Zaštititi podatke i informacije sa kojima jedan poslovni sistem upravlja i manipuliše polako postaje bezbednosni imeprativ, a tome je u Republici Srbiji doprineo i Zakon o zaštiti podataka o ličnosti i novi pravni okvir koji propisuje Evropska unija, a to je GDPR Uredba (General Data Protection Regulation). Pomenuta uredba će početi da se primenjuje od 25. maja 2018. godine i biće obavezujuća za zemlje članice Evropske Unije, ali i za preduzeća van EU koja posluju sa zemljama članicama.
Ono što je ubrzalo donošenje ovakve uredbe jeste podatak da se preko 80% bezbednosih incidenata u kojima dođe do gubitka podataka dogodi zbog nemara, neznanja i nedostatka bezbednosne kulture zaposlenih. Nastalu štetu je moguće sprečiti adekvatnom i stalnom edukacijom kao i drugim proceduralno – preventivnim merma, što je često i korak koji većina preduzeća i organizacija preskoči.
Uredba Evropske Unije o zaštiti podataka o ličnosti predstavlja novi balans koji treba da dobije svoj regulatorni smisao i neophodno je ukazati da nova regulativa stvara potrebu za revizijom poslovnih modela i strategija kod mnogih evropskih i vanevropskih kompanija koje nude svoje usluge i robe u EU. Regulatorne promene koje donosi GDPR Uredba o zaštiti podataka o ličnosti odnose se na promenu tradicionalnih bezbednosnih pristupa i pravnih instituta, ali i na uvođenje novih poslovnih pravila i unapređene bezbednosne strategije.
Jedna od kontraverznijih činjenica vezanih za GDPR jeste da svaki subjekt koji posluje ili ima registrovano prebivalište na teritoriji Evropske unije podleže ovoj zakonskoj regulativi. U praksi, to će značiti da svako ko je u dodiru sa korisničkim informacijama (od e-mail adrese do podataka o kreditnim karticama) morati da se prilagodi odredbama GDPR-a. Ono što je novina u ovoj regulativi jeste da će korisnik povratiti pravo na sopstvene informacije, i to kroz mogućnost da zatraži brisanje svojih podataka sa svih digitalnih servisa kompanije ili institucije kojima su podaci povereni na čuvanje.
Shodno trenutnoj zakonskoj regulativi pravno llice je dužno da pribavi pismenu saglasnost fizičkog lica za obradu i rukovanje njegovim ličnim podacima u koje spada: lično ime, jedinstveni matični broj građana JMBG, broj pasoša ili lične karte, email adresa, bankovni račun, adresa i drugo obeležje fizičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta.
U slučaju da dođe do kompromitovanja ličnih podataka klijenata i ustanovi se direktna odgovornost preduzeća sankcije za propuste su izuzetno visoke i kreću se i do 4% godišnjeg prometa. Samim tim dalje poslovanje može biti dovedeno u pitanje, jer retko koji budžet malog ili srednjeg preduzeća može da preživi ovakav incident.
GDPR uredba se prvenstveno odnosi na:
- Čuvanje i skladištenje korisničkih podataka i informacija o licima;
- Korišćenje ličnih uređaja (mobilnih telefona, eksternih memorija, USB stikova, profila socijalnih mreža i slično) na poslovnoj mreži;
- Poslovnu korespodenciju (e-mail komunikacija prema proverenim i neproverenim kontaktima);
- Uvođenje bezbednosnih procedura i protokola koji će regulisati način rukovanja i obrade podataka korisnika unutar kompanije;
- Konstantnu edukaciju zaposlenih na temu sajber rizika, sajber bezbednosti, čuvanja podataka i tekućih regulativa;
- Unapređenje i internu promociju bezbednosne kulture kao najbolje preventivne mere.