Povreda podataka o ličnosti

Povreda podataka o ličnosti

Šta je povreda podataka o ličnosti i kako se tretira u Zakonu o zaštiti podataka o ličnosti u Republici Srbiji?

Zlatko Petrović

Pomoćnik generalnog sekretara u Sektoru za izveštavanje i analitičke poslove, Kancelarija Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije

Šta je povreda podataka o ličnosti?

Termin “povreda podataka o ličnosti” (eng. Data Breach) u naše zakonodavstvo je ušao sa Zakonom o zaštiti podataka o ličnosti iz 2018. godine, koji je doslovno preuzeo rešenja Opšte uredbe o zaštiti podataka EU (GDPR). U pitanju je “povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani“.

Međutim, i pre donošenja ovog zakona dešavale su se povrede podataka o ličnosti, koje se tada nisu tako zvale. Za poslednjih desetak godina podaci o ličnosti građana naše zemlje bili su često kompromitovani, a gomilanje podataka bez jasno opredeljene svrhe, u kombinaciji sa nemarom ili zlom namerom i trapavom digitalizacijom gotovo uvek je dovodilo do incidenata. Ovakav neodgovoran pristup izazivao je veći ili manji rizik za one o čijim podacima se radi. Takođe, sami građani uglavnom nisu bili svesni onoga što se dešava sa njihovim podacima.

Dovoljno je samo prisetiti se objavljivanja podataka 5,2 miliona građana na internet prezentaciji Agencije za privatizaciju 2014. godine. Ilustrativan je i slučaj Integrisanog zdravstvenog informacionog sistema (IZIS), zahvaljujući kojem je 2016. godine svaki korisnik interneta mogao da pristupi zdravstvenom kartonu svakog građanina naše zemlje. Zanimljiva je i aplikacija “Izabrani doktor”, koja je 2018. godine omogućavala svakome da pristupi tuđim zdravstvenim podacima.

Svi navedeni slučajevi suštinski su predstavljali primere povrede podataka o ličnosti, u kojima su bili narušeni poverljivost i integritet podataka o ličnosti. Novi Zakon o zaštiti podataka o ličnosti ove dve reči izdiže na nivo načela obrade podataka o ličnosti, pa je svaki rukovalac dužan da preduzima odgovarajuće tehničke, organizacione i kadrovske mere, kako bi podaci ostali očuvani i poverljivi.

 

Koje su posledice?

Koje su to posledice do kojih može dovesti povreda podataka o ličnosti koja se otrgne kontroli? Povreda podataka može da proizvede fizičku, materijalnu ili nematerijalnu štetu, psihičke probleme, gubitak kontrole nad podacima, diskriminaciju, krađu identiteta, prevaru, finansijske gubitke, narušavanje ugleda … Razmislite samo do čega može da dovede neovlašćeno objavljivanje vašeg zdravstvenog kartona, školskih ocena, podataka sa tekućeg računa ili sa aplikacije za emotivno upoznavanje.

Rukovalac, kao glavni i odgovorni akter, dužan je da preduzima sve što je u njegovoj moći da spreči nastanak povrede podataka o ličnosti. Ovo znači da je dužan da preduzme splet tehničkih, organizacionih i kadrovskih mera da bi podaci ostali bezbedni. Isto podrazumeva uspostavljanje mera zaštite, kao što su pseudonimizacija i kriptozaštita, jasno definisanje međusobnih uloga sa obrađivačima i drugim rukovaocima, mapiranje podataka i njihovo evidentiranje u evidencije radnji obrade, te preduzimanje mera u cilju bezbednosti obrade. Ovo podrazumeva postojanje bekapovanih podataka, planova za slučaj katastrofe, preduzimanja mera za održavanje poverljivosti, integriteta i raspoloživosti podataka i niz drugih mera koje će omogućiti da do povrede ne dođe.

Međutim, ako se povreda ipak dogodi, istu treba tretirati u skladu sa zakonom. Ako obrađivač konstatuje da se povreda dogodila, o istom mora bez odlaganja obavestiti rukovaoca. Rukovalac svaku uočenu povredu podataka o ličnosti mora na odgovarajući način dokumentovati i analizirati.

