Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Foto: Fotolia

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme. Gotovo da nema vendora koji GDPR svojim distributerima i integratorima nije predstavio kao koku koja nosi zlatna jaja. Zato smo odlučili analizirati stvarne zahtjeve GDPR-a vezane uz enkripciju i pseudonimizaciju kao najčešće spominjane “obavezne“ elemente sigurnosti osobnih podataka neophodne za usklađivanje sa GDPR-om.

Enkripcija i pseudonimizacija su dobri, ali ne i obavezni

Pojam enkripcije se u Uredbi spominje četiri puta. U točci 83 uvodnog dijela, te članku 6, 32, i 34. Pseudonimizacija se spominje puno češće; čak 15 puta, i to u točkama 26, 28, 29, 78,85 i 156 uvodnog dijela, te člancima 4, 6, 25, 32, 40 i 89. Ni jedna ni druga metoda se nigdje ne navode kao obavezne, pa čak niti kao preporučene. Iako je primjena obje ove metode bez ikakve sumnje dobra praksa, one se u gotovo u svim slučajevima navode kao primjeri mogućeg pristupa zaštiti osobnih podataka, što i jesu. Točka 83 uvodnog dijela tako navodi ”…voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi…“

Neki će reći da članak 26 koji definira zakonitost obrade zahtijeva implementaciju enkripcije i pseudonimizacije, no kao ni nigdje drugdje, GDPR ni ovdje to ne traži. Ono što se traži je ”…postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.“. Cijela ideja GDPR-a se vrti oko učinkovitog upravljanja rizikom, temeljenog na procjeni učinka zaštite osobnih podataka koja je za razliku od pseudonimizacije i enkripcije i te kako obavezna, pa je cijeli odjeljak 3. Uredbe posvećen upravo njoj, a čak je Article 29 Working Party izdala posebni dokument “Guidelines on Data Protection Impact Assessment (DPIA)”. Pokaže li procjena rizika da postojeće mjere zaštite podataka nisu odgovarajuće, odabrat ćete mjere čiji će trošak i kompleksnost implemetacije i održavanja odgovarati riziku kojem su osobni podaci izloženi. Rizik ćete izračunati uzimajući u obzir utjecaj na pojedinca koji ćete gledati kroz količinu i osjetljivost podataka, te vjerojatnost nastanka incidenta. Za njen ćete izračun u obzir uzeti postojeće prijetnje i ranjivosti vašeg sustava zaštite, kao i povijesne podatke. Tada ćete odabrati zaštitne mjere s kojima ćete postići odgovarajuću razinu sigurnosti uz prihvatljiv trošak. Ako to nije moguće, uvijek se možete obratiti za savjet regulatoru, a tako uostalom i piše u članku 36. Uredbe. Kod tvrtki koje upravljaju velikim količinama osobnih podataka, pogotovo onih koje se snažno oslanjaju na komercijalna data warehouse i BI rješenja pseudonimizacija i enkripcija mogle bi biti pravo rješenje. Ovo pogotovo vrijedi za one koji su usvojili DevSecOps principe i snažno automatizirali procese razvoja, testiranja i puštanja novih sustava u rad koji će se vjerojatno opredijeliti za izradu vlastitih rješenja za pseudonimizaciju ili enkripciju. Ostali će s punim pravom odabrati neki drugi način zaštite osobnih podataka, primjeren njihovim potrebama i mogućnostima.

Još iz kategorije

Život poslije izolacije: Uredski poslovi više neće biti isti

Život poslije izolacije: Uredski poslovi više neće biti isti

27.05.2020. komentiraj

Pandemija koronavirusa zatvorila je u jednom trenutku više od polovice stanovništva u njihove domove pa samim time i primorala organizacije da zaposlenima omogući rad od kuće.

5G uređaji stižu, no ima li za njih mreža?

5G uređaji stižu, no ima li za njih mreža?

25.05.2020. komentiraj

Koronavirus se pokazao opasnijim no što se isprva mislilo i dočekao cijeli svijet na “krivoj nozi” te doslovno zatvorio kompletne države. A među njima su tri iznimno moćne kad se radi o mobilnim mrežama pete generacije (5G) - Kina, Južna Koreja i Sjedinjene Američke Države.

Big Data - veliki utjecaj za malo i srednje poduzetništvo

Big Data - veliki utjecaj za malo i srednje poduzetništvo

22.05.2020. komentiraj

Nisu samo veliki igrači ti koji mogu imati koristi od naizgled beskrajnog Big Data potencijala. Male i srednje tvrtke trebale bi biti jednako svjesne snage svojih podataka. Međutim, u praksi veliki broj malih i srednjih tvrtki uopće ne koristi svoje podatke. Profesor Axel Polleres, akademski direktor sekcije Professional MBA Digital Transformation & Data Science na WU Executive Academy, predstavio je kako male i srednje tvrtke mogu koristiti Big Data u svoju korist čak i bez velikog proračuna i posebnog odjela.