Zakaj morate začeti razmišljati o varstvu podatkov - in kako lahko pri tem pomaga ESET

PRENOS PRIROČNIKA - BREZPLAČNO
Kaj je GDPR?

Je vaše poslovanje usklajeno z novo EU uredbo o zaščiti podatkov?

Maja 2018 bo v veljavo stopila nova EU uredba o zaščiti podatkov.

V kolikor uredba velja tudi za vaše podjetje morate začeti razmišljati o usklajevanju zahtev. Ta stran je namenjena razumevanju GDPR in zahtevam, ki jih uredba narekuje. Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR) bo veljala za vsa podjetja, ki poslujejo v Evropski uniji in obdelujejo kakršnekoli osebne podatke. Pravila uredbe so kompleksna, kazni za neusklajenost pa so visoke (do 20 milijonov evrov).

Ste na pravem mestu, da o uredbi izveste več!

calendar due date GDPR

Preverite naš brezplačen GDPR priročnik

ESET je s svojimi pravnimi svetovalci pripravil podroben priročnik, ki vam bo razkril kakšne spremembe nova EU regulativa prinaša za vaše podjetje.

guide general data protection regulation

Online compliance check

Does your organization comply with the regulation?

Usklajevanje z uredbo GDPR, korak po korak

Posledice uredbe GDPR so kompleksne, zato smo proces usklajevanja strnili v tri osnovne skupine in več podskupin. Kliknite na vrstice v spodnjem diagramu in preverite informacije, ki vas zanimajo.

+Povzetek

Nekateri principi, ki jih uveljavlja GDPR so nadaljevanje obstoječe uredbe o varstvu podatkov, npr. poštenost, zakonitost in transparentnost; omejevanje uporabe, manjšanje količine podatkov, kvaliteta podatkov, varnost, integriteta in zaupnost.

GDPR vzpostavlja novi princip odgovornosti z upravljavcem , ki je odgovoren za usklajenost z navedenimi principi. GDPR dodaja tudi nekatere nove aspekte k obstoječim principom za zaščito podatkov:

Zakonitost, poštenost in transparentnost – osebni podatki morajo biti obdelovani na način, ki je transparenten za lastnika podatkov.

Omejevanje uporabe – Ob nekaterih izjemah se arhiviranje osebnih podatkov, ki je v javnem interesu, smatra kot združljivo s prvotnim namenom obdelave.

Shranjevanje – osebni podatki morajo biti shranjeni na način, ki omogoča identifikacijo določljivega posameznika , ko je to nujno za namene procesiranja osebnih podatkov.

Odgovornost – upravljavec je odgovoren za usklajenost z navedenimi principi.

+Zahteve za organizacijske ukrepe

GDPR zahteva implementacijo številnih ukrepov, ki zmanjšujejo možnost za izgubo ali zlorabo podatkov, poleg tega pa omogočajo, da dokažete, da varnost podatkov jemljete resno. Med nujnimi ukrepi za odgovornost so: ocena vpliva na zasebnost, revizije, pregledi varnostnih pravil, dnevniki aktivnosti in imenovanje pooblaščene osebe za varstvo podatkov (angl. data protection officer – DPO).

Uredba GDPR o varstvu podatkov od določenih organizacij zahteva imenovanje pooblaščene osebe za varstvo podatkov (DPO). Organizacije morajo kot DPO imenovati zaposlenega ali zunanjega svetovalca.

Če je vaše podjetje agencija z obsežno zbirko podatkov o uporabnikih boste morali najverjetneje imenovati pooblaščeno osebo za varstvo podatkov (DPO); pričakuje se, da bodo pristojne državne organizacije zagotovile smernice o zahtevah za to pozicijo.

Vaš DPO bo odgovoren za spremljanje usklajenosti z GDPR, svetovanje pri obveznostih, svetovanje o tem kdaj je potrebna ocena na vpliv zasebnosti in za kontakt z državnimi službami, ki so odgovorne za varstvu podatkov.

Koncept one-stop shop omogoča, da organizacija, ki je prisotna v večjem številu držav, ki so članice EU, komunicira le z enim nadzornim organom , kljub temu, da so pravila za morebitne pritožbe v tem primeru kompleksna.

+Procesi, procedure in pravila

GDPR zlorabo varnosti podatkov definira kot “kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.”

Gre za obsežno definicijo, ki ne razlikuje med tem ali je posameznik utrpel škodo ali ne. Če ste žrtev kršitve varstva osebnih podatkov, morate o tem takoj obvestili odgovorni državni organ, oz. najkasneje v roku 72 ur po odkritju kršitve.

