Zaštita podataka postaje obaveza

PREUZMITE BESPLATAN VODIČ
Što je GDPR?

Da li je Vaše poslovanje usklađeno s regulativom EU o zaštiti podataka?

U svibnju 2018. godine stupa na snagu europska regulativa o zaštiti podataka.

Ukoliko se ova regulativa odnosi na Vaše poslovanje, vrijeme je da počnete razmišljati o usklađivanju s njenim zahtjevima. Ove stranice će Vam pomoći da razumijete GDPR i povezane zahtjeve te pronađete odgovarajuća rješenja. GDPR regulativa se odnosi na sve institucije unutar Europske unije koje barataju bilo kojom vrstom osobnih podataka. Regulativa se odnosi i na sva poduzeća koja posluju unutar EU. Važno je imati na umu da izbjegavanje usklađivanja sa zahtjevima GDPR regulative za sobom povlači financijske kazne.

Međutim, ova stranica je pravo mjesto da saznate sve što je potrebno o regulativi GDPR i rješenjima koja su Vam neophodna radi ispunjenja odgovarajućih zahtjeva.

calendar due date GDPR

Preuzmite besplatan vodič

Utjecaj GDPR regulative je složen, stoga smo razdvojili proces usklađivanja na tri glavne i nekoliko sporednih grupa mjera. Kliknite na stepenice na dijagramu za detaljan opis svake od tih grupa.

guide general data protection regulation

Online provjera usklađenosti sa zahtjevima GDPR regulative

Ova stranica će Vam pomoći da razumijete GDPR regulativu i njene zahtjeve te pronađete odgovarajuća rješenja

Usklađivanje s GDPR regulativom, korak po korak

Utjecaj GDPR regulative je složen, stoga smo postupak usklađivanja podijelili na tri osnovne grupe i više podgrupa potrebnih mjera. Kliknite na stepenice dijagrama kako biste otvorili navedene grupe.

+Sažetak

Neki od principa u osnovi GDPR regulative predstavljaju nastavak postojeće uredbe Data Protection Directive, na primjer: pravednost, zakonitost i transparentnost; ograničenje primjene; smanenje količine podataka; kvaliteta podataka; sigurnost, integritet i povjerljivost.

GDPR uspostavlja novi princip odgovornosti uvođenjem kontrolora za podatke odgovornog za usklađivanje s navedenim principima. Pored toga, GDPR uvodi nove aspekte postojećih principa zaštite podataka:

Zakonitost, pravednost i transparentnost – osobni podaci moraju biti obrađivani na način koji je transparentan za vlasnika podataka.

Ograničenje namjene – Uz određene iznimke, arhiviranje osobnih podataka u javnom interesu se neće smatrati protivnim izvornom cilju obrade.

Pohrana – Osobni podaci se moraju čuvati u obliku koji dopušta identifikaciju subjekata podataka ne duže nego što je neophodno za potrebe za koje se osobni podaci obrađuju.

Odgovornost – kontrolor postaje odgovoran za usklađenost s navedenim principima.

+Organizacijske mjere

GDPR regulativa zahtijeva uvođenje širokog raspona mjera za smanjenje rizika od narušavanja njenih odredbi. Među neophodnim mjerama su: ocjena utjecaja na privatnost, revizija, pregled sigurnosnih pravila, vođenje dnevnika o aktivnostima te imenovanje djelatnika za zaštitu podataka.

GDPR regulativa uvodi obavezu imenovanja djelatnika za zaštitu podataka za određene institucije. Institucije na ovu poziciju mogu imenovati jednog od zaposlenika ili vanjskog konzultanta.

Ukoliko je Vaše poduzeće marketinška agencija s velikom bazom podataka o klijentima, vjerojatno ćete morati imenovati djelatnika za zaštitu podataka. Nadležna državna tijela su zadužena za izradu smjernica o zahtjevima za zaposlenike na toj poziciji.

