12 ukrepov da se pripravite na uveljavitev Evropske uredbe GDPR

Forcepoint, vodilni proizvajalec rešitev za napredno zaščito informacijskih omrežij, podatkov in uporabnikov, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

iskreno svetujeta vsem organizacijam, ki hranijo in obdelujejo kakršnekoli osebne podatke, bodisi od zaposlenih, strank, partnerjev, kupcev, neznancev, ali od kogarkoli – PREUČITE IN OBDELAJTE NASLEDNJI SEZNAM 12 PREDPRIPRAV NA UREDBO.

 

  1. Informiranost

Nova Evropska uredba o varovanju osebnih podatkov, »General Data Protection Regulation EU 2016/679« ali na kratko GDPR, prične veljati sredi leta 2018.

To ne pomeni, da morate do takrat pričeti sprejemati ukrepe, da boste z uredbo skladni. Kot organizacija znotraj EU morate do takrat, to je do prvega dne veljavnosti uredbe, ŽE BITI V CELOTI SKLADNI Z NJO. To pomeni, da morate na skladnosti pričeti delati že danes ali najkasneje jutri.

Prva problematika, katere se lotite, je informiranost zaposlenih. Prepričajte se, da ključni ljudje, na primer iz področja informatike, kadrovske in pravne službe vedo za uredbo. Ne boste verjeli v koliko organizacijah, ki zagotovo obdelujejo osebne podatke, marsikdo sploh še ni podrobno razmišljal o tej pomembni zadevi. Izobrazite vso vpleteno osebje, šele takrat, ko bo vsak vedel kar mora, boste pravzaprav približno vedeli, kaj vse bo treba narediti, da boste skladni. Vpletite informatiko, kadrovanje ter pravno službo ali zunanje odvetnike. Informatiki vam bodo v pomoč pri 2. nalogi ter pri izdelavi procesov v okviru skoraj vseh drugih nalog. Kadrovska mora imeti pregled oziroma mora določiti osebje, ki je vpleteno oz. odgovorno za uveljavljanje GDPR, v pomoč pa je lahko tudi pri pripravi besedil in dokumentov. Brez pomoči pravnikov nikakor ne bo šlo, sploh v okviru nalog 3-8.

Finalno besedilo GDPR: https://www.scribd.com/document/307466489/Final-GDPR-Text


  1. Preglednost osebnih podatkov v sistemu

Ali veste, katere osebne podatke obdelujete? Kje jih hranite in za kako dolgo? Zakaj jih sploh potrebujete?

Ali pa ste morda prepričani, da v vašem sistemu sploh ni osebnih podatkov in se vas GDPR uredba zato sploh ne tiče?

 

Marsikatera organizacija še nima odgovorov na ta vprašanja, ali pa zmotno misli, da GDPR zanje ne velja. Zato vam svetujemo, da v naslednjih tednih ali mesecih temeljito preiščete vaš sistem. Poiščite in poskušajte narediti podrobni pregled nad zbiranjem, hranjenjem in obdelavo osebnih podatkov v vašem informacijskem sistemu, ter podrobnosti o posredovanju podatkov drugim organizacijam.

Tudi če mislite, da osebnih podatkov ne zbirate – dokaj velika možnost je, da se motite, bodite raje stoodstotno gotovi.

Ko boste poznali trenutno stanje, boste lahko pričeli načrtovati ukrepe za zaščito podatkov in skladnost z GDPR.

 

  1. Obveščanje lastnikov osebnih podatkov

Vsaka organizacija, ki zbira in obdeluje osebne podatke, mora o tem predhodno obvestiti lastnike podatkov in pridobiti njihovo privoljenje. V okviru GDPR so tudi jasna pravila o tem obveščanju. Preverite vašo dokumentacijo, kakšna obvestila pošiljate, če sploh, a so ti dokumenti in postopki v skladu z novo uredbo, vsebujejo vse informacije? Sem spadajo na primer tudi besedila na spletnih straneh ali samodejno prilepljena sporočilom elektronske pošte. Ljudje morajo vedeti kaj in zakaj zbirate.

Pripravite si popoln načrt obveščanja lastnikov osebnih podatkov in vsa za to potrebna besedila. V njih morate povedati kaj zbirate, zakaj, za kako dolgo, kakšne so pravice posameznikov, kako sprožiti postopek za dostop do ali brisanje podatkov in podobno.

 

  1. Zagotavljanje pravice posameznikov

Posamezniki, ki so lastniki podatkov, imajo določene pravice. Ne posamezniki – podjetja so tista, ki morajo poskrbeti za uresničevanje teh pravic!

Pravica je na primer seznanjenost z zbiranjem podatkov, strinjanje, pravica do brisanja ali popravljanja osebnih podatkov v bazi, ali pravica do pregleda nad vsemi zbranimi podatki. Vi pa morate pripraviti pogoje in delovne procese za zagotavljanje teh pravic, in sicer do srede leta 2018.

