Jedan od najvećih izazova u primeni novog pravnog okvira za zaštitu podataka o ličnosti sasvim sigurno jeste njihova bezbednost

Bezbednost obrade podataka utkana je u jedno od osnovnih načela GDPR-a, kojim je predviđeno da se podaci moraju obrađivati na način koji obezbeđuje zaštitu primenom odgovarajućih tehničkih i organizacionih mera, bez da je konkretizovano koje mere se smatraju odgovarajućim.

Evropski zakonodavac zauzeo je pristup po kojem bi rukovalac trebalo da primeni mere koje su adekvatne u odnosu na procenjeni rizik, što istovremeno znači da ne postoje savršene mere koje bi mogle biti primenjive na sve organizacije. Međutim, ocena nivoa rizika i pronalaženje odgovarajućih mera umeju da budu prilično komplikovani zadaci i mogu da vode do nesigurnosti kod kompanija koje žele da usaglase poslovanje. Stoga je potrebno pristupiti im uz saradnju i sagledavanje potencijalnih problema iz ugla više sektora i funkcija u kompaniji. Neke od smernica za primenu dobrih praksi mogle bi biti mere i kontrole koje su predviđene u standardu ISO 27001, CSA’s Consensus Assessments Initiative Questionnaire i u drugim sličnim okvirima.

Data Privacy Benchmark Study, istraživanje koje je objavio Cisco, a u kojem se nalaze podaci prikupljeni od više od 3.200 stručnjaka iz oblasti bezbednosti u 18 država, pokazuje da su bezbednost (42% ispitanika) i obuka i podizanje svesti zaposlenih o značaju zaštite podataka (35% ispitanika) prepoznati kao oblasti gde je najteže dostići GDPR standarde, a sigurnosni propusti mogu da se dese i najvećim organizacijama.

Primer kompanije British Airways

Avgusta 2018. kompanija British Airways našla se na meti hakerskog napada koji je ciljao na web stranicu i mobilnu aplikaciju ove avio-kompanije i koji je doveo do gubitka podataka za oko 500.000 lica koja su tim putevima vršila plaćanja. Tokom 15 dana napada kompromitovani su osnovni lični podaci putnika i detalji plaćanja, uključujući brojeve kartica i CVV brojeve.

Po navodima stručnjaka, napad je izveden tako što su izmenjene 22 linije koda koje su podatke putnika koji se odnose na plaćanja preusmeravale na web stranicu koja nije bila pod kontrolom avio-kompanije. Za to je iskorišćena ranjivost Modernizr-a, Javascript biblioteke koju su koristile i web stranica i mobilna aplikacija kompanije British Airways. Skripta koju je koristila kompanija nije bila ažurirana od 2012. godine, dugo nakon što su slabosti Modernizr-a postale poznate.

Kancelarija poverenika za informacije u Velikoj Britaniji je za ovaj proboj sigurnosti i curenje podataka najavila kaznu u iznosu od 183 miliona funti, što bi, ukoliko kompanija zaista bude morala da plati najavljeni iznos, bila najviša izrečena kazna otkad je GDPR u primeni. Najavljena kazna predstavlja 1,5% prometa kompanije u godini koja prethodi napadu (2017) i dobra je najava pravca u kom će se, po svemu sudeći, primena regulative kretati, odnosno pokazatelj da je period u kom su organi nadležni za kontrolu bili blagi u oceni usaglašenosti i primeni kazni prošao.

Dosadašnja primena pokazuje i da je neprimeren način po kom bi se interna ocena usaglašenosti sa GDPR-om od strane kompanija shvatala kao skup pravila i procedura koje bi se primenjivale na papiru i „čekirale“ bez udubljivanja u stvarni sadržaj.

Kako je u Srbiji počeo da se primenjuje novi zakon o zaštiti podataka o ličnosti, potrebno je imati u vidu neophodnost usklađivanja. COMING vam tu može pomoći. COMING pruža uslugu usklađivanja koja je sveobuhvatna i prilagođena svakom pojedinačnom klijentu i njegovom

Višnja Crnogorac , COMING