Vaš djelatnik za zaštitu podataka će biti zadužen za usklađivanje sa zahtjevima GDPR regulative, savjetovanje o Vašim obavezama i provođenje ocjene utjecaja na privatnost te djelovati kao osoba za kontakt s državnim tijelima zaduženim za zaštitu podataka.

One-stop shop koncept omogućuje instituciji koja obavlja poslovanje u više zemalja Europske unije da komunicira s jednim državnim nadzornim tijelom zaduženim za zaštitu podataka , iako su pravila za određivanje tijela zaduženog za ovu ulogu u nekim slučajevima složena.

+Procesi, procedure i pravila

GDPR definira povredu sigurnosti podataka kao“narušavanje sigurnosti koje dovodi do slučajnog ili namjernog uništenja, gubitka, izmjene, neovlaštenog pristupa ili objavljivanja pohranjenih, prenesenih ili drugačije obrađenih osobnih podataka”.

Ovo je šira definicija nego ranije i ne uzima u obzir da li je povreda sigurnosti nanijela štetu privatnoj osobi. Ukoliko Vaša institucija bude izložena povredi sigurnosti podataka, morate smjesta ili u roku od najviše 72 sata nakon otkrivanja povrede obavijestiti svoje državno tijelo za zaštitu podataka.

Međutim, ukoliko ste primijenili odgovarajuće tehničke i organizacijske korake za zaštitu osobnih podataka kao što je enkripcija, izuzeti ste od obaveze obaviještavanja vlasnika podataka.

Važan aspekt usklađivanja s GDPR regulativom predstavlja ugradnja privatnosti u dizajn, to jest obaveza uzimanja u obzir zaštite privatnosti prilikom dizajniranja svih novih proizvoda i procesa. Ovaj pristup je ranije predstavljao dobru praksu, a sada postaje obavezan.

Ocjena utjecaja na zaštitu podataka ili ocjena utjecaja na privatnost identificira i smanjuje rizike od neusklađenosti s GDPR regulativom.

GDPR regulativa izričito zahtjeva provođenje ocjene utjecaja na privatnost. Kontrolori moraju osigurati provođenje ocjene utjecaja na privatnost prije početka bilo kakve rizične obrade podataka.

Ukoliko obavljate međunarodno poslovanje, Vaša pravila i procesi za prijenos podataka izvan Europske unije su od velike važnosti, pošto će kazne predviđene za neusklađenost s regulativom ili transfer podataka u zemlje za koje Europska komisija smatra da ne osiguravaju odgovarajuću razinu zaštite osobnih podataka značajno porasti nakon uvođenja GDPR regulative.

+Sigurnost podataka

Vrijeme je da počnete objašnjavati potrebu za usklađivanjem s GDPR regulativom Vašim zaposlenicima. Potrebno je početi s planiranjem izmjena procedura za uvođenje novih mjera za transparentnost i zaštitu prava privatnih osoba u skladu s GDPR regulativom. Ovo može imati značajan utjecaj na financijske, informatičke i kadrovske aspekte poslovanja.

+Odgovornost i tehničke mjere

GDPR regulativa zahtijeva od kontrolora odgovornost za usklađivanje s principima zaštite podataka. Stoga ćete morati osigurati postojanje jasnih pravila koja dokazuju da ispunjavate određene standarde redovitim praćenjem, pregledom i ocjenom Vaših postupaka za obradu podataka, sigurnosnim mjerama i školovanjem Vaših zaposlenika kako bi razumjeli svoje obaveze te biti u stanju sve navedeno demonstrirati u svako vrijeme u skladu sa zahtjevima državnog tijela za zaštitu podataka.

+Povreda sigurnosti podataka – tehničke mjere

Morate se pripremiti za moguće povrede sigurnosti podataka (definirane kao ““narušavanje sigurnosti koje dovodi do slučajnog ili namjernog uništenja, gubitka, izmjene, neovlaštenog pristupa ili objavljivanja pohranjenih, prenesenih ili drugačije obrađenih osobnih podataka”.) uvođenjem jasnih pravila i isprobanih procedura kako biste bili sigurni da ćete biti u stanju reagirati na moguće povrede podataka i pravovremeno obavijestiti nadležna tijela.