Ali veste kako na strankino zahtevo brisati podatke iz vašega sistema? Lahko dokažete, da so bili pobrisani? Imate pripravljen proces za iskanje vseh podatkov, katere hranite o določeni osebi, za izvoz vseh teh podatkov v »uporabno« obliko in dostavo osebi, ki je zahtevala pregled vseh podatkov? Imate napisana potrebna pravna besedila, dokumentacijo zagotavljanja teh pravic?

Pripravite si delovne postopke za zagotavljanje vseh pravic nosilcev osebnih podatkov in jih ustrezno dokumentirajte. Potem se boste veliko lažje odzivali na marsikatero zahtevo ali dogodek.


  1. Zahteve za dostop do podatkov

V določenih primerih dobimo zahtevo za iskanje in izročitev osebnih podatkov, na primer v okviru kake policijske preiskave. To bo, razen če zahtevo pravočasno uspešno izpodbijemo, potrebno narediti v 30 dneh, na naše stroške seveda.

Čim bolj se pripravimo na izpolnjevanje takih zahtev, tem manj stroškov bomo imeli.

Pripravite načrt in dokumentacijo delovnega postopka za obdelavo zahtev dostopa do podatkov. Preučite v kakih pogojih in kako je mogoče zavrniti zahtevo. Dobro dokumentiran postopek iskanja in zlaganja zahtevanih podatkov bo zaposlenim privarčeval veliko časa. Pred tem morate vedeti kje podatki sploh so, na kak način in za kako dolgo jih hranite, katere podrobnosti – vse te informacije bi morali zbrati že v okviru točke 2. Prav tako si vnaprej pripravite vzorce poročil ali na primer dokumentov, ki dokazujejo kako in zakaj ste iskali podatke, ki potrjujejo, da ste se ustrezno odzvali.

 

  1. Pravne osnove obdelave osebnih podatkov

Če ste manjša organizacija,  svoje pravne službe verjetno nimate, a uredbe se to ne tiče. Ne glede na velikosti, če obdelujete osebne podatke, morate imeti pravno podlago za to.

Zakaj zbirate podatke, zakaj jih obdelujete, kdo vam daje pravico in dovoljenje za to, imate dokazila, dokumentacijo?

Ko boste obdelali točko 2, boste imeli pregled nad zbiranjem, hranjenjem in obdelavo podatkov v svojem sistemu. Dopolnite to znanje s pravno dokumentacijo, pa boste vnaprej pripravljeni na vse mogoče prijetne ali neprijetne dogodke.

 

  1. Privolitev v zbiranje osebnih podatkov

Preučite vse različice besedila za strinjanje z zbiranjem osebnih podatkov. Ali veste kje vse so, morda jih imate na spletni formi za oddajo naročila? Ste prepričani, da se opozorilo izpiše povsod, kjer se mora? Če se kak podatek shrani, brez da je oseba o tem pravočasno obveščena, lahko zaidete v težave.

Ugotovite, ali so opozorila in potrdila o strinjanju v skladu z novo uredbo. Po novem mora oseba nekaj narediti, da je zares seznanjena in da se zares strinja. Majhno obvestilce v spodnjem kotu spletne strani ali forma z vnaprej označenim poljem »Strinjam se« več ne veljajo za zadostni ukrep.

 

  1. Otroci in mladoletniki

Nova različica uredbe je še bolj stroga kar se tiče otrok in mladoletnikov.

Kako preverjate starost obiskovalcev na spletni formi, kako pridobite privolitev v zbiranje osebnih podatkov?

Trenutni ukrepi v prihodnje verjetno ne bodo dovolj, za otroke morajo v bodoče privolitev dati starši ali skrbniki, kako boste poskrbeli za to?


  1. Incidenti varnosti osebnih podatkov

Kako se odzovete na varnostne incidente? Kaj naredite, če je nek sodelavec pomotoma poslal seznam kupcev i njihovih domačih naslovov nekomu zunaj podjetja? Kako ukrepate v primeru hekerskega vdora v sistem?

Marsikdo o varnostnem incidentu previdno molči. V prihodnje bo to prepovedano!

GDPR podrobno našteje kar nekaj ukrepov, ki jih bomo morali sprožiti ob varnostnih incidentih. Recimo obveščanje žrtve ter v primeru večjega incidenta ali v odvisnosti od tipa organizacije pogosto tudi obveščanje javnosti. In to kaj kmalu po incidentu. Pripravite si delovne postopke za ukrepanje v primeru varnostnih incidentov in jih ustrezno dokumentirajte. Pripravite si vzorce obvestil za javnost ali za posameznike, določite sodelavce, ki bodo odgovorni za odkrivanje, proti-ukrepanje, obveščanje, spremljanje in dokumentiranje incidenta.