Ako rukovalac utvrdi da nastala povreda može da proizvede rizik po prava i slobode lica na koja se podaci odnose, o tome mora obavestiti Poverenika, i to u roku od 72 sata od saznanja za povredu. Rukovalac je tada dužan da Povereniku dostavi obaveštenje sa relevantnim podacima o povredi: šta se dogodilo, koliko podataka je obuhvaćeno povredom, koja lica su u pitanju, koje su moguće posledice povrede i šta je učinjeno povodom nastale povrede. Uz ovo obaveštenje dužan je da Povereniku dostavi i evidenciju radnji obrade podataka koji su predmet povrede.

Ukoliko rukovalac utvrdi da ista povreda može da proizvede VISOK rizik po prava i slobode lica na koja se podaci odnose, onda o istoj povredi mora obavestiti i sama ta lica.

Tako kaže zakon. Međutim, da li je rukovalac uopšte u stanju da prepozna povredu podataka o ličnosti, kada se ista dogodi? Da li njegovi zaposleni znaju kako da reaguju ako uoče povredu podataka o ličnosti? Kako da rukovalac utvrdi šta se dogodilo sa podacima i da li povreda može da proizvede rizik po prava i slobode lica čiji su podaci u pitanju? Ukoliko sve to ne zna – kako će utvrditi da li povreda podataka može proizvesti VISOK rizik po ista prava i slobode? Kada na sve to dodamo prekršajnu odgovornost za svaku od ovih stavki – tek onda se nameće potreba detaljnog pojašnjenja zakonskih odredbi.

 

 

Za bolje razumevanje onoga što piše u srpskom Zakonu o zaštiti podataka o ličnosti, neophodno je konsultovati kako odredbe GDPR, tako i važeće Smernice evropskih organa u oblasti zaštite podataka o ličnosti.

Najpre, trebalo bi imati u vidu da postoje tri vrste povreda podataka o ličnosti:

     

      1. Povreda poverljivosti – gde dolazi do neovlašćenog ili slučajnog pristupa ili otkrivanja podataka;

      1. Povreda integriteta – gde dolazi do neovlašćene ili slučajne izmene podataka;

      1. Povreda dostupnosti – gde dolazi do slučajnog ili neovlašćenog gubitka pristupa ili uništenja podataka o ličnosti.

    Rukovalac i obrađivač treba da uspostave odgovarajuće procedure, kako bi bili u mogućnosti da uoče nastanak povrede i adekvatno dalje postupaju. Ovo najpre podrazumeva da informacije o uočenoj povredi treba da budu upućene službi nadležnoj za postupanje, o kojem postupku zaposleni moraju biti informisani. Ova služba ima zadatak analiziranja i dokumentovanja same povrede, preduzimanja mera radi umanjenja rizika i potencijalne štete, te obaveštavanje Poverenika (ukoliko povreda može da proizvede rizik po prava i slobode lica na koja se podaci odnose) i lica o čijim podacima se radi (ako povreda može da proizvede VISOK rizik). U ovaj postupak mora biti uključeno lice za zaštitu podataka o ličnosti, ukoliko je rukovalac odredio isto lice.

    Smatra se da visok rizik može proizvesti povreda podataka koja može dovesti do fizičke, materijalne ili nematerijalne štete, a posebno ako su kompromitovane posebne vrste podataka o ličnosti (rasno ili etničko poreklo, seksualni život i orijentacija, sindikalno članstvo, političko mišljenje, biometrijski, genetski i zdravstveni podaci, filozifsko ili religijsko uverenje) ili podaci o osuđivanosti. Međutim, visok rizik može postojati i u drugim slučajevima, pa je svaki put potrebno uzeti u obzir o kakvim podacima se radi, koja je priroda ovih podataka, koliko podataka je u pitanju, na koja lica se odnose ovi podaci … U tom smislu, važno je prilikom opredeljivanja rizika imati na umu da li podaci potiču iz bolnice, humanitarne organizacije ili političke stranke, da li se odnose na decu, manjinske grupe, invalide i slično.