Propuštanje obavještavanja nadležnog tijela o povredi sigurnosti podataka za sobom može povući financijsku kaznu, baš kao i sam sigurnosni propust.

+Zaštita prava vlasnika podataka

GDPR pojačava prava vlasnika podataka , na primjer uvođenjem prava na traženje informacija o obradi svojih osobnih podataka, informacija o pristupanju podacima u određenim okolnostima te ispravljanje netočnih podataka.

Jedan od glavnih zadataka GDPR regulative je jačanje prava privatnih osoba. Stoga će se promijeniti pravila za odgovaranje na upite vlasnika podataka te će biti neophodno uskladiti odgovarajuće procedure.

U većini slučajeva, naplata odgovora na upit neće biti moguća, a rok za odgovaranje neće biti dulji od 30 dana.

Pravo za zaborav (‘brisanje’ prema terminologiji GDPR regulative) dopušta privatnim osobama da zatraže od kontrolora da izbrišu njihove osobne podatke bez odgađanja u određenim situacijama, na primjer kada je zakonitost obrade podataka upitna ili kada vlasnici podataka povuku pristanak na njihovu obradu.

Treće osobe s kojima dijelite podatke privatnih osoba su također pokrivene ovim pravilima.

GDPR definira profiliranje kao “bilo kakav oblik automatske obrade osobnih podataka koji se sastoji od korištenja osobnih podataka radi ocjene određenih osobnih karakteristika privatne osobe kao što je analiziranje ili predviđanje određenih aspekata uspješnosti takve osobe na poslu, ekonomske situacije, zdravlja, osobnih preferencija, interesa, pouzdanosti, ponašanja, lokacije ili kretanja”; međutim, nije jasno kako će pravo vlasnika podataka da ne bude predmetom odluka zasnovanih na profiliranju biti provedeno.

GDPR uvodi novo pravo na prenosivost podataka koje seže dalje od prava privatne osobe na pristup podacima u elektronskom obliku i zahtijeva da kontrolor preda podatke u strukturiranom, uobičajenom obliku dostupnom za računalnu obradu.

Za ovo pravilo postoje neke iznimke – na primjer, ono se odnosi isključivo na osobne podatke koji se obrađuju automatski.

U sklopu nastojanja da pojača prava privatnih osoba, Europska komisija im daje pravo na ograničenje određenih vrsta obrade podataka te pravo na pritužbu na korištenje podataka za svrhe direktnog marketinga, uključući profiliranje za istu svrhu.

Nakon što privatna osoba podnese pritužbu, njeni podaci se više ne smiju upotrebljavati za svrhe direktnog marketinga, a kontakt-podatke takve osobe je potrebno dodati u izdvojenu grupu koja je izuzeta od navedenog načina obrade podataka.

Sve institucije moraju obavijestiti privatne osobe o njihovom pravu na pritužbu na obradu njihovih podataka na jasno istaknut način.

+Komunikacija informacija o privatnosti (pristanak, obavijesti o obradi podataka)

Vjerojatno ćete morati uskladiti način na koji tražite, primate i bilježite pristanak;  suglasnost vlasnika podataka na obradu osobnih podataka mora biti podložna jednako jednostavnom opozivu kao njeno davanje te mora sadržavati jasan pristanak na obradu osobnih podataka – šutnja, unaprijed označene kućice ili propuštanje osobe da nešto učini ne mogu označavati pristanak.

GDPR regulativa zahtijeva posebnu zaštitu prilikom obrade osobnih podataka djece, posebno u slučajevima komercijalnih Internet usluga kao što su društvene mreže. Stoga biste trebali početi razmišljati o sistemu provjere dobi djece te stjecanja roditeljske suglasnosti za obradu njihovih osobnih podataka.

GDPR će povećati opseg obavijesti koje ste dužni dati vlasnicima podataka , na primjer zakonsku osnovu za obradu njihovih podataka, rok čuvanja podataka i njihovo pravo na pritužbu državnom tijelu za zaštitu podataka ukoliko smatraju da s njihovim podacima postupate na neodgovarajući način; GDPR zahtjeva da ovi podaci budu pruženi na jasnom i konciznom jeziku.

