Blog

Zaštita osobnih podataka – pomodna tema ili stvarna potreba?

Rok za implementaciju GDPR regulative je relativno kratak, a CROZ stručnjaci vam mogu pomoći pronaći najbolja sigurnosna rješenja!
, 10.03.2017.

Sve veća razmjena i izloženost osobnih podataka unutar Europske unije potaknula je Europski parlament da donese Uredbu o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (GDPR), kako bi se zaštitila temeljna prava svakog pojedinca i spriječila zlouporaba osobnih podataka.


Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava, a sve je veći i prekogranični protok osobnih podataka. Podaci se razmjenjuju između javnih i privatnih sudionika te nacionalnih tijela država članica, koje to moraju provoditi kako bi izvršile svoje obveze.

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

Trebamo li zaista štititi osobne podatke?

Pojedinci svoje osobne podatke sve više čine dostupnima javno i globalno. Kad god otvorite svoj bankovni račun, registrirate se na nekoj društvenoj mreži ili web stranici neke organizacije, rezervirate hotel ili avionski let preko interneta, predajete svoje temeljne osobne podatke kao što su ime, adresa, zanimanje, tvrtka u kojoj radite, broj kreditne kartice, rok valjanosti i druge.

Što se događa s tim podacima? Mogu li oni pasti u krive ruke? Trebate li te podatke štititi i jeste li svjesni svojih prava kad su u pitanju vaši osobni podaci?

Temeljem tih podataka netko može pokrenuti prevaru, kupovati na vaš račun, ući u vašu svakodnevnu rutinu i običaje, saznati vaše interese i upoznati vas više nego što biste vi to htjeli.

Zaštita osobnih podataka i poštivanje privatnoga života važna su temeljna prava. Europski parlament je oduvijek bio ustrajan u uspostavi ravnoteže između jačanja sigurnosti i zaštite ljudskih prava, uključujući zaštitu podataka i privatnosti. Reformom zaštite podataka u Uniji ojačat će se prava građana, koji će imati bolju kontrolu nad svojim podacima, te zajamčiti zaštita njihove privatnosti u digitalnom dobu.

Uredba o zaštiti pojedinaca u vezi s obradom osobnih podataka

Svaki dan se unutar EU razmjenjuju velike količine osobnih podataka, bez obzira je li riječ o razmjeni između gospodarstvenika, državnih institucija ili pojedinaca. Nepoštivanje pravila zaštite osobnih podataka u pojedinim zemljama, moglo bi ugroziti međunarodnu razmjenu podataka. Također, pojedinci neće željeti dijeliti svoje podatke izvan granica svoje zemlje ako nisu sigurni u prihvatljivu razinu zaštite u drugim zemljama.

Zbog toga su na razini EU uspostavljena pravila kojima se osigurava ista razina zaštite vaših osobnih podataka u svim zemljama EU. Na taj vam se način omogućava sigurna razmjena podataka i imate mehanizme postupanja u slučaju kršenja postavljenih pravila. Svatko se ima pravo žaliti i dobiti odštetu u slučaju zlouporabe bilo gdje unutar EU.

Europska unija donijela je ove godine uredbu o zaštiti osobnih podataka, koja će se primjenjivati od 25. svibnja 2018. godine, a čiji je cilj vratiti građanima nadzor nad njihovim osobnim podacima i pojednostaviti regulatorni okvir za poslodavce. Zaštita osobnih podataka je jedan od ključnih preduvjeta za uspješnu uspostavu jedinstvenog digitalnog tržišta, što je prioritet Europske komisije. To će europskim građanima i tvrtkama omogućiti potpuno ostvarenje svih prednosti digitalnog gospodarstva.

Prema EU legislativi, osobni podaci smiju se prikupljati samo u skladu sa zakonom i po strogo definiranim uvjetima. Također, organizacije koje prikupljaju i upravljaju osobnim podacima dužne su ih zaštititi od zlouporabe te moraju poštivati određena prava vlasnika podataka koje EU legislativa garantira.

Ova Uredba također predviđa specifična pravila za prijenos osobnih podataka izvan EU, kako bi se osigurala najbolja moguća zaštita vaših podataka i u slučaju njihovog iznošenja izvan EU.

Države članice imaju slobodu same definirati posebne uvjete za obradu osobnog identifikacijskog broja (OIB) te obradu osobnih podataka zaposlenika u kontekstu zaposlenja, osobito za potrebe zapošljavanja i izvršavanja ugovora o radu.