     

     

    Povreda podataka o ličnosti može se dogoditi kako sa podacima u automatizovanom, tako i u neatomatizovanom obliku.

    Obrada podataka u internetskom okruženju nosi posebne vrste rizika, pa je neophodno da rukovalac preduzima savremene tehničke mere, kako bi sprečio eventualne povrede podataka. Jedna od tih posebnih pretnji jesu ucenjivački softveri (ransomware), koji onemogućavaju rukovaocu pristup podacima. U ovakvim situacijama neophodno je analizirati i dokumentovati povredu podataka, utvrditi o kojoj vrsti softvera se radi, te da li je došlo do neovlašćenog preuzimanja (eksfiltracije) podataka ili nije. Rukovalac često neće imati odgovarajuća znanja i resurse za ovaj delikatan zadatak, pa će za isti posao morati da angažuje stručnjake iz oblasti sajber bezbednosti.

     

    Primeri povrede podataka su brojni, ukoliko se razmatra ljudski faktor kao potencijalni rizik u obradi.

    Zaposleni može zloupotrebiti pravo pristupa podacima, preuzeti ih ili kopirati, te dalje upotrebiti na raznovrsne načine (za lične svrhe, radi prodaje konkurentskoj firmi, medijima). Načini kopiranja ovih podataka su mnogobrojni, pa zaposleni može tako podatke kopirati na USB, odštampati ih, narezati na CD/DVD, fotografisati ili snimiti mobilnim telefonom, poslati putem mejla, pohraniti na cloud server. Povrede podataka o ličnosti mogu se desiti i nehotično, slanjem pošte na pogrešnu adresu, slanjem imejlova na mejling listu upotrebom CC umesto BCC opcije i slično.

     

    Preventivno delovanje

    Iz ovih razloga nužno je suziti prostor zaposlenima da načine ovakve povrede, slučajno ili namerno,  kroz

    • obuke,
    • dodeljivanje nivoa pristupa podacima,
    • onemogućavanje upotrebe prenosivih medija,
    • isključivu upotrebu kriptovanih uređaja,
    • striktnu politiku lozinki,
    • filterisanje korisničkih aktivnosti,
    • praćenje neuobičajenih tokova podataka na serveru,
    • zabranu upotrebe uređaja kojima se može sačiniti video zapis u monitoring centru,
    • upoznavanje zaposlenih sa phishing i ransomware napadima i drugim vrstama socijalnog inženjeringa kojima mogu biti izloženi,
    • gašenje svih prava pristupa podacima zaposlenom kojem je prestao radni odnos,
    • sprovođenje politike čistog stola,
    • uspostavljanje sistema print menadžmenta itd.

     

    Neophodne tehničke mere podrazumevaju konstantno ojačavanje i unapređivanje bezbednosti obrade podataka, uspostavljanje zasebnog bekapa, upotrebu sistema za detekciju zlonamernih softvera (anti-malware), apdejtovanje operativnih sistema i instaliranih softvera, uspostavljanje sistema logovanja, efektivan firewall i sistem detekcije i prevencije intruzije, upotrebu VPN konekcije, višefaktorsku autentikaciju, penetraciono (pen) testiranje, uspostavljanje Computer Security Incident Response Team (CSIRT) ili Computer Emergency Response Team (CERT) u organizaciji ili pridruživanje kolektivnom CSIRT/CERT, uspostavljanje mogućnosti daljinskog brisanja podataka, za slučajeve krađe ili nestanka prenosivih uređaja.

     

    Sve ove mere predstavljaju prevenciju, kako bi bila omogućena bezbedna obrada i onemogućena povreda podataka o ličnosti. Međutim, i pored svih preduzetih mera, povrede podataka se dešavaju, pa čak i u najsloženijim i najopremljenijim sistemima. Na rukovaocu je da preduzme sve što je u njegovoj moći da do povrede podataka o ličnosti ne dođe, a ukoliko se ista ipak dogodi - rukovalac istu mora pažljivo analizirati i dokumentovati, te postupiti u skladu sa zakonom, što je u njegovom najboljem interesu, ali i u interesu lica o čijim podacima se radi.

    Izvor >>