Blog

Ključni koraci za adresiranje GDPR-a prema Gemaltu

Opšta uredba o zaštiti podataka (General Data Protection Regulation – GDPR) predložena je od strane Evropske komisije kako bi osigurali jaču i objedinjenu zaštitu ličnih podataka unutar Evropske unije (EU), a adresira i korake zaštite ličnih podataka EU građana koji napuštaju infrastrukturu unutar EU.

Primarni cilj regulative je EU građanima osigurati pravo na privatnost i vratiti kontrolu nad svojim digitalnim osobnim podacima pomoću usklađenih propisa o zaštiti osobnih podataka na celom području EU-a, a krajnji rok za usklađenost je 2018/5/25.

Regulativa je osmišljena kako bi se definisala odgovornost za prikupljene privatne podatke, osigurala adekvatnu zaštitu takvih podataka i informisanje nadležnih institucija ako dođe do zloupotrebe i omogućilo pravo na zaborav podataka na zahtev vlasnika. Pod ličnim se smatraju svi privatni i poslovni podaci vezani za pojedinu osobu, od imena, fizičke i email adresa, fotografije, računa na online servisima, IP adrese računara pa do finansijskih i medicinskih informacija. Obzirom da uredba adresira sve kompanije koje posluju u okviru ili kompanije koje posluju sa kompanijama u EU članicama, implementacija metodologije o očuvanju privatnosti podataka će zahtevati znatne promene u poslovnoj praksi kod onih koji se do sada nisu fokusirali na brigu o zbirci ličnih podataka.

Mislite da se krađa podataka događa nekom drugom? Ako danas pogledate službene podatke o potvrđenim probojima u mreže u Europskoj Uniji, onda ste verovatno u pravu. Vrlo je mali broj incidenata koji su prijavljeni i potvrđeni. U odnosu na npr. Ameriku u kojoj vredi zakon o objavi svakog proboja, to trenutno nije unificirano na nivou Evropske Unije. No, upravo je to jedna od ključnih promena koju nam donosi, već sad popularan, GDPR: informisanost korisnika i podizanje zaštite njegovih ličnih podataka nad kojima nema kontrolu.

Smernice za usklađivanje zahtevaju tzv. “Privacy by Design and by Defualt” pristup tj. da bi bila uspešna, privatnost mora biti ugrađena u dizajn poslovnih procesa i arhitekture IT sastava. Jedino takvim pristupom možemo osigurati usklađenost s regulativom u svakom trenutku. Takođe, GDPR podstiče pseudonimizaciju ličnih podataka, proces obrade ličnih podataka tako da se lični podaci više ne mogu pripisati određenom ispitaniku bez upotrebe dodatnih informacija, pod uslovom da se takve dodatne informacije imaju odvojeno. Jedan primer pseudominizacije je kriptovanje podataka pri čemu je dodatna informacija ključ za dešifrovanje koji se može čuvati odvojeno od šifrovanih podataka.

Ako pogledate detaljnije Gemalto Breach Level Index, izvještaj koji kompanija Gemalto već četvrtu godinu za redom objavljuje, a gde se obrađuju svi poznati i potvrđeni proboji, primetićete da su od svih prijavljenih proboja u samo 4% slučajeva podaci bili kriptovani. U tom slučaju podaci nisu bili čitljivi jer je privatni ključ bio sigurno sačuvan i samim time takav proboj ne podleže obvezi prijave nadležnom telu.

Gemalto, kompanija koja se fokusira na zaštitu podataka putem enkripcije, u dokumentu The General Data Protection Regulation adresira ključne teme i korake i pojašnjava proizvode kojima odgovara na zahteve regulative.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter