INTERVJU: Privacy Inspector kao pomoć u upravljanju osobnim podacima

INTERVJU: Privacy Inspector kao pomoć u upravljanju osobnim podacima
Dražen Tomić / Tomich Productions

Zagrebačka tvrtka Ostendo Consulting prije jedva mjesec dana tržištu je predstavila uređaj i usluge pod nazivom Privacy Inspector, o čemu smo razgovarali sa Stankom Cerinom direktorom OStendo Consultinga. Za razliku od drugih sličnih rješenja koja se diče sposobnošću učenja, ovo rješenje je pametno čim ga uključite, ističe Cerin i dodaje kako s njime ciljaju i hrvatsko i regionalno tržište.

I nakon godinu dana od početka primjene mnogo  e govori o GDPR-u odnosno zaštiti osobnih podataka. Kakvo je danas stanje?

Možda se mnogo govori, ali se malo radi. Da je tome tako, najbolje pokazuje statistika kažnjavanja prema kojoj se u 2019. mjesečno propisuje oko 5 puta više kazni nego u 2018. Iz ove statistike se lijepo vidi koji su najčešći razlozi za propisivanje velikih kazni, pa organizacije znaju na što se treba fokusirati žele li ih izbjeći. Isto tako, otklonjene su i sve sumnje u visinu kazni jer najveće do sada propisane GDPR kazne veće su od 200 milijuna eura. Pametni uče na tuđim greškama, a budale na svojima. Osobne podatke moramo zaštititi i obrađivati transparentno. Organizacije koje dožive masovne povrede zaštite osobnih podataka, a to su one koje ih ne štite (adekvatno), suočavaju se s posljedicama koje su im do prije samo koju godinu bile nezamislive.

Usklađivanje sa GDPR je zapravo uspostava procesa upravljanjem i zaštitom osobnih podataka. Većina onih najvećih GDPR kazni napisano je radi neadekvatnih mjera zaštite („Insufficient technical and organisational measures to ensure information security“).

U praksi, smo identificirali dvije glavne kategorije prekršitelja prava na zaštitu osobnih podataka. One koji ne mare za zaštitu osobnih podataka, i one koji ne znaju koje sve osobne podatke imaju i gdje ih drže.

Krši li se GDPR?

Još uvijek srećemo uprave koje GDPR gledaju kao administrativno breme koje je tu samo kako bi im otežalo poslovanje. One u pravilu uopće ne razumiju niti žele razumjeti smisao zaštite osobnih podataka. Fokusiraju se isključivo na pravnu zaštitu, ali istovremeno ne prate pravnu praksu. Nisu svjesne da ih u slučaju narušavanja sigurnosti osobnih podataka njihov odvjetnik neće spasiti kazne koja često više stotina puta nadmašuje trošak dobre zaštite podataka. Oni su u pravilu jako sigurni u svoju odluku. Samouvjereno tvrde da znaju gdje su im osobni podaci, da ih obrađuju u skladu sa zakonom i adekvatno štite. To je guranje glave u pijesak. Ovakvim će se organizacijama prije ili kasnije baviti AZOP i druga nadležna tijela.

Mi smo tu da pomognemo onima koji stvarno žele zaštititi i etički obrađivati osobne podatke. Bavimo se izazovima s kojima se suočavaju, nazovimo ih tako, dobre organizacije. Njihove su uprave svjesne veze između poslovnog uspjeha, društvene odgovornosti i odnosa prema podacima svojih klijenta, radnika i  poslovnih partnera. Povlače ozbiljne korake kako bi osigurali transparentnu, sigurnu i etičku obradu osobnih podataka.

Koji su ključni problemi s kojim se susrećete u praksi?

Ako ne znamo da imamo osobne podatke, ne možemo ni štititi, niti možemo biti transparentni oko njihove obrade. Identifikacija osobnih podataka za većinu je organizacija nepremostiv korak. To je definitivno najveći problem s kojima se susreće svaka organizacija koja želi upravljati podacima uopće. Podaci se nalaze po bazama podataka, raznim elektroničkim dokumentima, mailovima, fotografijama, audio i video zapisima... Rijetko tko prilikom kopiranja excel tablice ili slanja maila razmišlja o tome da je tako stvorio novu kopiju podataka koju također treba štititi. Kojeg smisla ima kriptirati bazu povjerljivih podataka, ako se izvještaji kreirani iz te baze nekontrolirano kopiraju i razmjenjuju ili programeri iste te baze kopiraju i potpuno nezaštićeno koriste za potrebe razvoja?

Zašto Privacy Inspector? Čemu služi i što je on uopće?

Privacy Inspector je odgovor Ostendo Consultinga na izazove uvođenja reda u upravljanje osobnim podacima. Njegova je svrha suočiti organizaciju s realnošću - transparentno prikazati stvarne količine i lokacije osobnih podataka pohranjenih u IT sustavima, pomoći u zaštiti tih podataka, identifikaciji zakonski prihvatljive osnove za njihovu obradu, te uništavanju podataka za čije čuvanje takva osnova ne postoji.

Sam uređaj dizajniran je kako bi maksimalno pojednostavio posao integracije sa kompleksnim IT sustavima i omogućio brzu identifikaciju pohranjenih osobnih podataka - ispod 'haube', radi se o skeneru koji pretražuje IT sustave, identificira i katalogizira osobne podatke. Uređaj je baziran na provjerenom rješenju Enterprise Recon tvrtke Groundlabs, a posebno je prilagođen za prepoznavanje osobnih podataka Hrvatskih građana kao i građana susjednih zemalja.