+Sigurnost podataka (integritet i povjerljivost)

GDPR definira principe sigurnosti podataka koji su slični onima u trenutnoj regulativi, uključujući pravednost, zakonitost i transparentnost; ograničenje primjene; smanjenje opsega podataka; kvalitetu podataka; sigurnost, integritet i povjerljivost.

Morate osigurati da se osobni podaci obrađuju na način koji pruža sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka ili oštećenja: “Institucija i bilo koji vanjski pružatelj usluga će uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku”.

GDPR regulativa zahtijeva niz sigurnosnih mjera koje mogu biti poduzete radi zaštite podataka, uključujući unošenje pseudo-podataka i enkripciju osobnih podataka; osiguravanje povjerljivosti, integriteta, dostupnosti i otpornosti sistema i servisa koji obrađuju osobne podatke; mogućnost povrata osobnih podataka i pristupa u slučaju fizičkog ili tehničkog incidenta; te plan redovitog testiranja i ocjene efikasnosti tehničkih i organizacijskih mjera za sigurnu obradu osobnih podataka.

GDPR regulativa ističe enkripciju podataka kao jedan od načina za osiguranje usklađenosti s nekim od njenih zahtjeva.

Na primjer, Članak 32, koji se odnosi na sigurnost obrade, govori:

“1.   S obzirom na stupanj razvoja tehnologije, troškove implementacije i prirodu, opseg, kontekst i ciljeve obrade kao i rizike razne razine vjerojatnosti i ozbiljnosti za prava i slobode privatnih osoba, kontrolor i subjekt koji obrađuje podatke ce uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku, uključujući između ostalog: (a) unos pseudo-podataka i enkripciju osobnih podataka […]”

Članak 34 – Obavještavanje vlasnika podataka o narušavanju sigurnosti osobnih podataka

“3. Vlasniku podataka nije neophodno uputiti obavijest iz paragrafa 1 ukoliko su ispunjeni sljedeći uvjeti: (a) kontrolor je uveo odgovarajuće tehničke i organizacijske mjere zaštite, i te mjere su primjenjene na osobne podatke izložene povredi sigurnosti, a posebno mjere kao što je enkripcija, koje čine osobne podatke nečitljivima svim neovlaštenim osobama […]”

+Dokumentacija, zakonska osnova i revizija

Morate voditi dokumentaciju o osobnim podacima koje posjedujete, njihovom izvoru i osobama s kojima ste ih dijelili.

Ukoliko posjedujete netočne osobne podatke i podijelili ste ih s drugom institucijom, GDPR regulativa zahtijeva da tu instituciju obavijestite o netočnostima kako bi ih mogla ispraviti. Ovo će možda zahtjevati provođenje revizije u Vašem poduzeću ili u sklopu pojedinih poslovnih jedinica. Pored toga, ovo pomaže usklađivanju s principom odgovornosti GDPR regulative.

Sukladno GDPR regulativi, trebali biste ispitati na koji način obrađujete osobne podatke te identificirati zakonsku osnovu na temelju koje izvršavate ove procese.

Ovo je neophodno pošto će prava određenih osoba biti izmjenjena u skladu sa zakonskom osnovom za obradu njihovih osobnih podataka. Na primjer, osobe će imati veće pravo na brisanje svojih podataka u slučajevima kada njihov osobni pristanak predstavlja osnovu za obradu tih podataka. Međutim, pristanak je samo jedna od osnova za legitimnu obradu podataka.

Podaci na ovoj stranici ne predstavljaju pravno mišljenje te se korisnici ne bi trebali oslanjati na njih prilikom donošenja poslovnih odluka. ESET nije odgovoran za posljedice takvih odluka. Radi procjene posljedica svojih poslovnih odluka uvijek tražite nezavisno pravno mišljenje.

