Feralis

Privacy Center Rijeka

en hr
Feralis
CONTACT DETAILS
feralis@feralis.hr HR +385 99 5639746
BUSINESS DETAILS

Registration number: 8004472

OIB: 10548359023

IBAN: HR1224020061100940597 (Erste bank)

SWIFT/BIC: ESBCHR22

  • Početna
  • Usluge
  • Blog
  • O nama
  • Kontakt

Marriott kažnjen s 18,4 mil GBP - nedovoljne mjere zaštite

Marriott kažnjen s 18,4 mil GBP - nedovoljne mjere zaštite

Marriott kažnjen s 18,4 mil GBP - nedovoljne mjere zaštite

01.11.2020. 14:25:00

GDPR u praksi

Britanski regulator ICO ovih dana izrekao je dvije velike kazne zbog nedovoljnih tehničkih i organizacijskih mjera zaštite osobnih podataka. Prva kazna odnosi se na British Airways koji je bio žrtvom kibernetičkog napada  kada su korisnici BA dijelom preusmjeravani na lažnu stranicu gdje su ostavljali svoje osobne podatke. Zbog nedovoljnih tehničkih i organizacijskih mjera za osiguranje informacijske sigurnosti, razotkriveni su imena, email adrese, podaci sa kreditnih kartica i sl. više od 400.000 korisnika i zbog toga su kažnjeni s 20 mil funti.  

Po istim pravilima britanski Information Commissioner's Office sada je kaznio i hotelsku grupaciju Marriott s 18,4 mil funti. 

Njima je od 2014. do 2018. kompromitirano ukupno 399 milijuna osobnih podataka  gostiju ovog hotelskog lanca i svih hotela iz njihove grupacije (kao što su Westin, Le Méridien i Sheraton) u cijelom svijetu također zbog nedovoljnih tehničkih i organizacijskih mjera zaštite.  Iako je napad počeo 2014. godine, izrečena kazna odnosi se samo za povredu osobnih podataka u razdoblju primjene GDPR.

 

Tehničke i organizacijske mjere zaštite - zahtjev GDPR

 

Naime, GDPR zahtjeva da se uzimaju u obzir najnovija dostignuća, trošak provedbe te priroda, opseg, kontekst i svrha obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka prilikom provođenja odgovarajućih tehničkih i organizacijskih mjera zaštite. Pri tome se poseban fokus stavlja na to da se obrađuju samo oni podaci koji su nužno potrebni te da se vodi računa o količini podataka koja se prikuplja, opsegu njihove obrade, rokovima pohrane i njihovoj dostupnosti.

 

Pojednostavljeno, isto  prije svega upućuje na to  da trebamo prikupljati samo one podatke koji nam zaista i trebaju i da za svaki podatak točno znamo njegovu valjanu zakonitu osnovu (bilo da je to primjerice, na temelju zakonske norme npr. podaci koje je potrebno prikupiti za uvođenja gosta u sustav e-visitor ili je to prikupljanje podataka za loyalty program tj. onda prikupljamo podatke kako bi mogli pružiti dodatnu uslugu ili drugo).  Kada prikupljamo samo podatke koji nam trebaju onda znamo i rokove pohrane takvih podataka. Naime, podatke koje prikupljamo na temelju određene zakonske norme (kao kad prikupljamo podatke za unos u e-visitor) tada nam već sam zakon određuje rokove pohrane takvih podataka. No, kada prikupljamo podatke na temelju neke druge osnove odnosno, kada nemamo zakonom propisane rokove čuvanja tada trebamo obrađivati podatke samo onoliko dugo koliko nam trebaju ili ako je potrebna njihova duža pohrana radi npr. mogućih naknadnih zahtjeva tada trebamo svojim organizacijskim mjerama zaštite odrediti takve rokove i pridržavati se istih.  Pri tome trebamo voditi računa da ne dolazimo do prekomjerne obrade podataka koja se najčešće događa kada neki osobni podataka  vodimo u više različitih dokumenata radi nama olakšavanja posla ili „da se za svaki slučaj nađe“.