Zlorabe podatkov vam lastnikom teh podatkov ni potrebno prijaviti, če ste v podjetju uveljavili ustrezne tehnične in organizacijske ukrepe kot je npr. enkripcija.

Pomemben del skladnosti z uredbo GDPR je vgrajeno in privzeto varstvo podatkov (angl. privacy by design) – vsak nov proces in izdelek zasnujte z natančnim upoštevanjem vseh zahtev o zasebnosti. Takšen pristop je prej veljal za dobro prakso, sedaj je to eksplicitna zahteva.

Ocena učinka v zvezi z varstvom podatkov je namenjena identifikaciji in zmanjševanju neskladij z regulativo GDPR.

GDPR tudi formalno zahteva oceno učinka na zaščito podatkov, upravljavec mora zagotoviti, da je bila ocena vpliva na varnost podatkov opravljena pred vsemi tveganimi procesi in aktivnostmi.

Če poslujete tudi mednarodno, so pravila in procesi vašega podjetja pri prenosu podatkov v države, ki niso članice EU zelo pomembna, saj so predvidene kazni za vse neskladnosti z regulativo ali za prenos podatkov v države, za katere Evropska komisija smatra, da ne zagotavljajo zadovoljiv nivo zaščite osebnih podatkov po sprejemu regulative GDPR.

+Zavedanje o varnosti podatkov

Zdaj je čas, da svojim zaposlenim začnete razlagati potrebo po skladnosti z regulativo GDPR. Začeti morate z načrtovanjem in revizijo procedur za skladnost s transparentnostjo in ostalimi zahtevami za zaščito podatkov z regulativo GDPR. To lahko zajema obsežna izobraževanja za vaš finančni in IT kader.

+Odgovornost – tehnični ukrepi

GDPR narekuje, da je upravljavec odgovoren za demonstracijo skladnosti z varnostnimi zahtevami, zato morate imeti postavljena jasna pravila s katerimi lahko dokažete skladnost s standardi. To lahko dosežete z rednim spremljanjem, revizijami in ocenjevanjem procesov za obdelavo podatkov, uveljavljanjem varnostnih mehanizmov in zagotavljanjem izobraževanj za zaposlene, ki morajo razumeti svoje obveznost. Biti morajo pripravljeni demonstrirati skladnost z regulativo kadarkoli to od njih zahteva odgovorni državni organ.

+Izguba podatkov – tehnični ukrepi

Pripraviti se morate na morebitno zlorabo varnosti podatkov (to je definirano kot “zloraba zaščite, ki pomeni nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani”) z jasnimi pravili in preverjenimi procedurami, ki omogočajo hitro reakcijo in obveščanje o zlorabi, ko je to potrebno.

Če zlorabe podatkov v primerih, ko je to potrebno ne prijavite, vas lahko doleti kazen. Prav tako boste kaznovani za samo zlorabo.

+Zagotavljanje pravic lastniku podatkov

GDPR določljivemu posamezniku , zagotavlja več pravic. Pozanimajo se lahko na primer katere informacije o njih se procesirajo, v določenih okoliščinah se jim zagotovi dostop do podatkov ter popravljanje podatkov v kolikor so napačni.

Eden od glavnih namenov GDPR je zagotavljanje pravic posameznikom. Zaradi tega se bodo spremenila pravila pri odgovarjanju na vprašanja posameznikov o njihovih podatkov, ki jih obdelujete. Zaradi tega boste morali uskladiti ustrezne procedure.

V večini primerov svojih odgovorov ne boste smeli zaračunati, za odgovor pa boste imeli mesec dni časa.

Pravica do biti pozabljen posameznikom omogoča , da od upravljavcev zahtevajo izbris njihovih podatkov, v nekaterih primerih tudi takoj, npr. ko je vprašljiva legalnost obdelave ali ko posameznik prekličejo svoj pristanek na obdelavo svojih podatkov.

Ta pravila veljajo tudi za tretje osebe s katerimi delite osebne podatke posameznikov.

GDPR oblikovanje profilov definira kot “vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika”; ostaja pa nekaj neznank glede tega, kako se bo uveljavljala pravica posameznika pri odločitvah avtomatizirane obdelave.

GDPR predstavlja novo pravico glede prenosljivosti podatkov, ki presega pravico posameznika do pristopa k podatkom v elektronski obliki, saj zahteva, da upravljavec podatke preda v strukturirani obliki, ki omogoča računalniško obdelavo.

