Britanski regulator ICO ovih dana izrekao je dvije velike kazne zbog nedovoljnih tehničkih i organizacijskih mjera zaštite osobnih podataka. Prva kazna odnosi se na British Airways koji je bio žrtvom kibernetičkog napada kada su korisnici BA dijelom preusmjeravani na lažnu stranicu gdje su ostavljali svoje osobne podatke. Zbog nedovoljnih tehničkih i organizacijskih mjera za osiguranje informacijske sigurnosti, razotkriveni su imena, email adrese, podaci sa kreditnih kartica i sl. više od 400.000 korisnika i zbog toga su kažnjeni s 20 mil funti.
Po istim pravilima britanski Information Commissioner's Office sada je kaznio i hotelsku grupaciju Marriott s 18,4 mil funti.
Njima je od 2014. do 2018. kompromitirano ukupno 399 milijuna osobnih podataka gostiju ovog hotelskog lanca i svih hotela iz njihove grupacije (kao što su Westin, Le Méridien i Sheraton) u cijelom svijetu također zbog nedovoljnih tehničkih i organizacijskih mjera zaštite. Iako je napad počeo 2014. godine, izrečena kazna odnosi se samo za povredu osobnih podataka u razdoblju primjene GDPR.
Tehničke i organizacijske mjere zaštite - zahtjev GDPR
Naime, GDPR zahtjeva da se uzimaju u obzir najnovija dostignuća, trošak provedbe te priroda, opseg, kontekst i svrha obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka prilikom provođenja odgovarajućih tehničkih i organizacijskih mjera zaštite. Pri tome se poseban fokus stavlja na to da se obrađuju samo oni podaci koji su nužno potrebni te da se vodi računa o količini podataka koja se prikuplja, opsegu njihove obrade, rokovima pohrane i njihovoj dostupnosti.
Pojednostavljeno, isto prije svega upućuje na to da trebamo prikupljati samo one podatke koji nam zaista i trebaju i da za svaki podatak točno znamo njegovu valjanu zakonitu osnovu (bilo da je to primjerice, na temelju zakonske norme npr. podaci koje je potrebno prikupiti za uvođenja gosta u sustav e-visitor ili je to prikupljanje podataka za loyalty program tj. onda prikupljamo podatke kako bi mogli pružiti dodatnu uslugu ili drugo). Kada prikupljamo samo podatke koji nam trebaju onda znamo i rokove pohrane takvih podataka. Naime, podatke koje prikupljamo na temelju određene zakonske norme (kao kad prikupljamo podatke za unos u e-visitor) tada nam već sam zakon određuje rokove pohrane takvih podataka. No, kada prikupljamo podatke na temelju neke druge osnove odnosno, kada nemamo zakonom propisane rokove čuvanja tada trebamo obrađivati podatke samo onoliko dugo koliko nam trebaju ili ako je potrebna njihova duža pohrana radi npr. mogućih naknadnih zahtjeva tada trebamo svojim organizacijskim mjerama zaštite odrediti takve rokove i pridržavati se istih. Pri tome trebamo voditi računa da ne dolazimo do prekomjerne obrade podataka koja se najčešće događa kada neki osobni podataka vodimo u više različitih dokumenata radi nama olakšavanja posla ili „da se za svaki slučaj nađe“.
Kada smo definirali da prikupljamo samo one podatke koji su nam stvarno potrebni, znamo točne rokove pohrane i ne evidentiramo ih na više mjesta nego je to nužno potrebno i drugo, onda postavljamo pitanje da li osiguravamo organizacijske i tehničke mjere zaštite podataka u skladu s zahtjevima regulative i našim stvarnim mogućnostima. Stvarne mogućnosti ovisiti će od subjekta do subjekta tj. od voditelja/izvršitelja obrade do voditelja/izvršitelja obrade. Naravno, da primjerice jedan mali obiteljski hotel neće imati jednake mogućnosti zaštite kao veliki hotelski lanac i upravo zato je bitno voditi računa da su organizacijske i tehničke mjere zaštite uvijek u skladu s našim stvarnim mogućnostima.
Ipak Opća uredba (GDPR) određuje da će neke od takvih mjera svaka organizacija ipak moći poduzeti, neovisno o njezinim tehničkim, organizacijskim, financijskim i drugim mogućnostima. Takve mjera podrazumijevaju da se:
- sve osobe koje obrađuju osobne podatke obvežu da će poštovati GDPR i drugu primjenjivu regulativu i djelovati samo prema uputama voditelja obrade;
- osiguraju rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
- utvrdi proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
- osigura sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
- prema potrebi provodi pseudonimizacija i enkripcija osobnih podataka;
- osigura, kada je to moguće, sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade.
Osobne podatke teško možemo osigurati na način da izbjegnemo svaki mogući incident. Nitko pa niti sam GDPR ne zahtjeva zaštitu na način da do incidenta ne može doći već da se smanje sve potencijalne opasnosti u skladu s današnjim tehnološkim napretkom i mogućnostima organizacije koja te podatke obrađuje. Koje se sve to mjere mogu poduzeti i na koji način da se smanji rizik za prava i slobode osoba čiji se osobni podaci obrađuju zna najbolje svaka organizacija za sebe jer najbolje poznaje vlastite mogućnosti.
Zaključno možemo reći da iako možda netko GDPR odredbama o tehničkim i organizacijskim mjerama zaštite nije posvetio dovoljnu pažnju i tumačio ih dosta „široko“ svatko treba preispitati da li je sve učinio u skladu s svojim stvarnim mogućnostima da primjereno zaštiti osobne podatke koje obrađuje.
Povezane teme:
Nedovoljna sigurnost obrade - British Airways kažnjen sa 20 mil. funti
Kibernetički napadi i pitanje mjera sigurnosti
Povezane usluge:
Element I
