GDPR – Zakonska prekretnica u digitalnom dobu

Odbrojavanje je počelo. Primena nove Opšte regulative o zaštiti podataka (General Data Protection Regulation – GDPR) počinje 25. maja 2018. godine. Kompanije su do tada dužne da svoje programe za zaštitu podataka dovedu usklade za obavezama koje nameće ova Direktiva

72
GDPR – Zakonska prekretnica u digitalnom dobu

Za razliku od prethodne Direktive koja se odnosila na kompanije unutar Evropske unije, GDPR će imati globalni uticaj.

Neke od najvažnijih stavki koje nam donosi GDPR su sledeće:

  • Organizacije će morati da obaveste nadležne o gubitku podataka u roku od 72 sata.
  • Vlasnik podataka o ličnosti imaće pravo na povlačenje saglasnosti, brisanje i prenošenje podataka.
  • Za namerna ili nenamerna curenja ličnih podataka predviđene su kazne od dva do četiri odsto godišnjeg prometa ili deset do 20 miliona evra.

Dve glavne zablude koje se tiču GDPR-a i njegove primene:

  1. GDPR predstavlja jednu vrstu negativnog zakona; Međutim, regulativa nije preuranjena. Uspon digitalne ekonomije zahteva da se reguliše način na koji se ophodimo prema ličnim informacijama.
  2. To je odgovornost nekog drugog; Poštovanje GDPR nije samo odgovornost službenika za zaštitu podataka (Data Protection Officer) već i same kompanije kao kontrolora podataka.

Pet ključnih koraka za procenu osnovne usklađenosti

Bezbednosni okviri su dobar način za usklađivanje sa programom sigurnosti informacija i zaštite podataka. Možemo izdvojiti pet osnovnih koraka za procenu:

  1. Identifikacija

Prvi zadatak svake organizacije je da se identifikuje kao kontrolor ili procesor. Firme treba da razmotre obaveze koje donosi njihov položaj, kao što su izdavanje obaveštenja građanima i čuvanja. Takođe, potrebna je identifikacija lokacije kritičnih podataka, bilo da su oni „u mirovanju“, „u pokretu“ ili „u upotrebi“, kao i vođenje evidencije o aktivnostima obrade i upućenost u zaštitu tih podataka.

  1. Zaštita ličnih podataka

Nakon što odrede koji su to kritični podaci, firme treba da osiguraju njihovu adekvatnu zaštitu. Šifriranje i kontrola pristupa su uobičajeni standardi kontrole, ali upravljanje šifriranim podacima preko više poslovnih procesa je težak zadatak. Organizacije treba da upravljaju tokovima podataka putem odobrenih procesora treće strane, zaštitom od krađe podataka od spoljnih napadača, kao i da prate slučajne ili namerne zloupotrebe i potencijalno curenje podataka od strane zaposlenih.

  1. Otkrivanje krađe podataka

Ako dođe do krađe podataka unutar firme, važno je da se to otkrije i utvrdi da li su pogođeni lični podaci. Ukoliko jesu, organizacija će biti u obavezi da u roku od 72 sata obavesti nadležne. Zatim će se pokrenuti istraga koja će otkriti detalje o krađi preko informacija o događajima i incidentima iz alata kao što su Data Loss Prevention (DLP).

  1. Reakcija na krađu podataka

Reakcija na incident je od kritičnog značaja za zaštitu. Ovaj plan mora redovno da se testira kako bi se obezbedila uključenost zaposlenih u reakciju na gubitak podataka, kao i to da budu sasvim upoznati sa novim zakonom, procesom komunikacije i protokolima.

  1. Oporavak od krađe podataka

Posle krađe podataka, organizacije moraju pokazati da održavaju stalnu komunikaciju sa nadležnima kako bi obezbedile redovno informisanje subjekata koji su pogođeni incidentom. Ovih pet ključnih koraka može da se primeni kako na GDPR, tako i na druge aspekte sprečavanja zloupotrebe podataka.

GDPR – Zakonska prekretnica u digitalnom dobu
Oceni ovaj članak

NAPIŠI KOMENTAR

Please enter your comment!
Please enter your name here

three × 2 =