PROVOĐENJE MJERA SIGURNOSTI ZA OBRADU LIČNIH PODATAKA

Pošalji dokument na e-mail

E-mail pošiljaoca (*):
E-mail primaoca (*):
Komentar:


PROVOĐENJE MJERA SIGURNOSTI ZA OBRADU LIČNIH PODATAKA

(član 34. ili član 85.)

 

Preduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade ličnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja ličnim podacima kao i tehničkoj opremi kojom se koriste kontrolori podataka i obrađivači. 

Provođenjem odgovarajućih mjera zaštite osigurava se da lični podaci nisu automatski dostupni neograničenom broju lica koja nisu ovlaštena za njihovu obradu.

U vrijeme određivanja sredstava obrade i u vrijeme same obrade obaveza je svakog kontrolora podataka da odredi mjere zaštite koje pružaju sigurnu, pravičnu i zakonitu obradu ličnih podataka te  primjenu načela zaštite podataka (posebno uzimajući u obzir neophodnost obrade podataka za svaku posebnu svrhu, smanjenje obima prikupljanih podataka kao i obima podataka prilikom obrade, ograničavanje rokova čuvanja podataka, njihovu dostupnost i dr.)

 U cilju olakšavanja propisivanja odgovarajućih mjera, potrebno je donijeti interne akte, kojima se propisuju mjere na koji način se uređuje područje zaštite ličnih podataka.

                      ❄ Organizacijske mjere zaštite ličnih podataka

Organizacijske mjere zaštite se odnose na interne akte odnosno dokumente kojima se propisuju mjere, odnosno uređuje područje zaštite ličnih podataka.

 
                     Primjeri internih akata:

 Akt (Pravila) o informacijskoj sigurnosti, kojim se propisuju tehničke mjere zaštite ličnih podataka od neovlaštenog pristupa.

Dokumenti kojima se opisuju organizacijske mjere koje trebaju biti preduzete, počev od opisa objekata kontrolora podataka i njegovog osiguranja; pristupa pojedinim dijelovima objekta do određivanja samih prostorija u kojima se vrši obrada ličnih podataka; način pristupa tim prostorijama ( ključevi, kartice); koji zaposleni imaju pravo ulaska u prostorije; ukoliko su lični podaci sadržani u dokumentima; zaštita podataka pohranjenih u dokumentima; fizička zaštita od nedozvoljenog pristupa: opisati kako se postupa sa istim gdje se odlažu i ko je odgovoran za njihovo fizičko odlaganje nakon završetka dnevnih zadataka; kod određivanja prava na pristup podacima neophodno je navesti radno mjesto zaposlenog te njegovo ime i prezime: kod automatiziranih sistema obrade ličnih podataka odrediti uvođenje zapisivanja koji automatski, prilikom pristupa sistemu, bilježi uvid u izmjenu, prijenos, kombinovanje, brisanje, te po mogućnosti i identitet lica koje je to izvršilo, kao i primaoca ličnih podataka ako je izvršen prijenos.

U ugovornim klauzulama unutar ugovora o radu mogu biti definisane obrade koje će zaposlenik obrađivati i koja prava će imati za obradu tih baza podataka.

U ugovornim klauzulama u ugovoru o poslovnoj saradnji između više kontrolora podataka definišu se zbirke ličnih podataka (evidencije) koje su predmet ugovora, prava i obaveze svake od ugovornih strana vezano za obradu ličnih podataka, koje tehničke mjere zaštite svaka od strana preduzima kako bi se zaštitili sistemi čuvanja (baze) podataka.

Izjavom o povjerljivosti zaposlenik kontrolora podataka ili njegov vanjski saradnik daje pismenu izjavu da će lične podatke obrađivati u skladu sa zakonskim odredbama o zaštiti ličnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih otkriti neovlaštenim trećim stranama.

Zakon posebno ne propisuje potpisivanje izjave o povjerljivosti zaposlenih koji obrađuju lične podatke. Međutim, povjerljivost kao i odgovornost onih koji imaju pristup ličnim podacima je propisana u članu 34. stav (4) Zakona.

 PREPORUKA Agencije je da se ista koristi kao jedna od organizacijskih mjera zaštite kontrolora podataka /obrađivača uzimajući u obzir odredbe o sigurnosti obrade (članovi 27. i 34. ili 85).