Za to pravilo veljajo nekatere omejitve, saj npr. velja samo za osebne podatke, ki so obdelani avtomatizirano.

Evropska komisija želi pravice posameznikov izboljšati tudi z možnostjo omejevanja določene obdelave in pravico do pritožbe pri obdelavi osebnih podatkov v namene direktnega marketinga, vključno z profiliranjem aktivnosti za namene direktnega marketinga.

Ko se posameznik pritoži, se njihovi podatki ne smejo več obdelovati za namene direktnega marketinga, kontaktne podatke te osebe pa je potrebno dodati v ločeno skupino.

Organizacije morajo posameznike o njihovi pravici do pritožbe na obdelavo njihovih podatkov obvestiti eksplicitno in ločeno od ostalih informacij, ki jih morajo prav tako podati posameznikom.

+Komuniciranje informacij o zasebnosti (privoljenja, obvestila o procesiranju)

Zelo verjetno boste morali preveriti tudi način kako zahtevate, pridobite in shranite privolitev posameznika; privoljenje posameznikov za obdelavo njihovih osebnih podatkov mora biti enostavno tako za privoljenje kot za preklic , zajemati mora tudi razumljivo privolitev za obdelavo podatkov, prikrivanje in predhodno označena izbirna polja ne pomenita privolitve.

GDPR zagotavlja posebne pravice pri obdelavi osebnih podatkov otrok, še posebno pri odnosu s komercialnimi spletnimi storitvami kot je npr. socialno mreženje.

Zaradi tega bi morali razmisliti o robustnih mehanizmih za preverjanje starosti posameznikov in pridobitvi privoljenja od staršev oz. skrbnikov za obdelavo podatkov.

GDPR bo povečal obseg obvestil, ki jih boste dolžni posredovati posameznikom , npr. vašo pravno osnovo za obdelavo njihovih podatkov, čas hranjenja podatkov in njihovo pravico do pritožbo pri ustreznem državnem organu, če smatrajo, da z njihovimi podatki ravnate neodgovorno; GDPR zahteva, da te informacije posredujete na jasen in razumljiv način.

+Varnost podatkov (integriteta in zaupnost)

Zakonodaja GDPR ohranja varnostna načela iz obstoječe uredbe, med drugim: pravičnost, zakonitost in transparentnost; sorazmernost; kvaliteto podatkov, varnost, integriteto in zaupnost.

Zagotoviti morate, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo varnost, vključno z zaščito pred neavtorizirano ali nezakonito obdelavo in zaščito pred nenamerno izgubo, uničenjem ali poškodovanjem podatkov: “Upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje.”

Regulativa predlaga številne varnostne ukrepe, ki jih lahko upoštevate, da zagotovite varnost podatkov, vključno s psevdonimizacijo in šifriranjem osebnih podatkov; možnost zagotavljanja zaupanja, integritete, razpoložljivosti in odpornosti sistemov in storitev pri obdelavi osebnih podatkov; možnost obnovitve ter ponoven dostop do osebnih podatkov v sprejemljivem času v primerih fizičnih ali tehničnih incidentov; proces za redna testiranja, ocene in evalvacije učinkovitosti tehničnih in organizacijskih ukrepov pri zagotavljanju varnosti obdelave osebnih podatkov.

GDPR enkripcijo specificira kot eno od pristopov, ki lahko zagotovi združljivost z nekaterimi obvezami regulative. Nekaj navedb:

Člen 32 – Varnost obdelave

“1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavcem in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno: (a) psevdonimizacijo in šifriranjem osebnih podatkov […]”

Člen 34 – Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

“3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev: (a) upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje […]”

+Dokumentiranje, zakonska osnova in revizija

Imeti morate zabeleženo katere osebne podatke hranite, od kje so prišli in s kom jih delite.

Če imate netočne osebne podatke in jih delite z drugo organizacijo, zakonodaja GDPR predvideva, da tej organizaciji sporočite o netočnostih v podatkih, da lahko popravijo podatke v svojih zapisih. Da bi to lahko storili, bo morda potrebno opraviti revizijo informacijskih podatkov preko celotne organizacije ali samo po posameznih področjih. S tem boste tudi bolj skladni z GDPR načelom odgovornosti.

GDPR zahteva, da natančno preverite kako se v vašem podjetju osebni podatki procesirajo in identifikacijo zakonske osnove na podlagi katere izvršujete te procese.

