Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Foto: Fotolia

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme. Gotovo da nema vendora koji GDPR svojim distributerima i integratorima nije predstavio kao koku koja nosi zlatna jaja. Zato smo odlučili analizirati stvarne zahtjeve GDPR-a vezane uz enkripciju i pseudonimizaciju kao najčešće spominjane “obavezne“ elemente sigurnosti osobnih podataka neophodne za usklađivanje sa GDPR-om.

Enkripcija i pseudonimizacija su dobri, ali ne i obavezni

Pojam enkripcije se u Uredbi spominje četiri puta. U točci 83 uvodnog dijela, te članku 6, 32, i 34. Pseudonimizacija se spominje puno češće; čak 15 puta, i to u točkama 26, 28, 29, 78,85 i 156 uvodnog dijela, te člancima 4, 6, 25, 32, 40 i 89. Ni jedna ni druga metoda se nigdje ne navode kao obavezne, pa čak niti kao preporučene. Iako je primjena obje ove metode bez ikakve sumnje dobra praksa, one se u gotovo u svim slučajevima navode kao primjeri mogućeg pristupa zaštiti osobnih podataka, što i jesu. Točka 83 uvodnog dijela tako navodi ”…voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi…“

Neki će reći da članak 26 koji definira zakonitost obrade zahtijeva implementaciju enkripcije i pseudonimizacije, no kao ni nigdje drugdje, GDPR ni ovdje to ne traži. Ono što se traži je ”…postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.“. Cijela ideja GDPR-a se vrti oko učinkovitog upravljanja rizikom, temeljenog na procjeni učinka zaštite osobnih podataka koja je za razliku od pseudonimizacije i enkripcije i te kako obavezna, pa je cijeli odjeljak 3. Uredbe posvećen upravo njoj, a čak je Article 29 Working Party izdala posebni dokument “Guidelines on Data Protection Impact Assessment (DPIA)”. Pokaže li procjena rizika da postojeće mjere zaštite podataka nisu odgovarajuće, odabrat ćete mjere čiji će trošak i kompleksnost implemetacije i održavanja odgovarati riziku kojem su osobni podaci izloženi. Rizik ćete izračunati uzimajući u obzir utjecaj na pojedinca koji ćete gledati kroz količinu i osjetljivost podataka, te vjerojatnost nastanka incidenta. Za njen ćete izračun u obzir uzeti postojeće prijetnje i ranjivosti vašeg sustava zaštite, kao i povijesne podatke. Tada ćete odabrati zaštitne mjere s kojima ćete postići odgovarajuću razinu sigurnosti uz prihvatljiv trošak. Ako to nije moguće, uvijek se možete obratiti za savjet regulatoru, a tako uostalom i piše u članku 36. Uredbe. Kod tvrtki koje upravljaju velikim količinama osobnih podataka, pogotovo onih koje se snažno oslanjaju na komercijalna data warehouse i BI rješenja pseudonimizacija i enkripcija mogle bi biti pravo rješenje. Ovo pogotovo vrijedi za one koji su usvojili DevSecOps principe i snažno automatizirali procese razvoja, testiranja i puštanja novih sustava u rad koji će se vjerojatno opredijeliti za izradu vlastitih rješenja za pseudonimizaciju ili enkripciju. Ostali će s punim pravom odabrati neki drugi način zaštite osobnih podataka, primjeren njihovim potrebama i mogućnostima.

Još iz kategorije

Uloga blockchaina u usklađivanju s GDPR-om

Uloga blockchaina u usklađivanju s GDPR-om

14.06.2018. komentiraj

Opća uredba o zaštiti osobnih podataka (GDPR) stigla je 25. svibnja na područje Europske unije i u prvim danima izazvala poneke probleme njenim obveznicima. No, to se smirilo i polako postaje jasnije koliko benefita dobivaju apsolutno svi transparentnijim baratanjem podacima korisnika. A ono bi trebalo biti olakšano uz blockchain tehnologiju.

INOVACIJA …  i utjecaj poslovnih anđela

INOVACIJA … i utjecaj poslovnih anđela

13.06.2018. komentiraj

U prethodnoj smo kolumni u svezi poslovnih anđela odgovorili na pitanja ŠTO?, ZAŠTO? i KAKO? , pa ponovimo: ŠTO su poslovni anđeli: ljudi koji vlastite vrijednosti (ne samo novac!) ulažu u tuđe poslovne poduhvate, najčešće u početnoj fazi; ZAŠTO to rade: jer nedostaje institucionalne potpore u počecima poslovnih napora pojedinaca; KAKO to oni rade: svoj novac i druge vrijednosti objavljuju na mreži poslovnih anđela, gdje „potražna“ strana objavljuje svoje potrebe.

GDPR za 13k kn

GDPR za 13k kn

12.06.2018. komentiraj

Upravo je nevjerojatno koliko pomutnje je GDPR izazvao u javnosti.  Svi smo svjedočili nebrojenim mailovima u kojima su nas tvrtke za koje jesmo i nismo čuli obavještavali da imaju naše kontakt podatke, te će ih morati obrisati u slučaju da ne dozvolimo njihovo daljnje korištenje za slanje maila. Kako to mislite? Ako nemate našu privolu da nas kontaktirate mailom, temeljem čega ste nam uopće poslali mail u kojem nas upravo takvu privolu tražite?!