 VAŽNO!

 Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka i ako kod svih zaposlenika nije postignuta svijest o važnosti informacijske sigurnosti i odgovornosti o zaštiti podataka sve ostale preporuke i propisane mjere zaštite neće imati puno značaja.

Stoga je od izuzetne važnosti da svi zaposlenici, bez obzira na radno mjesto („od direktora do pomoćno-tehničkog osoblja”), budu svjesni:

  • koje sve lične i poslovne podatke obrađuju u svom svakodnevnom radu
  • kojim kategorijama ličnih podataka ti podaci pripadaju,
  • gdje se nalaze,
  • koji su potencijalni rizici od krađe, zloupotrebe i gubitka tih podataka,
  • pomoću kojih zaštitnih mjera ih mogu zaštititi,
  • koje su posljedice krađe, zloupotrebe i gubitka tih podataka,
  • da je potrebno svakodnevno se pridržavati propisanih i preporučenih mjera zaštite.

                        ❄ Tehničke mjere zaštite ličnih podataka

Odnose se na zaštitne mjere koje se postavljaju na opremu/sredstva.

Najčešća mjera tehničke zaštite je lozinka. Lozinka se koristi kao mjera zaštite od neovlaštenog pristupa:

  • na radnoj opremi (računara, pametni telefoni, tablet računara, kopir aparati i pisači, Internet usmjerivači..)
  • u računarskim programima (programi koje koristite u poslovne svrhe, a koji obrađuju lične podatke)
  • u elektronskoj pošti
  • u datotekama sa podacima (baze podataka, Excel tablice, Word dokumenti i drugi dokumenti u kojima su sadržani lični podaci)

Za kreiranje lozinki na Internetu postoje generatori lozinki koji ih kreiraju na osnovu zadatih postavki od čega se sve treba sastojati lozinka.

Tako generisane lozinke koje su nasumičan niz slova, brojeva i simbola je teško pamtiti. Stoga se možete pribjeći triku da se za generisanje lozinke odabere neka zaposleniku poznata fraza ili citat. Zatim svojom logikom doda simbole, a neka slova zamijeni brojevima ili simbolima (npr. iz fraze „Trava je zelena” može nastati lozinka %Trava90 PY90N!). Takvu lozinku je puno lakše zapamtiti nego nasumični niz slova, brojeva i simbola.

Za svaku posebnu prijavu u uređaj, program ili datoteku treba koristiti posebnu lozinku. Kako  ne bi pamtili  sve te lozinke postoje programi koji na siguran način pamte lozinke (tzv. Password Manager). 

Mjere tehničke zaštite su:

Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici sa poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.

Redovna nadogradnja operativnog sistema i računarskih programa

Postavljanje antivirusnog programa na uređaje

Sigurnosne kopije podataka (Backup)

Postavljanje zaštitnog zida (firewall-a)

Zaštita pristupa mrežnoj infrastrukturi

Kriptovanje podataka i prenosnih uređaja  na način da se u programima i bazama podataka lični podaci pseudonimiziraju, a prostor za čuvanje na prenosnim uređajima kriptuje. 

Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa

Zaštita pristupa podacima sa udaljenih lokacija od neovlaštenog pristupa

Pristup opremi i programima putem kartica s čipom. 

VAŽNO! Za organizacijske i tehničke mjere

-       Dokumentaciju u papirnatom obliku koja sadrži lične podatke kontrolor podataka dužan je čuvati, npr. u ormarima ili ladicama pod ključem koji će biti pod nadzorom ovlaštenih lica kontrolora podataka.

-       pristup ličnim podacima pohranjenim u elektronskom obliku trebao bi biti omogućen upotrebom korisničkog imena i lozinke

-       izrada sigurnosnih kopija od strane ovlaštenih lica

-       potpisivanje izjava o povjerljivosti lica koje su u obradi ličnih podataka

-       pseudonimizacija ili enkripcija ličnih podataka, posebno ako se radi o posebnim kategorijama (npr: podaci o zdravlju) zapisivanje pristupa podacima

 Obrazac izjave o povjerljivosti, koji mogu koristiti kontrolori podataka /obrađivači, može se preuzeti ovdje.