To je potrebno, ker bodo lahko pravice posameznikov z odredbo GDPR spremenjene v odvisnosti od pravne osnove za procesiranje njihovih osebnih podatkov. Takšen primer so osebe, ki bodo imeli večjo pravico do brisanja podatkov, ko je njihovo strinjanje vaša pravna osnova za obdelavo. Strinjanje pa je le eden od različnih načinov za legitimizacijo obdelave in mogoče niti ni najboljši (osebe lahko strinjanje prekličejo).

Informacije, ki so predstavljene na tej spletni strani ne predstavljajo pravnega mnenja, uporabniki naj se ne zanašajo na njihovo točnost pri sprejemanju finančnih ali poslovnih odločitev. Podjetji ESET ali SI SPLET ne bosta odgovarjali za morebiten rezultat takšnih odločitev. Vedno poiščite neodvisno pravno mnenje.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Enkripcija kot rešitev

Kaj je enkripcija?

Enkripcija je proces šifriranja informacij na način, ki onemogoča neavtoriziran dostop oz. branje teh informacij.

Dolžina ključa in moč enkripcije

Moč enkripcije je pogosto enačen z dolžino ključa in vrsto uporabljenega enkripcijskega algoritma. Če želite zlomiti enkripcijo je najenostavnejši način ta, da poskusite vse možne ključe. Ta postopek je znan kot napad s surovo močjo (angl. brute-force attack), zaradi daljših ključev pa je ta postopek postal neučinkovit.

Za ugibanje 128-bitnega AES ključa s surovo močjo bi moralo 7 milijard ljudi po vsem svetu preveriti po 1 milijardo ključev na sekundo. V tem primeru bi vse možne ključe preverili šele po 1,5 trilijonu let.

Napadalci zato najpogosteje ne poskušajo z vzvratnim inženiringom algoritma (angl. reverse-engineer) ali z ugibanjem ključa s pomočjo surove moči. Namesto tega iščejo varnostne luknje v programski opremi za šifriranje ali pa sisteme okužijo z zlonamerno programsko opremo, ki zajema gesla ter ključe, ki jih uporabnik vpisuje.

Da bi to tveganje zmanjšali, uporabljajte neodvisno enkripcijsko rešitev in napredno programsko opremo za zaznavo škodljivih programov.

Kako deluje?

Enkripcija je najpogosteje uveljavljena na dva različna načina:

Enkripcija nosilca podatkov – ‘data at rest’ – najpogosteje se uporabi za enkripcijo celih diskov, pogonov ali naprav.

Ta vrsta enkripcije je efektivna takrat, ko je sistem zaustavljen, pogon odklopljen ali pa je ključ za enkripcijo blokiran.

Enkriptana vsebina granularna enkripcija – najpogosteje pomeni šifriranje datotek ali teksta na nivoju programske opreme

Ta način se najpogosteje uporablja pri enkripciji elektronske pošte, ko mora biti format sporočila nedotaknjen, zato da ga e-poštni klient lahko ustrezno obdela, vsebina sporočila in priponke pa so šifrirani.

eset data encryption example

Kaj lahko pričakujem od enkripcije?

Dolžina ključev in različne možnosti programske opreme so pomembni faktorji, ne povedo pa nič o tem kako se bo rešitev obnesla iz stališča uporabnika ali skrbnika.

FIPS - 140 validacija

Najširše sprejeta neodvisna validacija je standard FIPS-140. Če rešitev za šifriranje zagotavlja validacijo FIPS-140, potem zagotavlja več varnosti kot jo zahteva GDPR ali druge podobne regulative.

Enostavna uporaba za netehnične uporabnike

Vaši zaposleni se bodo pogosto znašli v situacijah, ko se bodo morali odločiti, če bodo šifrirali dokument, e-sporočilo itn. Ključnega pomena je, da lahko uporabijo obstoječo programsko opremo, ki ji zaupajo in so prepričani v to, da bodo podatki po šifriranju zanje in za avtorizirane prejemnike še vedno uporabni.

Oddaljeno upravljanje s ključi, nastavitvami in pravili

Svojim sodelavcem lahko olajšate varnostne odločitve s tem, da enkripcijo uveljavite povsod, toda ta ukrep lahko omeji legitimne poslovne procese in zavira produktivnost. Oddaljen nadzor naše rešitve omogoča spreminjanje enkripcijskih ključev, funkcionalnosti in varnostnih pravil za oddaljene uporabnike, ki najpogosteje predstavljajo največje varnostno tveganje. To pomeni, da lahko s privzetimi nastavitvami uveljavljate strožjo enkripcijo, ne da bi pri tem omejevali poslovne procese v podjetju.

