Thycotic - Demistifikacija uredbe EU o varstvu osebnih podatkov - GDPR
Najbrž ste že vsi slišali za GDPR. Mnoga podjetja že več mesecev strašijo z GDPR uredbo in visokimi kaznimi, ki jih nespoštovanje le-te prinaša. Hkrati ponujajo raznovrstne rešitve za varstvo osebnih podatkov ki z namestitvijo ene same škatle kot čarobna paličica rešijo vse, kar je povezano z GDPR uredbo. Kaj res!? Takšna propaganda je povzročila veliko zmede in veliko vprašanj, organizacije pa še vedno ne vedo, kje začeti ali pa predpostavljajo, da se uredba na njihovo podjete ne nanaša ter ni potrebno storiti nič. V nadaljevanju članka bomo pojasnili kaj zahteva uredba in kdo se je mora držati – demistificiralili bomo GDPR uredbo.
Splošna uredba EU o varstvu osebnih podatkov (GDPR) se je pripravljala vrsto let.
GDPR nadomešča Evropsko direktivo o splošnem varstvu podatkov (European General Data Protection directive) iz leta 1995. Uredba je začela veljati dvajset dni po objavi v Uradnem listu EU (25.5.2016) in je razveljavlja direktivo 95/46. Določbe nove uredbe se bodo morale uporabljati v vseh državah članice Evropske unije v roku dveh let po objavi tj. od 25.5.2018 dalje.
Ideja nove uredbe je zgraditi enotna pravila za varstvo osebnih podatkov EU državljanov in kritične infrastrukture za vse članice Evropske unije.
Varstvo osebnih podatkov evropskih državljanov
Uredba je osredotočena na zagotovitev, da katera koli država, organizacija ali družba, ki se ukvarja z osebnimi informacijami Evropskih državljanov, spoštuje uredbo. Zahteva, da imajo organizacije, ki hranijo in/ali obdelujejo osebne podatke Evropskih državljanov, vpeljan določen standard, ki ga dosledno upoštevajo. Kar pomeni: učinkovito varstvo podatkov, ustrezne varnostne ukrepe, zaščito zasebnosti posameznika, možnost prenosa in možnost izbrisa. Kadar pride do vdora v sistem, morajo v roku 72 ur po vdoru o tem obvestiti pristojni državni organ. O vdoru morajo obvestiti tudi vsakega prizadetega posameznika.
Uredba je torej nova podlaga, ki dodeljuje dolžnosti in odgovornosti, ko gre za obravnavanje podatkov državljanov EU.
Vse to pomeni, da vaša organizacija lahko odgovarja za zbiranje odvečnih, ne nujno potrebnih osebnih podatkov posameznikov v EU. Več podatkov o posamezniku, kot hranite in/ali obdelujete, večja je vaša odgovornost. Če se v primeru kršitve ugotovi, da ustrezni varnostni ukrepi niso bili vzpostavljeni, obstajajo znatne kazni in globe – do 20 milijonov evrov ali 4% letnega prometa.
Torej, pojdimo na dejstva in demistificirajmo Uredbo, da bo kristalno jasna.
Mit št.1: Če upoštevamo GDPR uredbo, nam nikoli ne bodo vdrli v sistem
Absolutni mit! Skladnost z GDPR uredbo vam ne zagotavlja zaščite pred vdori in krajo osebnih podatkov. Preprosto pomeni, da ste zbrane podatke identificirali ter da ste za vse osebne podatke določili ustrezne procese, ki zagotavljajo: soglasje o zbiranju in obdelavi podatkov, ustrezno zaščito ter pravico do izbrisa. Zagotavljati morate tudi zbiranje najmanjšega možnega obsega podatkov, točnost in pravilno uporabo – torej, sprejeti morate odgovornost za zbiranje ali obdelavo osebnih podatkov EU državljanov.
Mit št. 2: Naše podjetje ni evropska družba, zato se EU Uredba ne nanaša na nas
Ne drži! Tudi to je mit. Splošna uredba EU o varstvu osebnih podatkov ni vezana na meje Evropske unije ali posamezne države temveč se nanaša na katero koli podjetje ali organizacijo na svetovni ravni, ki zbira in/ali obdeluje osebne podatke EU državljana. To vključuje tudi storitve, ki se nahajajo zunaj EU.
Mit št. 3: Naše podjetje je zelo majhno, zato nam GDPR uredbe ni potrebno upoštevati
Oh ne, še en mit! Ni pomembno, kako majhna ali velika je organizacija. Uredba velja za vsa podjetja in organizacije, ki pridobivajo, shranjujejo in/ali obdelujejo osebne podatke državljanov EU.
Mit št. 4: Vodjo IT-ja lahko imenujemo za pooblaščeno osebo za varstvo podatkov (DPO)
Slaba, slaba ideja in da, mit je uničen! Pooblaščena oseba za varstvo podatkov ne more biti vodja informatike. Vloge izvajanja ocene tveganja ne more opravljati ista oseba, ki upravlja IT sisteme, saj sam sebe ne moreš objektivno oceniti in preverjati. DPO mora biti pooblaščena oseba (navadno pravnik), ki je strokovna, samostojna in odgovorna za zagotavljanje skladnosti z Uredbo ter je ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
Mit št. 5: Vse kar je potrebno, je namestitev enotnega sistema za skladnost z GPDR uredbo in smo popolnoma zaščiteni
Tudi ta mit ne drži! Mnoga podjetja ponujajo rešitve za popolno skladnost z GDPR – t.i. čarobno paličico - vendar je na koncu odgovornost za varstvo osebnih podatkov in uskladitev poslovanja z GDPR uredbo na strani organizacije, ki hrani osebne podatke. Lahko vam zagotovimo, da čarobne paličice NI. Mnoga podjetja bodo ponudila hitre in enostavne rešitve za GDPR, vendar je pomembno, da jasno razumete, kateri del uredbe rešujejo. Priporočljivo je, da posvetite pozornost ustreznim postopkom zaznavanja vdorov in obravnavanja incidentov, saj boste tako precej lažje preživeli posledice napadov na informacijske sisteme.
To je to! Nekaj odpravljenih mitov in demistifikacija GDPR uredbe bi vam morala pomagati, da se lahko pričnete ustrezno pripravljati.
Kliknite za več koristnih izobraževalnih virov, ki vam pomagajo zaščititi vaše podatke in tukaj za dodatne informacije o skladnosti z GDPR uredbo, ki vam bodo pomagale priti do cilja.
Želite izvedeti več? Oglejte si webinar o ključnih vplivih in posledicah za vašo organizacijo in kako določiti pričakovanja glede sprememb Uredbe, ki vplivajo na zbiranje ali obdelavo osebnih podatkov evropskih državljanov.
Vabimo vas, da se udeležite dogodka: Rešitve, ki podpirajo GDPR uredbo. Torek, 19. september 2017 ob 9.00.
Več o dogodku: https://www.alef.com/si/dogodki/resitve-ki-podpirajo-gdpr-uredbo-torek-19-september-2017-ob-9-00.e-14.html