlenici imaju pristup prilikom obavljanja svojih poslova.

Neki od takvih internih akata su:

  • Pravilnik o informacijskoj sigurnosti kojim se, između ostalog, propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu.
  • Pravilnici kojima se uređuje obrada osobnih podataka: propisuju tko obrađuje osobne podatke, u koju svrhu, koji je pravni temelj obrade, koji je opseg osobnih podataka u obradi, tko ima pravo pristupa i obrade osobnih podataka, koliko dugo se podaci čuvaju, koje su tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka) itd.
  • U ugovornim klauzulama unutar ugovora o radu mogu biti definirani sustavi pohrane koje će zaposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
  • Izjavom o povjerljivosti zaposlenik poslovnog subjekta ili vanjski suradnik daje pisanu izjavu da će osobne podatke obrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite te da ih neće zlorabiti i davati neovlaštenim trećim stranama.
  • Ugovor o obradi osobnih podataka između voditelja i izvršitelja obrade

GDPR ne definira koje konkretno tehničke i organizacijske mjere je potrebno poduzeti, a iste ovise o poslovnim procesima, postupcima obrade koje organizacija provodi, kategoriji osobnih podataka koje prikuplja i rizičnosti obrade.  ⚠️Poduzeća trebaju uzeti u obzir troškove i proporcionalnost provedbe određenih mjera –odluka treba uzeti u obzir ne samo najbolju i najprikladniju primjenjivu tehnologiju, već i veličinu i prirodu poduzeća, kao i obujam i prirodu osobnih podataka koji se obrađuju i pohranjuju. Što su osobni podaci osjetljiviji, to im treba osigurati veću razinu zaštite. Primjerice, laboratorij koji obrađuje posebno osjetljive medicinske podatke implementirat će strože mjere koje će osigurati veću razinu zaštite osobnih podataka od frizerskog salona koji obrađuje osobne podatke zaposlenika i prikuplja imena, prezimena, broj telefona i e-mail adrese klijenata.

VAŽNO!

Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka. Ako svi zaposlenici nemaju razvijenu svijest o važnosti informacijske sigurnosti i o zaštiti podataka, poduzete tehničke i organizacijske mjere neće biti od prevelike koristi. Naime, do najvećeg broja povreda osobnih podataka dolazi iz ljudske nepažnje, nemara ili neznanja. Upravo iz tog razloga važno je sve zaposlenike educirati o računalnim virusima i prijevarama (ransomware, phishing, socijalni inženjering itd.), potencijalnim rizicima od krađe, zlouporabe i gubitka osobnih podataka, zatim pomoću kojih zaštitnih mjera se osobni podaci mogu zaštititi, kao i o posljedicama krađe, zlouporabe i gubitka osobnih podataka.

⚠️Sve su češći slučajevi računalnih prijevara, najviše phishinga na koje se “upecaju” mnogobrojni građani, ali i zaposlenici, čime mogu ozbiljno ugroziti poslovanje poduzeća u kojem rade. Primjerice, nedavno je jedna splitska tvrtka izgubila više od milijun kuna nakon što su slijedili upute iz phishing maila koji su dobili.
🧐Saznajte više o phishingu i socijalnom inženjeringu u vodiču Phishing i socijalni inženjering na web stranici ARC projekta https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-Kratki-vodic-phishing-i-socijalni-inzenjering.pdf
⚠️Prema GDPR-u, poduzeća MORAJU poduzeti odgovarajuće mjere u svrhu zaštite osobnih podataka od sigurnosnih rizika kao što su phishing i socijalni inženjering, neke od tih mjera su: provođenje redovitih i detaljnih analiza rizika; pregled internih komunikacijskih i IT politika; provođenje mjera fizičkog i tehničkog osiguranja te EDUKACIJA ZAPOSLENIKA.
⚠️😲🤦‍♂️Upravo je zaposlenik najčešće najslabija karika dok otvara mailove nepoznatih ili sumnjivih pošiljatelja, downloada sumnjive privitke, “klika” na poveznice u lažnim mailovima, a potom na tim lažnim web stranicama unosi podatke, nakon čega napadač dobiva pristup računu i bezbrižno vrši transakcjie na svoj račun… Napadači su često vrlo uvjerljivi, te zaposlenici ni ne posumnjaju kad zaprime mail od banke koja ih traži ažuriranje podataka… EDUCIRAJTE SVOJE ZAPOSLENIKE O VRSTAMA RAČUNALNIH PRIJEVARA I KAKO SE ZAŠTITITI ili ih pošaljite k nama na edukaciju 15.9.2022. (besplatna ARC radionica, prijave u tijeku na info@arc-rec-project.eu).