Upravljanje z enkripcijskimi ključi

Eden od večjih uporabniških izzivov je deljenje šifriranih informacij. Obstajate dve tradicionalni metodi:

Skupna gesla, ki so pogosta enostavna zaradi lažjega pomnjenja ali pa dolga in nemogoča za pomnjenje in nekje zapisana ali pozabljena.

Enkripcija z javnim ključem, ki se obnese v manjših delovnih skupinah, slabše pa se obnese v večjih ali bolj dinamičnih ekipah v katerih se spreminjajo člani.

Z uporabo orodja za centralizirano oddaljeno upravljanje in deljenje enkripcijskih ključev se tem težavam izognete. Uporabnikom lahko koncept šifriranja razložite s preprosto analogijo – enkripcijski ključ lahko primerjajo s ključem, ki ga uporabljajo za zaklep hiše, stanovanja ali avtomobila. Sistem zagotavlja optimalno razmerje med varnostjo in uporabnostjo.

Brezplačen preizkus enkripcije DESlock

Enostavno izpolnite spodnja polja, zagotovili vam bomo preizkusno različico s katero se boste lahko prepričali v prednosti naše rešitve za enkripcijo.

Kako lahko pomaga ESET

Naša rešitev:
DESlock Encryption by ESET

Enkripcija osebnih podatkov na vaših sistemih bo zadostila številnim zahtevam GDPR. ESET-ova rešitev je zmogljiva in enostavna za namestitev. Varno lahko šifrira trde diske, izmenljive medije, datoteke in elektronsko pošto.

Enkripcija DESlock izpolnjuje obveznosti do zagotavljanja varnosti podatkov s politiko šifriranja, ki jo lahko enostavno uveljavljate na delovnih postajah. Rešitev ne bo obremenjevala vašega IT oddelka, implementirali jo boste hitro – prav zaradi fleksibilnosti in enostavnosti uporabe je DESlock najboljša rešitev na trgu.

Upravljanje rešitve na strani klienta zahteva minimalno uporabnikovo interakcijo in zagotavlja varnost podatkov z enim samim namestitvenim paketom MSI. Strežniška stran omogoča enostavno upravljanje uporabnikov ter delovnih postaj in razširi zaščito podatkov tudi izven vašega poslovnega omrežja.

Kaj nudi enkripcija DESlock

Enostavna in zmogljiva enkripcija za podjetja vseh velikosti varno šifrira datoteke na trdih diskih, izmenljivih napravah in v poslani e-pošti

Certifikacija: FIPS 140-2 Validated 256 bit AES enkripcija za garantirano varnost

Strežnik za upravljanje v hibridnem oblaku za poln oddaljen nadzor enkripcijskih ključev in varnostnih pravil

Podpora za Microsoft® Windows® 10, 8, 8.1 vključno z UEFI in GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algoritmi in standardi: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – prednosti

Polno šifriranje diskov
Hitra in transparentna varnost pred zagonom sistema

Šifriranje izmenljivih medijev
Enkripcija podatkov na izmenljivih medijih glede na pravila

Vtičnik Outlook za e-pošto in priponke
Enostavno pošiljanje in prejemanje šifriranih sporočil in priponk z Outlookom

Virtualni pogoni in šifrirani arhivi
Ustvarite varen, šifriran pogon na svojem računalniku ali na drugi lokaciji ali šifrirano kopijo celotne mape in datotek v njej

Šifriranje datotek in map
Hitro in transparentno, zagotavlja dodaten sloj varnosti

Šifriranje teksta in odložišča
Šifrirajte celo okno ali le del okna s tekstom – v spletnih brskalnikih, v poljih baze podatkov ali spletni e-pošti

Centralizirano upravljanje
Poln nadzor nad licenciranjem in možnostmi programske opreme, varnostnimi pravili in šifrirnimi ključi

DESlock+ Go prenosno šifriranje
Enostavno za uporabo na napravah brez programske opreme za šifriranje

Preizkusite enkripcijo DESlock brezplačno

Enostavno izpolnite spodnja polja, zagotovili vam bomo preizkusno različico s katero se boste lahko prepričali v prednosti naše rešitve za enkripcijo.

Zaradi zagotavljanja najboljše možne uporabniške izkušnje uporabljamo piškotke. Več informacij.

V redu