None
Evropska unija je 14. aprila 2016 sprejela novo Splošno uredbo o varstvu podatkov (ang. General Data Protection Regulation – GDPR) in določila dvoletno prehodno obdobje, v katerem mora vsaka organizacija, v kolikor poseduje podatke o državljanih EU, postati skladna z določbami GDPR.

Nova Splošna uredba o varstvu podatkov je začela veljati že 24. maja 2016, v Sloveniji in preostalih članicah EU pa se začne neposredno v praksi uporabljati 25. maja 2018. Spremembe, ki jih prinaša so največje v zadnjih dvajsetih letih, kakršnakoli neskladnost z GDPR pa prinaša visoke kazni.

Kaj je GDPR?

Množična uporaba interneta je izjemno povečala obseg zbiranja, hrambe in obdelave naših osebnih podatkov. Vsak dan se na primer na družbenem omrežju Facebook objavi približno milijon fotografij, ki vsebujejo podatke lokacije, čas nastanka, imena in priimke oseb ter druge podatke, katere se obdeluje za različne namene z avtomatiziranimi sredstvi ali brez njih. Hkrati se lahko ustvarja oblikovanje profilov, kar pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanje tega posameznika.

Nobena skrivnost ni, da je bilo v preteklosti že zelo veliko vdorov v baze podatkov velikih podjetij (Yahoo, eBay itn.). Nepridipravi so tako prišli do imen, elektronskih naslovov, rojstnih podatkov, gesel, telefonskih števil in drugih podatkov, ki jih uporabniki puščajo v raznih registracijah in elektronskih obrazcih.

Z namenom, da se na spletu poveča varnost uporabnikov, so v Evropski uniji pripravili novo uredbo, ki določa:
  • Pravila o varstvu posameznikov pri obdelavi osebnih podatkov.
  • Pravila o prostem pretoku osebnih podatkov.
  • Pravica posameznika do varstva osebnih podatkov.

Namen GDPR je, da se v vseh državah članicah EU poenoti pravice posameznikov in zagotovi usklajeno ukrepanje v zvezi z varstvom osebnih podatkov. Nova uredba velja tudi za vsa tuja podjetja, ki spremljajo in obdelujejo osebne podatke državljanov EU.

Kako se lotiti skladnosti z GDPR?

Novi uredbi so izpostavljeni vsi, ki obdelujejo osebne podatke, prav tako vključuje tudi hrambo podatkov o svojih zaposlenih. Za vse kršitelje uredbe so predvidene zelo visoke kazni, tudi do 20 milijonov evrov ali do 4% letnega prihodka podjetja na svetovni ravni v preteklem proračunskem letu. V takem primeru odpadejo katerekoli špekulacije, da je ceneje plačati kazen kot temeljito spremeniti poslovni model. Informacijski pooblaščenec bo namreč moral zagotoviti, da bodo kazni učinkovite.

Po novi uredbi bo posameznik, na katerega se nanašajo osebni podatki, moral izrecno privoliti v obdelavo osebnih podatkov, ki se nanašajo nanj. Upravljalci podatkov bodo tako morali biti zmožni dokazati vsako privolitev posameznika v obdelavo podatkov, prav tako mora biti enako enostavna kot je privolitev pravica do preklica te izjave. Posamezniki za nazaj ne bodo mogli preklicati obdelave, se pa ta mora upoštevati od dneva preklica. Upravljalci podatkov bodo za zagotovitev skladnosti z GDPR morali imeti urejene vse evidence privolitev in preklicev (kdo, kdaj in na kakšen način je bila potrjena ali preklicana obdelava podatkov), obdelave podatkov pa bodo morale biti jasne, pregledne in dostopne. Kakršenkoli varnostni incident se bo moral redno obvezno poročati informacijskemu pooblaščencu in posameznikom, ki so bili del ukradenih podatkov.

Posamezniki bodo imeli pravico do popravka ali dopolnitve nepopolnih osebnih podatkov, do izbrisa (pozabe) in obvestila upravljalca drugim, da izbrišejo povezave do teh osebnih podatkov.

V LANComu vam ponujamo naslednja orodja za GDPR skladnost:

  • HPE ControlPoint
  • HPE Content Management
  • HPE Structured Data Manager
  • IBM QRadar SIEM

GDPR – kakšen bo njen vpliv na IT?

V sklopu tradicionalnega 23. LANCom strokovnega posvetovanja smo organizirali predavanje mag. Uroša Škufce iz podjetja Praetor na temo: »Nova zakonodaja EU o varstvu osebnih podatkov (GDPR) – kakšen bo njen vpliv na IT?«. Predstavljen je bil pravni in tehnični pogled na novo EU splošno uredbo o varstvu podatkov.

Vsako soglasje, tudi na spletnih straneh, bodo morala vsebovati informacijo o tem, za kaj se bodo podatki posameznika uporabljali. Kakršnakoli privolitev bo veljavna, če bo izjava posameznika prostovoljna in nedvoumna. Obrazci na spletnih straneh ne bodo smeli več vsebovati vnaprej obkljukanih okenc in dvoumno skrivanje privolitev v vsebino splošnih pogojev. Soglasje bo moralo vsebovati vse informacije o tem, za kaj se bodo njegovi podatki uporabljali. Veliki problem pa predstavljajo tudi operativne arhivske kopije in iz njih brisanje podatkov posameznika.