 

Kada smo  definirali da prikupljamo samo one podatke koji su nam stvarno potrebni, znamo točne rokove pohrane i ne evidentiramo ih na više mjesta nego je to nužno potrebno i drugo, onda postavljamo pitanje da li osiguravamo organizacijske i tehničke mjere zaštite podataka u skladu s zahtjevima regulative i našim stvarnim  mogućnostima.  Stvarne mogućnosti ovisiti će od subjekta do subjekta tj. od voditelja/izvršitelja obrade do voditelja/izvršitelja obrade. Naravno, da primjerice jedan mali obiteljski hotel neće imati jednake mogućnosti zaštite kao veliki hotelski lanac i upravo zato je bitno voditi računa da su  organizacijske i tehničke mjere zaštite uvijek u skladu s našim stvarnim mogućnostima. 

 

Ipak Opća uredba (GDPR)  određuje da će neke od takvih mjera svaka organizacija ipak moći poduzeti, neovisno o njezinim tehničkim, organizacijskim, financijskim i drugim mogućnostima. Takve mjera podrazumijevaju da se:

  • sve osobe koje obrađuju osobne podatke obvežu da će poštovati GDPR i drugu primjenjivu regulativu i djelovati samo prema uputama voditelja obrade;
  • osiguraju rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
  • utvrdi proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
  • osigura sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
  • prema potrebi provodi pseudonimizacija i enkripcija osobnih podataka;
  • osigura, kada je to moguće, sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade.

 

 

Osobne podatke teško možemo osigurati na način da izbjegnemo svaki mogući incident. Nitko pa niti sam GDPR ne zahtjeva zaštitu na način  da do incidenta ne može doći već da se smanje sve potencijalne opasnosti u skladu s današnjim tehnološkim napretkom i mogućnostima organizacije koja te podatke obrađuje. Koje se sve to mjere mogu poduzeti  i na koji način da se smanji rizik za prava i slobode osoba čiji se osobni podaci obrađuju zna najbolje svaka organizacija za sebe jer najbolje poznaje vlastite mogućnosti. 

 

Zaključno možemo reći da iako možda netko GDPR odredbama o tehničkim i organizacijskim mjerama zaštite nije posvetio dovoljnu pažnju i tumačio ih dosta „široko“ svatko treba preispitati da li je sve učinio u skladu s svojim stvarnim mogućnostima da primjereno zaštiti osobne podatke koje obrađuje.


Povezane teme:

Nedovoljna sigurnost obrade - British Airways kažnjen sa 20 mil. funti

Kibernetički napadi i pitanje mjera sigurnosti

 

Povezane usluge:

Element I

 




HR DPO - UČLANI SE

Kategorije
  • Marketing
  • Videonadzor
  • Osjetljivi podaci
  • GDPR u praksi
  • FERALIS MAGAZIN
  • VODIČI I PREDLOŠCI
Korisni linkovi
  • AZOP - Agencija za zaštitu podataka
  • EDPS - Europski nadzornik za zaštitu podataka
  • EDPB - Europski odbor za zaštitu podataka
  • GDPR - Opća uredba o zaštiti podataka
  • Zakon o provedbi Opće uredbe
Istaknute aktivnosti
  • e-Građani
  • Andrija Digitalni Asistent
  • COTRUGLI Business School
  • Europska federacija szzp
  • Detektivska iskaznica
  • Feralisova šapa - besplatno usklađivanje s GDPR
  • Feralis - ON AIR
  • Elektronički potpis
  • Veleučilište u Rijeci
  • Prvi put u Hrvatskoj web stranica je postala nedostupna zbog kršenja osobnih podataka
  • 2. Međunarodno savjetovanje: kritične infrastrukture
  • Europski dan zaštite osobnih podataka '21
  • Europski dan zaštite osobnih podataka '20
  • Međunarodni dan službenika za zaštitu podataka
  • EFDPO: 2nd Edition - OPEN TALKS
  • PrivSec London
  • Adriatic City Security Conference
  • Feralis u zajednici - internet, ovisnost i mladi
  • Nova poslovnica
  • Humanitarni bal
  • Dan žena - sponzorstvo
  • Fiumanka - više od regate
  • Feralis za Farmicu - donacije
  • Europska medijska regata - sponzorstvo
  • Međunarodna karnevalska povorka

Copyright © 2023 Feralis

Ova stranica koristi kolačiće kako bi se osiguralo bolje korisničko iskustvo. Možete sve kolačiće prihvati, sve odbiti ili njima upravljati (prva icona desno). Prije nastavka korištenja ovog web mjesta nužno je upoznati se s pravilima privatnosti (druga icona desno).
Prihvaćam sve
Prihvaćam samo neophodno
Upravljanje kolačićima
Bitni kolačići web stranice
Google Analytics
Google Tag Manager