Za razliku od prethodne Direktive koja se odnosila na kompanije unutar Evropske unije, GDPR će imati globalni uticaj.
Neke od najvažnijih stavki koje nam donosi GDPR su sledeće:
- Organizacije će morati da obaveste nadležne o gubitku podataka u roku od 72 sata.
- Vlasnik podataka o ličnosti imaće pravo na povlačenje saglasnosti, brisanje i prenošenje podataka.
- Za namerna ili nenamerna curenja ličnih podataka predviđene su kazne od dva do četiri odsto godišnjeg prometa ili deset do 20 miliona evra.
Dve glavne zablude koje se tiču GDPR-a i njegove primene:
- GDPR predstavlja jednu vrstu negativnog zakona; Međutim, regulativa nije preuranjena. Uspon digitalne ekonomije zahteva da se reguliše način na koji se ophodimo prema ličnim informacijama.
- To je odgovornost nekog drugog; Poštovanje GDPR nije samo odgovornost službenika za zaštitu podataka (Data Protection Officer) već i same kompanije kao kontrolora podataka.
Pet ključnih koraka za procenu osnovne usklađenosti
Bezbednosni okviri su dobar način za usklađivanje sa programom sigurnosti informacija i zaštite podataka. Možemo izdvojiti pet osnovnih koraka za procenu:
- Identifikacija
Prvi zadatak svake organizacije je da se identifikuje kao kontrolor ili procesor. Firme treba da razmotre obaveze koje donosi njihov položaj, kao što su izdavanje obaveštenja građanima i čuvanja. Takođe, potrebna je identifikacija lokacije kritičnih podataka, bilo da su oni „u mirovanju“, „u pokretu“ ili „u upotrebi“, kao i vođenje evidencije o aktivnostima obrade i upućenost u zaštitu tih podataka.
- Zaštita ličnih podataka
Nakon što odrede koji su to kritični podaci, firme treba da osiguraju njihovu adekvatnu zaštitu. Šifriranje i kontrola pristupa su uobičajeni standardi kontrole, ali upravljanje šifriranim podacima preko više poslovnih procesa je težak zadatak. Organizacije treba da upravljaju tokovima podataka putem odobrenih procesora treće strane, zaštitom od krađe podataka od spoljnih napadača, kao i da prate slučajne ili namerne zloupotrebe i potencijalno curenje podataka od strane zaposlenih.
- Otkrivanje krađe podataka
Ako dođe do krađe podataka unutar firme, važno je da se to otkrije i utvrdi da li su pogođeni lični podaci. Ukoliko jesu, organizacija će biti u obavezi da u roku od 72 sata obavesti nadležne. Zatim će se pokrenuti istraga koja će otkriti detalje o krađi preko informacija o događajima i incidentima iz alata kao što su Data Loss Prevention (DLP).
- Reakcija na krađu podataka
Reakcija na incident je od kritičnog značaja za zaštitu. Ovaj plan mora redovno da se testira kako bi se obezbedila uključenost zaposlenih u reakciju na gubitak podataka, kao i to da budu sasvim upoznati sa novim zakonom, procesom komunikacije i protokolima.
- Oporavak od krađe podataka
Posle krađe podataka, organizacije moraju pokazati da održavaju stalnu komunikaciju sa nadležnima kako bi obezbedile redovno informisanje subjekata koji su pogođeni incidentom. Ovih pet ključnih koraka može da se primeni kako na GDPR, tako i na druge aspekte sprečavanja zloupotrebe podataka.