U današnje vreme, kada svi koristimo internet i moderne tehnologije za komunikaciju, kupovinu ili zabavu, lako može doći do curenja podataka o ličnosti ukoliko se ne primenjuju mere zaštite. Kako sve ove aktivnosti podrazumevaju otkrivanje ličnih podataka– poput imena, prezimena, adrese, broja telefona ili bankovnog računa- posledice po pojedinca mogu biti ozbiljne.
Sve veći broj slučajeva curenja ličnih podataka, za koje saznajemo iz medija, podsećaju nas na to koliko je zaštita ovih informacija važna za pravna lica. U ovom blogu ćemo pojasniti šta je curenje podataka o ličnosti, kako do toga dolazi, koje mere zaštite treba da budu preduzete i na koji način kompanija treba da postupi ako do curenja podataka ipak dođe.
Šta je curenje podataka o ličnosti?
Data Breach, odnosno curenje podataka o ličnosti, je incident prilikom kog dolazi do neovlašćenog pristupa, krađe ili objavljivanja ličnih podataka pojedinaca. Već smo pomenuli određene podatke koje sami ostavljamo na internetu a koji mogu zbog ovakvog incidenta da iscure. Međutim, neretko se dešava i da dođe do povrede posebno osetljivih podataka o ličnosti koji se nalaze u nečijem medicinskom dosijeu.
Curenje podataka o ličnosti može se dogoditi iz različitih razloga, uključujući nezaštićene baze podataka, hakerske napada, ali i nedovoljno osposobljene zaposlene koji obrađuju ili upravljaju ovim podacima. Organizacije, koje prikupljaju i obrađuju ove podatke moraju preduzeti adekvatne mere zaštite kako do povrede ili curenja podatak ne bi došlo.
Koje mere zaštite treba preduzeti da do curenja podataka ne bi došlo?
Vreme je da se pozovemo na Zakon o zaštiti podataka o ličnosti i njegov član 42, koji pojašnjava konkretne mere zaštite koje rukovalac i obrađivač podataka treba da preduzmu. Ali pre toga ćemo, radi lakšeg razumevanja, prvo pojasniti termine rukovalac i obrađivač podataka, a zatim i koje su mere zaštite.
Uloga rukovaoca i obrađivača ličnih podataka
U kontekstu ovog teksta rukovalac podacima o ličnosti je pravno lice koje prikuplja i obrađuje lične podatke. Da bismo bili još jasniji kao primer ćemo navesti firmu koja, za potrebe zapošljavanja novog kolege, prikuplja podatke o kandidatima.
Ona tom prilikom i obrađuje podatke, jednog ili nekoliko uspešnih kandidata, radi sastavljanja ugovora o radu. Obrađivač podataka o ličnosti obrađuje te podatke na osnovu naloga rukovaoca. U konkretnoj situaciji to bi mogla biti računovodstvena agencija koja u ime rukovaoca podnosi prijavu za osiguranje novozaposlenog.
Na osnovu čega se procenjuje obim mera koje treba da budu primenjene?
Za sve mere, koje treba da budu primenjene, konkretni rukovalac treba da uzme u obzir nivo tehničkog dostignuća i visinu troškova njihove primene. Za ova dva kriterijuma važi pravilo procene na osnovu svakog pojedinačnog slučaja.
Pa tako, kada je mala firma u pitanju- koja obrađuje samo lične podatke svojih zaposlenih- ne očekuje se da će u ovom slučaju biti primenjene najsavremenije metode za zaštitu podataka. Dok, kada je velika firma, sa nekoliko hiljada klijenata, u pitanju koja uz to i obrađuje veliku količinu podataka o ličnosti- očekivanja su da obezbedi poslednju verziju softvera i hardvera za zaštitu podataka.
Dakle, obim mera, koje će biti primenjene u svakom konkretnom slučaju, zavisi od vrste podataka koje firma obrađuje, ali i od rizika koji postoji za njihovu povredu ili curenje. Tako je kod manjih privrednih subjekata rizik znatno manji, pa nije potrebno primeniti ništa više od zaštite baze podataka uz pomoć lozinke. Ali, kod većih kompanija je rizik mnogo veći, pa i mere zaštite moraju biti sveobuhvatnije.
