(napisala Federica De Stefani, pravnica i voditeljica Aidr Regione Lombardia) Čujemo (sve češće) često govorimo o kršenju podataka i zahtjevu koji iz toga proizlazi, gotovo prirodno, tiče se mogućnosti da se to izbjegne ili, barem, da sadrži to.
Odgovor je, nažalost, negativan, nije moguće izbjeći kršenje podataka jer ne postoji "nulti rizik".
Svakako je moguće ograničiti mogućnosti da upadnete u "zamku" cyber incidenta, a moguće je i ograničiti posljedice koje iz toga proizlaze, ali to je druga stvar.
Da bismo razumjeli fenomen kršenja podataka, koji se često identificira isključivo s hakerskim napadom, potrebno je razumjeti o čemu se radi.
Šta je povreda podataka
Izraz "povreda podataka" označava povredu sigurnosti koja uključuje - slučajno ili nezakonito - uništavanje, gubitak, izmjenu, neovlašteno otkrivanje ili pristup ličnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju.
Kao što vidite, kršenje podataka može dovesti do gubitka podataka koji ne proizlaze iz hakerskog napada, ali može također proizaći iz gubitka dostupnosti istih, što se događa u hipotezi u kojoj postoji, npr. na primjer, krađa uređaja.
Kada dođe do povrede podataka
Vrste povreda podataka prilično su različite i stoga, na primjer, možemo označiti da pristup ili sticanje podataka od strane neovlaštenih trećih strana, krađu ili gubitak IT uređaja koji sadrže lične podatke spadaju u slučaj. Nemogućnost pristupa podatke uzrokovane slučajnim uzrocima ili vanjskim napadima, virusima, zlonamjernim softverom itd., namjernom izmjenom ličnih podataka, gubitkom ili uništavanjem ličnih podataka uslijed nesreća, štetnih događaja, požara ili drugih katastrofa, neovlaštenim otkrivanjem ličnih podataka.
Tamo gdje može doći do povrede podataka
Povreda podataka, shvaćena, kao što je spomenuto, kao kršenje koje utječe na dostupnost, integritet i povjerljivost podataka, može se odnositi na bilo koje područje, fizičko i digitalno.
Pomislite, na primjer, na uništavanje papirne arhive ili na krađu dokumenata ili, opet, na njihovo petljanje i mijenjanje.
Subjekti pogođeni povredom podataka
Povreda podataka predstavlja događaj koji, ovisno o specifičnim karakteristikama pojedinačnog slučaja, može uključivati različite subjekte.
Rukovalac podacima je osoba koja je prema čl. 33 GDPR, mora se aktivirati bez nepotrebnog odgađanja i, gdje je to moguće, u roku od 72 sata od trenutka kada je postalo poznato, obavijestiti Garanta o kršenju zaštite osobnih podataka, osim hipoteze u kojoj je malo vjerojatno da kršenje ličnih podataka povlači rizik za prava i slobode pojedinaca. Naprotiv, ako kršenje predstavlja visoki rizik za prava i slobode fizičkih lica, vlasnik, uvijek bez odlaganja, mora obavijestiti i zainteresirane strane. U slučaju da je obrađivač podataka imenovan kada postane svjestan kršenja, mora odmah obavijestiti vlasnika kako bi mogao poduzeti mjere.
Uzroci povrede podataka
Kao što je spomenuto, povreda podataka predstavlja povredu sigurnosti koja uključuje - slučajno ili nezakonito - uništavanje, gubitak, izmjenu, neovlašteno otkrivanje ili pristup obrađenim podacima, a to u praksi znači da poduzete sigurnosne mjere nisu uspjele. Međutim, ne smijemo upasti u grešku u automatskom povezivanju kršenja podataka s primjerenošću mjera usvojenih radi izvođenje sic et pojednostavljenja (objektivne) odgovornosti kontrolora podataka. Pitanje je mnogo složenije, s obzirom na to da GDPR ne predviđa odgovornost ove vrste od strane vlasnika, već predviđa mogućnost da isti dokaže da je učinio sve što je u njegovoj moći kako bi zaštitio obrađene podatke .
Ljudski faktor i važnost treninga
Ako se s jedne strane događaj kršenja podataka ne može u potpunosti eliminirati, jer, kako se očekivalo, ne postoji nulti rizik, s druge strane potrebno je preispitati strategije i mjere koje treba usvojiti kako bi se rizik ograničio što je više moguće.
Osim "odgovarajućih" tehničkih i organizacionih mjera, kao što je u terminologiji Evropske uredbe, važan dio prevencije predstavlja obuka osoblja.
Do danas, ljudski faktor i dalje predstavlja prilično rasprostranjenu Ahilovu petu u mnogim stvarnostima, čak i strukturiranim i velikim.
Nedostatak odgovarajuće i posebne obuke, nedostatak odgovarajućih politika o korištenju IT alata i procedura, i danas su prilično rasprostranjeni uzroci kršenja podataka.
Suštinu ovog pitanja predstavljaju ne samo vrsta usvojene zaštite, već i metode primjene iste, ažuriranje i posebna obuka za subjekte koji obrađuju podatke.
U stvari, ne smije se zaboraviti da se usklađivanje mora odvijati na nekoliko nivoa, mora biti poprečno i ne može se odnositi samo na tehničku stranu i kibernetičku sigurnost, već i na organizacijski i proceduralni aspekt u pogledu takozvanog ljudskog faktora.