Prisutstvujte na web seminaru o GDPR regulativi

Razgovarajte s našim stručnjacima o tome kako će regulativa General Data Protection Regulation (GDPR) utjecati na Vaše poslovanje. ESET organizira besplatne web seminare koji objašnjavaju posljedice GDPR regulative – jednostavno se registrirajte i pozvat ćemo Vas da sudjelujete na sljedećem seminaru.

Enkripcija podataka kao rješenje

Što je enkripcija?

Enkripcija je postupak šifriranja podataka na način koji sprječava neovlaštene osobe da ih pročitaju.

DULJINA KLJUČA I SNAGA ENKRIPCIJE

Snaga enkripcije se obično izjednačava s duljinom ključa (izraženom u bitovima) i algoritmom enkripcije. Najjednostavniji način da se enkripcija probije je isprobavanje svih mogućih ključeva. Ovo je poznato kao “brute-force” napad, ali dulji ključevi čine ovaj postupak neefikasnim.

Da bi se 128-bitni AES ključ probio primjenom “brute-force” metode, svaki od otprilike 7 milijardi ljudi na svijetu bi morao provjeriti 1 milijardu ključeva svake sekunde tijekom 1,5 bilijuna godina.

Stoga napadači obično ne nastoje kopirati algoritam ili probiti ključ “brute-force” metodom. Umjesto toga, oni traže slabosti u softveru za enkripciju ili pokušavaju inficirati sistem zloćudnim kodom kako bi presreli lozinke ili ključeve prilikom njihove primopredaje.

Kako biste smanjili ove rizike, koristite nezavisno ocjenjeni program za enkripciju i napredno antivirusno rješenje. 

Kako enkripcija radi?

Enkripcija se obično primjenjuje na dva načina:

Enkripcija spremišta – često nazivanog “podaci u mirovanju” – predstavlja najčešći način enkripcije čitavog diska, pogona ili uređaja.

Ova vrsta enkripcije stupa u funkciju tek nakon prestanka rada sustava, isključivanja pogona ili blokiranja ključa za enkripciju.

Enkripcija sadržaja poznata kao “granularna enkripcija” – tipično označava enkripciju datoteka ili teksta na razini aplikacije.

Najbliži primjer je enkripcija e-mail poruka, gdje format poruke mora ostati netaknut kako bi ga klijent mogao obraditi, ali se tijelo e-mail poruke zajedno sa svim prilozima šifrira.

eset data encryption example

Što mogu očekivati od enkripcije?

Iako su duljina ključa i funkcije softvera za enkripciju bitni, oni ne govore o tome koliko će program biti udoban za korištenje za korisnike ili administratore.

FIPS - 140 Validacija

Najšire prihvaćena nezavisna validacija je takozvani FIPS-140 standard. Ukoliko program za enkripciju nosi oznaku FIPS-140 standarda, on pruža veću sigurnost nego što je potrebno u većini situacija te je usklađen sa zahtjevima GDPR regulative.

Lakoća korištenja za neprofesionalne korisnike

Uvijek će postojati situacije u kojima će Vaši zaposlenici morati odlučiti da li je potrebno šifrirati dokument, e-mail poruku, itd. Stoga je važno da su u stanju koristiti softver za enkripciju te da mogu biti sigurni da njima ili ovlaštenim primateljima softver neće onemogućiti pristup dokumentu.

Udaljeno upravljanje ključevima, postavkama i sigurnosnim pravilima

Kako se zaposlenici ne bi morali baviti donošenjem odluka povezanih sa sigurnošću, enkripcija se može primjeniti svugdje.  Međutim, ovakav pristup usporava uobičajene poslovne procese i može negativno utjecati na produktivnost.  Omogućavanjem udaljenog upravljanja koje dopušta promjenu ključeva, funkcionalnosti ili sigurnosnih pravila za udaljene korisnike, koji obično predstavljaju najveći sigurnosni rizik, osnovne postavke enkripcije i sigurnosnih pravila mogu biti strože bez ograničavanja poslovnih procesa u ostalim segmentima poduzeća.