Incidenti varnosti osebnih podatkov običajno povzročajo visoke stroške, v prihodnje bodo če večji. Pripravljenost nanje lahko te stroške precej oklesti.

 

  1. Zaščita osebnih podatkov

GDPR nalaga večino opravil na organizacije. Le-te morajo same poskrbeti za ustrezno zaščito osebnih podatkov in to tudi dokazovati.

Najprej je seveda treba imeti pregled nad sistemom, za kar smo poskrbeli v korakih 1 in2. Šele, ko vemo kje je kaj, lahko načrtujemo obrambo vsega tega.

Zaščita, varnost podatkov mora biti integrirana v samo zasnovo informacijskega sistema (data protection by design). Če se do sedaj z zaščito podatkov še niste posebej ukvarjali, potem je sedaj skrajni čas, da s tem pričnete. Samo podatki, pridobljeni v koraku 2, verjetno niso dovolj. Treba je oceniti tudi tveganja in stroške varnostnih incidentov in planirati varnost tudi na podlagi teh podatkov (data protection impact assessment).

Morda boste potrebovali kakšne zunanje svetovalce, informacije pa vedno preverite tudi pri drugem viru – GDPR nalaga dosti stvari, a vaše odgovornosti so odvisne marsičesa in zelo verjetno je, da ne potrebujete množice vseh varnostnih rešitev in ukrepov, ki so našteti v uredbi. Ponekod bo treba investirati več, drugje manj.

 

  1. Nosilci zaščite osebnih podatkov

Po novi uredbi bodo morale določene organizacija, recimo državne agencije, ali podjetja s pomembnimi podatki ogromne mase ljudi, na primer banke ali zavarovalnice, imenovati osebo, ki je odgovorna za organizacijo zaščite osebnih podatkov – Data Protection Officer.

To osebo določite kar takoj, saj naj bo vpletena v vseh 12 tukaj naštetih opravil.

Oseba, odgovorna za zaščito osebnih podatkov,  mora imeti globalen pregled nad podatki in ukrepi za zaščito podatkov, mora vedeti kako je glede skladnosti z uredbo, kako jo dokazati, mora zagotavljati ustrezno ukrepanje v primeru zahteve po dostopu do podatkov, sprožati postopke o preiskavi podatkovnih incidentov, itd. V primeru, da se kak incident zgodi, mora zagotoviti, da se je ustrezno obvestilo vse vpletene sodelavce, žrtve čigar podatki so bili odtujeni, ter javnost!


  1. Mednarodno poslovanje

Podjetja, ki poslujejo mednarodno, ali imajo pisarne v več državah EU, morajo preučiti še nekaj podrobnosti. V primeru incidentov bo morda treba sodelovati z organizacijami iz drugih držav, ali vedeti, kako omejiti postopek na državo, v kateri imate sedež. Pripravite se na to.

Ali sodelujete s kakim podjetjem izven EU? Ali s takim podjetjem izmenjujete tudi kake osebne podatke EU državljanov? Seznanite se s svojimi odgovornostmi v takem primeru. Seznanite tudi partnersko podjetje, četudi ni v EU, kajti GDPR se ne nanaša le na podjetja v EU, temveč tudi na partnerje, ki sodelujejo s podjetji iz EU in hranijo ali obdelujejo osebne podatke evropskih državljanov.

 

 

Avtor / prevod: Robert Lubej
Povezava do podrobnega dokumenta


 

O Forcepoint

Forcepoint je nastal z združitvijo podjetja Websense ter Raytheon Cyber Products in pridružitvijo bivšega Intel-McAfee oddelka za napredne požarne pregrade.

Websense je bil vodilni proizvajalec rešitev za filtriranje spletnih vsebin, od leta 2007 naprej je ponujal tudi najbolje ocenjeno rešitev za preprečevanje uhajanja podatkov, leta 2010 pa so pod ime TRITON združili popolno kombinacijo rešitev za zaščito spletnega prometa, prometa elektronske pošte ter poslovnih podatkov, v opcijski kombinaciji na lokaciji nameščenih rešitev ali storitev v strežniškem oblaku.

V prvi polovici leta 2015 je Websense postal lastništvo podjetja Raytheon, ki je največji ponudnik storitev in rešitev kibernetske varnosti za ameriško obrambno ministrstvo. Konec leta 2015 se je Websense-u pridružil še bivši oddelek podjetja McAfee za napredne požarne pregrade – prej Stonesoft in Sidewinder. Od 14. 1. 2016 naprej poslujejo pod enotnim imenom Forcepoint.

Več o podjetju najdete na spletnih straneh: http://www.websense.com

 

Dodatne informacije:
Robert Lubej, projektni vodja
robert.lubej@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com