Thycotic - Demistifikacija uredbe EU o zaštiti ličnih podataka – GDPR regulativa

Milan Marinković

Business Development Manager

Milan.Marinkovic@alef.com

Verovatno ste svi čuli za GDPR (Global Data Protection Regulation) regulativu. Poslednjih meseci mnoge kompanije se bave GDPR regulativom upozoravajući na visoke kazne za njeno nepoštovanje. Istovremeno, nude se različita rešenja za zaštitu ličnih podataka, poput magičnog štapića, koja rešavaju sve probleme vezane za ispunjenje uslova GDPR regulative. Šta je istina!? Takva propaganda izazvala je konfuziju i puno pitanja, a organizacije i dalje ne znaju odakle da počnu ili pretpostavljaju da se uredba ne primenjuje na njih i da nema potrebe bilo šta učiniti. U ovom članku ćemo objasniti šta propisuje i ko se mora pridržavati GDPR regulative!

Uredba Evropske unije o zaštiti ličnih podataka je u primeni već nekoliko godina

Nova GDPR uredba zamenjuje uredbu iz 1995. godine pod nazivom European General Data Protection directive. Uredba je stupila na snagu dvadeset dana nakon objavljivanja u Službenom glasniku EU (25.5.2016.) i ukinuta Direktiva 95/46. Odredbe nove uredbe će se primenjivati u svim državama članicama Evropske unije u roku od dve godine od objavljivanja, tj. od 25. maja 2018. godine.

Ideja nove uredbe je izgraditi jedinstvena pravila za zaštitu ličnih podataka građana EU i kritične infrastrukture za sve članove Evropske unije.

Zaštita ličnih podataka građana EU

Uredba je fokusirana na obezbeđenje da se bilo koja nacija-država, organizacija ili kompanija koja se bavi ličnim informacijama građana EU pridržava ove uredbe. Zahteva da organizacije koje se bave ličnim podacima građana EU imaju određeni standard koji moraju poštovati. To znači: efikasnu zaštitu podataka, adekvatne mere zaštite i u situacijama kada postoji kršenje podataka, oni moraju obavestiti državni organ zemlje u kojoj posluju u roku od 72 sata od kršenja. U zavisnosti od vrednosti rizika informacija koje su ugrožene - nizak rizik ili visok rizik - oni takođe moraju obavestiti ugroženu stranu bez nepotrebnog odlaganja.

Ovo znači da se vaša organizacija sada može smatrati odgovornom za prikupljanje prekomerne količine informacija. Što više informacija prikupljate, više ste odgovorni. Ako se u slučaju kršenja zaključi da nisu preduzete adekvatne mere zaštite, primenjivaće se značajne kazne, a novčane kazne u iznosu i do 20 miliona Eura ili 4% godišnjeg prometa.

Dakle, idemo na činjenice i demistifikovati Uredbu EU o opštoj zaštiti podataka, tako da je kristalno jasna.

Mit # 1: Ako se pridržavam propisa Evropske unije o zaštiti podataka, neću biti hakovan

Usklađivanje sa Evropskom regulativom o zaštiti podataka ne znači da ste zaštićeni od hakovanja. To jednostavno znači da ste identifikovali lične informacije od građana EU koje ste prikupljali ili obrađivali i da ste postavili odgovarajuće procese kako biste osigurali saglasnost, adekvatnu sigurnost i pravo na uklanjanje; i da ne prikupljate prekomerne podatke ili da ih koristite neadekvatno. To znači da ste prihvatili odgovornost u vezi sa sakupljanjem ili obradom ličnih identifikacionih informacija EU građana.

Mit # 2: Naša kompanija nije kompanija iz EU ili nije evropska kompanija, tako da se uredba ne odnosi na nas

Uredba EU o opštoj zaštiti podataka nije ograničena granicama i primenjuje se na bilo koju kompaniju ili organizaciju, globalno, koja prikuplja ili obrađuje informacije o ličnoj identifikaciji građana EU. Ovo uključuje i usluge koje se hostuju van EU.

Mit # 3: Naša kompanija je veoma mala, tako da ne moramo da se pridržavamo GDPR uredbe

Nije važno koliko je mala kompanija jer kao i velike kompanije morate se pridržavati uredbe. Ako poslujete sa ličnim podacima građana EU, morate ih osigurati.

Mit # 4: Mi možemo proglasiti našeg IT menadžera službenikom za zaštitu informacija. Tačno?

IT menadžer ne može biti službenik za zaštitu podataka. Ulogu izvršenja procene rizika ne može izvršiti ista osoba koja upravlja i nabavlja vaše sisteme. Ne možete se sami proveriti. Dakle, službenik za zaštitu podataka koji je odgovoran za obezbeđivanje usklađenosti sa EU GDPR mora da identifikuje i obezbedi da postoji odgovarajući proces za zaštitu ličnih informacija koje se mogu identifikovati.

Mit # 5: Mogu samo da instaliram jedan GDPR sertifikacioni uređaj i potpuno sam zaštićen

Mnoge kompanije nude potpunu usklađenost sa GDPR uredbom, ali na kraju ste vi odgovorni za usklađivanje sa GDPR-om i mogu vas uveriti da ne postoji takvo kompletno rešenje. Mnoge kompanije će ponuditi brza i jednostavna rešenja za GDPR, ali je važno razumeti šta ona rešavaju u okviru GDPR zahteva. Naša preporuka je da obratite pažnju na Incident Response i Breach notification zahteve, jer oni mogu napraviti osnovnu razliku za preživljavanje sajber napada.

To je to! Razumevanjem gornjih zabluda i demistifikovanjem GDPR-a, možete se pravilno pripremiti. Imamo puno korisnih i obrazovnih materijala da vam pomognemo da obezbedite svoje podatke, kao i neke dodatne informacije o usklađenosti sa GDPR uredbom koje vam mogu pomoći.

Želite da saznate više? Pogledajte ovaj webinar kako biste saznali više o ključnim uticajima i posledicama za vašu organizaciju i o tome kako postaviti očekivanja za promene nastale primenom EU GDPR regulative koje utiču na prikupljanje ili obradu privatnih podataka EU građana.

Izvor članka: https://thycotic.com/company/blog/2017/07/10/demystifying-eu-general-data-protection-regulation-lets-bust-myths/

Vaši privilegovani (administratorski i sistemski) nalozi su omiljena meta hakera.

Besplatan alat: Otkrijte i obezbedite sve vaše Windows privilegovane naloge!