Upravljanje ključevima za enkripciju

Jedan od najvećih izazova za enkripciju je dijeljenje šifriranih informacija između korisnika.  Za to postoje dvije tradicionalne metode: dijeljene lozinke, koje predstavljaju uobičajenu dilemu između lakoće pamćenja i sigurnosti, ili metoda primjene javnog ključa koja odgovara malim grupama s niskim fluktuacijama osoblja ali postaje problematična u većim ili dinamičnijim sredinama.
Korištenje centralno upravljanih dijeljenih enkripcijskih ključeva rješava ove probleme uz dodatnu pogodnost analogije s primjenom fizičkih ključeva i brava koji zaključavaju naše kuće, automobile, itd.  Zaposlenicima je taj koncept dobro poznat te im ga je dovoljno objasniti jednom.  Uz upotrebu vrhunskog sistema za daljinsko upravljanje, dijeljeni ključevi za enkripciju predstavljaju optimalnu ravnotežu između sigurnosti i jednostavnosti korištenja.

Isprobajte ESET DESlock+

Pošaljite svoje podatke i omogućit ćemo Vam probno korištenje kako biste iskusili prednosti ESET DESlock+ enkripcije.

Kako ESET može pomoći

Naše rješenje:
ESET DESlock enkripcija

Enkripcija osobnih podataka u Vašem posjedu zadovoljava brojne zahtjeve GDPR regulative. ESET-ovo rješenje je snažno, jednostavno za korištenje te sigurno šifrira diskove, izmjenjive medije, datoteke i e-mail poruke.

DESlock Enkripcija Vam omogućuje da ispunite obavezu zaštite podataka putem jednostavnog uvođenja pravila šifriranja. S niskim potrebama za tehničku podršku i brzom implementacijom, DESlock predstavlja vrhunsko rješenje za enkripciju.

Upravljanje proizvodom na klijentskoj strani traži minimalnu intervenciju korisnika. Jednostavna instalacija proizvoda unapređuje sigurnost radnih stanica, a krug zaštite se širi izan granica Vaše uredske mreže.

Što daje DESlock enkripcija?

Jednostavan i snažan alat za enkripciju za institucije svih veličina sigurno šifrira podatke na diskovima, prijenosnim uređajima i e-mail porukama

256-bitna AES enkripcija sa standardom FIPS 140-2 za zajamčenu sigurnost

Hibridni server za udaljeno upravljanje ključevima za enkripciju i sigurnosnim pravilima iz oblaka

Podrška za Microsoft® Windows® 10, 8, 8.1 uključujući UEFI i GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algoritmi i standardi: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – koristi

Potpuna enkripcija diska
Brza i transparentna zaštita prije pokretanja sistema

Enkripcija izmjenjivih medija
Enkripcija na osnovi pravila koja odgovara svim potrebama poduzeća

Outlook plugin za e-mail i priloge
Jednostavno šaljite i primajte šifrirane e-mail poruke i priloge u Outlook-u

Virtualni diskovi i šifrirane arhive
Kreirajte sigurnu jedinicu na disku Vašeg PC-a ili drugoj lokaciji ili šifriranu kopiju čitavog stabla direktorija i datoteka

Enkripcija datoteka i direktorija
Brza i jednostavna enkripcija uz dodatnu razinu sigurnosti

Enkripcija teksta i sadržaja međuspremnikaŠifrirajte dio ili čitav prozor teksta u web preglednicima, poljima baza podataka ili webmail programima

Centralizirano upravljanje
Potpuna kontrola licenciranja i funkcija softvera, kao i pravila sigurnosti i ključeva za enkripciju.

DESlock+ Go prijenosna enkripcija
Jednostavan softver za primjenu na sistemima bez instaliranog softvera za enkripciju

Isprobajte ESET DESlock+

Pošaljite svoje podatke i omogućit ćemo Vam probno korištenje kako biste iskusili prednosti ESET DESlock+ enkripcije

Naše web stranice koriste kolačiće radi poboljšanja Vašeg korisničkog iskustva.Više informacija.

OK