Privacy Inspector je ujedno i usluga Ostendo Consultinga koja uključuje poslove identifikacije osobnih podataka, razloga i zakonskih osnova za njihovu obradu, analizu rizika i adekvatnosti zaštitnih mjera, te poslove minimizacije (kontroliranog uništavanja osobnih podataka za čiju pohranu ne postoji zakonski prihvatljiva osnova).

U kojim je industrijama i s kojim rješenjima primjenjiv?

Privacy Inspector automatski prepoznaje standardne osobne podatke koji se koriste na nacionalnoj razini poput regionalno korištenih imena, prezimena, identifikacijskih brojeva (OIB, broj zdravstvenog osiguranja, osobne iskaznice...), brojeva telefona, kreditnih kartica, bankovnih računa i sl. Za industrije ili organizacije koje se služe specifičnim formatima podataka, moguće je definirati dodatna pravila pretraživanja. Dakle, primjenjiv je u svim industrijama.

Što se tiče mogućnosti pretraživanja, Privacy Inspector radi u stanju je pretraživati strukturirane i nestrukturirane podatke na Windows, MacOS, Linux, FreeBSD, Solaris, HPUX i AIX platformama. Uređaj je optimiziran za rad u produkcijskim okruženjima bez utjecaja na njihove performanse.

Pretražuje praktički sva mjesta gdje bi se podaci mogli naći uključujući i datoteke koje su u vrijeme skeniranja u upotrebi, privremene datoteke, obrisane datoteke pa čak i memoriju računala.

Bez problema pretražuje MS SQL, Oracle, IBM DB2, PostgreSQL, MySQL, IBM Informix, Teradata, Tibero, SAP Sybase baze podataka.

Osim u tekstualnom formatu, osobne podatke prepoznaje i u skeniranim dokumetima i fotografijama, pa čak i DTMF u audio datotekama.

Kome je Privacy Inspector namijenjen?

Imajući u vidu zakonske obaveze koje proizlaze iz GDPR-a, svaka organizacija mora uvesti reda u obrade osobnih podataka. Bez Privacy Inspectora, takvo što je u modernom IT okruženju praktički nemoguće. Ipak, Privacy Inspector uređaj i usluge su prvenstveno namijenjeni onima koji obrađuju veće količine osobnih podataka, a pogotovo ako se radi o podacima čijim bi narušavanjem sigurnosti mogla nastati značajnija šteta (npr. zdravstveni, financijski, podaci o putovanjima, smještaju i dr.).

Privacy Inspector će prvenstveno pomagati slijedećim funkcijama unutar i van organizacije:

Službenik za zaštitu podataka: identifikacija stvarno pohranjenih i obrađivanih osobnih podataka, ažuriranje evidencije aktivnosti obrada i usklađivanje obrada sa zakonskim zahtjevima, kontrola nad postupcima minimizacije, zaštita osobnih podataka, automatizirano ispunjavanje prava ispitanika na pristup informacijama, zaborav i zaštitu podataka.

Uprava: Transparentno i objektivno izvješćivanje uprave o stvarnoj razini usklađenosti obrada osobnih podataka sa zakonskom regulativom. Pružanje informacija potrebnih za razumijevanje stvarnog rizika kojem je organizacija izložena radi obrada koje provodi.

Službenik za informacijsku sigurnost (CISO): izvor informacija potrebnih za procjenu rizika zaštite osobnih podataka i donošenje odluka o implementaciji sigurnosnih mjera.

Revizija: Pružanje informacija potrebnih za određivanje plana interne revizije (risk based audit) i prikupljanje revizijskih dokaza.

AZOP i druga nadležna tijela: prikupljanje informacija i dokaza za potrebe provođenja inspekcijskog nadzora i forenzičkih analiza.

Na koji način Privacy Inspektor može pomoći u kvalitetnoj zaštiti osobnih podataka?

Privacy Inspector je savršeno oruđe za ispunjavanje GDPR zahtjeva jer se njegova primjena u potpunosti uklapa u  proces upravljanja osobnim podacima na način koji preporuča sam GDPR.  Današnje su organizacije izuzetno dinamične u donošenju odluka o obradama podataka. Odluke o izmjenama u ključnim poslovnim procesima donose se na dnevnoj razini, a odluke o postupanju s datotekama koje sadrže osobne podatke donose se kontinuirano. U takvom je okruženju nemoguće znati gdje se sve nalaze osobni podaci, kako i temeljem čega se obrađuju. Privacy Inspector pronalazi osobne podatke na IT sustavu te automatizira aktivnost minimizacije osobnih podataka, odnosno njihovog uništavanja kada za čuvanje ne postoji pravna osnova. Preostale podatke može automatski zaštititi naprednom enkripcijom, ali i primijeniti metode anonimizacije gdje je to potrebno.  Omogućava kontinuirani nadzor IT sustava i upozorava na pojave novih osobnih podataka kako bi se identificirao razlog njihova postojanja ili se iniciralo njihovo uništavanje.

Koliko to košta i kome se obratiti?

Cjenovnu politiku Privacy Inspectora učinili dostupnom svima koji obrađuju osobne podatke. Pored mogućnosti kupnje uređaja i dugoročnog ugovaranja usluga što je prvenstveno namijenjeno velikim organizacijama, Privacy Inspector je moguće i unajmiti za jednokratne projekte uvođenja reda.

Za sve dodatne informacije oko Privacy Inspectora, najma ili kupnje uređaja i vezanih usluga najbolje je obratiti nam se preko kontakt forme ili telefonom na +385 1 2830 218.