Primjena Uredbe o zaštiti osobnih podataka

Ova Uredba primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Ne primjenjuje se na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti, koja nije povezana s profesionalnom ili komercijalnom djelatnošću. To znači da ako razmjenjujete svoje osobne podatke s prijateljima, sigurno nećete postupati po ovoj Uredbi, ali ako to činite internetom, unosite i dijelite putem različitih web stranica svoje osobne podatke, onda pružatelji usluga koji vam omogućavaju tu razmjenu podataka, moraju osigurati njihovu primjerenu zaštitu.

Dakle, Uredba se primjenjuje na voditelje zbirki osobnih podataka, a oni mogu biti fizičke ili pravne osobe, državna ili druga tijela, kao što su banke, osiguravajuće kuće, telekom operateri i svi ostali koji upravljaju velikom količinom osobnih podataka. Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka. Pri tome treba imati na umu da se pod zbirkom osobnih podataka smatra svaki strukturirani skup osobnih podataka koji je dostupan prema određenim kriterijima, bez obzira na to je li sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.

Što moramo učiniti da bismo zadovoljili Uredbu o zaštiti osobnih podataka?

Budući da se generalno u praksi pri definiranju sigurnosnih mjera polazi od procjene rizika, takve smjernice dobivaju se i primjenom ove Uredbe. Ona ukazuje na potrebu utvrđivanja rizika povezanih s obradom, njihove procjene s obzirom na podrijetlo, prirodu, vjerojatnost i težinu te utvrđivanje najboljih praksi za umanjivanje rizika. Za sve rizike neprihvatljive razine potrebno je definirati plan postupanja s rizicima, u kojem bi se definirale potrebne sigurnosne mjere i u skladu s njim provele u praksi.

Mjere za umanjenje rizika trebaju biti organizacijske i tehničke. Organizacijske mjere uključuju definiranje internih politika i kodeksa ponašanja, ishodovanje certifikata, edukacije i osvješćivanje djelatnika, omogućavanje ispitaniku da prati obradu podataka i slično, dok tehničke mjere uključuju pseudonimizaciju osobnih podataka, činjenje odabranih podataka nedostupnima za korisnike ili privremeno uklanjanje objavljenih podataka, uključivanje sigurnosnih mjera u sam razvoj aplikacija i drugih proizvoda koji se koriste te praćenje svih aktivnosti pristupa osobnim podacima kroz logove, kao i mnoge druge. Kao univerzalno rješenje za sustavnu primjenu svih potrebnih sigurnosnih mjera, danas na raspolaganju svim organizacijama stoji norma ISO 27001. Primjenom te norme za sustavno upravljanje informacijskom sigurnošću omogućava se učinkovito zadovoljenje svih odredbi ove Uredbe.

Moguće sankcije

Za kršenje osnovnih načela za obradu osobnih podataka, prava ispitanika, prijenosa osobnih podataka primatelju u trećoj zemlji te nepoštivanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela ili uskraćivanje pristupa mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu.


Kazne do 20 000 000 EUR ili do 4% ukupnog godišnjeg prometa.


Kazne su iznimno visoke i ni za jednu organizaciju ne bi trebale predstavljati prihvatljivi rizik. Implementacija svih potrebnih sigurnosnih mjera puno je isplativija i dugoročno donosi i mnogo drugih prednosti, kao što je zadržavanje korisnika i dobivanje novih, njihovo zadovoljstvo, a samim tim i bolji prosperitet organizacije. Jer danas zaštita osobnih podataka nije hir, nego nasušna potreba.

Rok za implementaciju GDPR regulative je relativno kratak. Ako je organizacija veća ili je tehnološki manje napredna preporučljivo je da se što prije počnu poduzimati koraci koji će organizacije pripremiti na novu uredbu. Tvrtke i organizacije moraju napraviti reviziju vlastitih sustava te ako je potrebno dodatno uložiti u opremu, softver i znanje kako bi osigurali osobne podatke svojih korisnika, ali i sve druge aspekte sigurnosti. CROZ surađuje s vodećim svjetskim proizvođačima sigurnosnih tehnologija te ima iskusan tim stručnjaka, te partnere poput ZIH-a, koji vam mogu pomoći pronaći najbolja moguća sigurnosna rješenja i olakšati proces  prilagodbe sukladno Uredbi o zaštiti osobnih podataka.

Tagovi:
Povratak