Dva stepena zaštite i bezbednosti ličnih podataka
Pomenuti član 42 Zakona propisuje obavezu rukovaoca da primeni određene tehničke, kadrovske i organizacione mere. Citirani član Zakona pominje samo jednu meru- pseudonimizaciju, ali ona nikako ne treba da bude shvaćena kao jedina i najbolja metoda zaštite podataka o ličnosti.
Pored nje, u tehničke mere možemo uvrstiti i poseban softver ili hardver, koji štite od povrede ličnih podataka ili prodora u elektronske uređaje (antihack) na kojima se nalaze posebno osetljivi podaci. Takve metode zaštite su antivirus programi, kriptozaštita ili interna mreža (sadrži poverljive baze podataka) koja nije priključena na globalnu.
Kada su u pitanju kadrovske mere, one se odnose na zaposlene unutar firme koji prikupljaju i obrađuju podatke o ličnosti. Jako je važno da oni nauče kako se pravilno postupa sa osetljivim podacima, u čemu im mogu pomoći obuke o zaštiti podataka o ličnosti. Takođe, imenovanjem lice za zaštitu podataka o ličnosti firma dobija zaposlenog koji će se starati o ovim podacima na najvišem nivou.
Na kraju, organizacione mere mogu da obuhvate uvođenje novih procedura za obradu i zaštitu ovih podataka. To može biti usvajanje i primena politika privatnosti ili pravilnika o zaštiti podataka o ličnosti. Kao i isticanje posebnih obaveštenja o obradi i zaštiti ličnih podataka. Kada je reč o zaposlenima, oni mogu da se obavežu da čuvaju lične podatke kao poslovnu tajnu, a mogu i da zaključe poseban ugovor sa firmom o čuvanju poslovne tajne- NDA.
Članom 50 pomenutog Zakona, pozivajući se ponovo na nivo tehnološkog dostignuća i troškove primene, naizalimo na nove kriterijume. To su kriterijumi za primenu mera bezbednosti. Priroda, obim, okolnosti i svrha obrade, kao i verovatnoća nastupanja incidenta prilikom kog može doći do curenja podataka o ličnosti- sve ovo utiče na to da li će biti potrebe za primenom dodatnih mera.
O curenju podataka o ličnosti treba razmišljati na vreme
Kao što smo mogli da pročitamo do sada, Zakon predviđa dva stepena zaštite od curenja podataka. Jedan su mere zaštite, a drugi mere bezbednosti. Kako se u pomenutom članu 50 Zakona posebno ističe da je rizik od curenja podataka glavni kriterijum, na osnovu koga firma treba da zna kada je vreme za primenu mera, onda je jasno da o ovom pitanju treba razmišljati i pre nego što se pojavi potencijalna rizična situacija.
Imajući to u vidu, važno je da svaka firma sebi postavi određena pitanja, na osnovu čijih odgovora će moći da zna koji nivo zaštite i koje mere su pogodne za primenu u njenom slučaju:
- Kakvi se podaci o ličnosti obrađuju?
- Zbog čega se podaci o ličnosti obrađuju?
- Koji je rizik takve obrade?
- Koja su najnovija tehnološka dostignuća za zaštitu baza podataka?
- Da li kompanija ima interne procedure za zaštitu?
- Da li neko od zaposlenih zna da rukuje podacima o ličnosti?
- Koja je cena uvođenja novih tehnologija i procedura?
- I konačno, koja je verovatnoća nastupanja rizika?
Hajde još jednom da se okrenemo primeru iz prakse, gde je klijent firma koja obrađuje podatke o nečijoj adresi, broju računa i pretragama na aplikaciji preko koje je moguće naručiti neku vrstu robe. Ovakva firma ima visok rizik od curenja ili povrede ličnih podataka, pa je važno da budu primenjene adekvatne mere zaštite i bezbednosti. Neke od sledećih mera mogu biti dobro rešenje za jednu ovakvu firmu:
1) pseudonimizacija i kriptozaštita,
2) sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
3) obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku, takozvani “backup”;
4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.
Ukoliko je firma primenila sve ove mere, trebalo bi da do povrede podataka ne dođe. Međutim, greške se dešavaju svima, pa je moguće da i pored primena svih mera zaštite i bezbednosti ipak dođe do curenja podatka. A kada se to desi, šta treba uraditi?
Šta uraditi ako do curenja ličnih podataka ipak dođe?
Obaveštavanje Poverenika
Ako se ova situacija ipak desi i do curenja podataka o ličnosti dođe, rukovalac je dužan da u roku od 72 časa obavesti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Ukoliko propusti da to učini u ovom roku, rukovalac će imati obavezu da dostavi relevantne dokaze o sprečenosti i razlozima koji su do toga doveli.
Obaveštenje, kojim se Povereniku dostavlja informacija o curenju podataka, treba da sadrži detaljan opis događaja:
- Opis prirode povrede uključujući vrste podataka i približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
- Ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
- Opis mogućih posledica povrede;
- Opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
Važno je napomenuti da je od ogromnog značaja primena prethodno pomenutih mera zaštite i bezbednosti. One predstavljaju svojevrsnu mapu puta, koja pokazuje na koji način su podaci bili zaštićeni i u kom delu te strukture je mogla da nastane pukotina.
Takođe, ukoliko su mere primenjene, a ipak je došlo do povrede podataka, onda sama činjenica da su one ipak primenjene može da se tretira kao „olakšavajuća okolnost“ za kompaniju.
Obaveštavanje lica čiji su lični podaci procureli
Pored Poverenika, rukovalac mora da pošalje još jedno obaveštenje. Pravno lice, koje je rukovalac podacima, ima obavezu da obavesti lica čiji su podaci o ličnosti povređeni ili su procureli. Ta obaveza se odnosi samo na slučaj kada postoji visok rizik usled koga prava i slobode fizičkih lica mogu biti ugrožene curenjem podataka.
Kako Zakon ne definiše precizno šta se može smatrati visokim rizikom za curenje podataka, već samo daje indikatore, to mora da se ceni u svakom pojedinačnom slučaju. Uzmimo za primer visokog rizika curenja podataka sledeću situaciju. Kada se određeni broj ličnih podataka učini dostupnim velikom broju ljudi, može doći do ugrožavanja prava fizičkih lica čiji su podaci postali dostupni javnosti.
Na kraju, kada se rizik proceni i ako se utvrdi da je on visok, obaveštavaju se lica čija prava i slobode mogu biti ugrožene. Ovakvo jedno obaveštenje mora da sadrži jasan i pre svega razumljiv opis prirode povrede podataka, ali i sledeće informacije:
- Ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
- Opis mogućih posledica povrede;
- Opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
Uz pravilnu primenu mera zaštite i bezbednosti curenje podataka o ličnosti može biti sprečeno
Kako bismo zaključili ovaj blog o povredi i curenju ličnih podataka, smatramo da je neobično važno još jednom naglasiti koliko je primena adekvatnih mera krucijalna. Ovo je iz najmanje dva razloga važno.
Prvo, zato što primena mera predstavlja mapu puta na osnovu koje mogu da se tačno utvrde preduzeti koraci. A drugo, zato što će preduzimanje mera predstavljati olakšavajuću okolnost za rukovaoca i obrađivača u trenutku kada prijavi curenje podataka Povereniku i potencijalno licima čiji su podaci iscureli u javnost.
Treba imati na umu da, u zavisnosti od razmera incidenta, curenje podataka može dovesti i do prekršajne, građanske, pa čak i kriviče odgovornosti rukovaoca i obrađivača. Zato je važno ozbiljno shvatiti podatke o ličnosti i njihovu zaštitu i čuvati ih sa posebnom pažnjom i brigom.
———————————————————————————————-
Ukoliko su vam potrebne dodatne konsultacije o ovom i drugim pitanjima iz oblasti zaštite podataka o ličnosti, MNA tim Vam stoji na raspolaganju. Kontaktirajte nas i zakažite sastanak sa nama.
Leave a Reply