Blog

GDPR regulativa a.k.a. The Rise of Intelligent Data Security

Piše: Ana-Marija Balen

U posljednje vrijeme vrlo česta tema u poslovnom svijetu postaje GDPR. Podaci se gomilaju, uočen je eksponencijalni porast generiranja, analize i razmjene osobnih podataka, a pojedinci ustvari niti ne znaju tko skuplja njihove podatke i što se s njima događa, za što ih se obrađuje i tko im sve pristupa. Primjenom regulative povećat će se svijest pojedinca o zaštiti osobnih podataka, a kompanije će s takvim podacima postupati pažljivije u svrhu zaštite identiteta korisnika.

 

ŠTO JE GDPR?

GDPR  (eng. General Data Protection Regulation) je europska regulativa za zaštitu osobnih podataka građana Europske unije. Nakon 4 godine pregovora, 27. travnja 2016. godine, Europski parlament i Europsko vijeće donijeli su regulativu koju tvrtke moraju početi primjenjivati 25. svibnja 2018. Sama regulativa je donesena kako bi se ojačala i ujedinila zaštita osobnih podataka pojedinaca unutar EU. Stupanjem na snagu, prestaje vrijediti dosadašnja direktiva iz ’95. godine – Directive 95/46/EC što je sasvim razumno, jer se od 1995. štošta promijenilo.

Ono što tvrtke treba zabrinjavati su kazne, ukoliko se obrada podataka ne vrši u skladu s GDPR-om. Kazne se protežu od 10 do 20 milijuna eura, odnosno 2 do 4% ukupnog svjetskog prihoda tvrtke (ovisno što je veće).

Velika promjena u odnosu na prethodnu direktivu jest proširivanje teritorija djelovanja. GDPR štiti prava građana EU, što znači da se regulative ne moraju držati samo države članice EU, već i sve države u svijetu koje obrađuju podatke građana EU. Za države članice EU pozitivna stvar je što se više neće morati suočavati s 28 različitih zakona o zaštiti osobnih podataka, već će sve članice poštivati i djelovati prema GDPR-u.

 

KAKO GDPR UTJEČE NA POJEDINCE?

  • Suglasnost

Prema GDPR-u, svaka tvrtka koja na bilo koji način prikuplja osobne podatke o pojedincu za daljnju obradu, trebat će izričit pristanak (eng. Consent) pojedinca. Prilikom traženja pristanka, pojedincu na jasan i jednostavan način treba biti izrečeno koji se podaci pohranjuju, u koju svrhu i, ukoliko je moguće, na koji period.

  • Pravo na pristup

U bilo kojem trenutku pojedinac će moći zatražiti pristup (eng. Right to Access) podacima koje tvrtka obrađuje, gdje i za koju svrhu. Ovim pravom se postiže transparentnost samih podataka čime se dobiva povjerenje samog pojedinca.

  • Pravo na zaborav

Također, pojedinac ima pravo zatražiti brisanje osobnih podataka (eng. Right to be Forgotten) kako bi spriječio njihovu daljnju obradu. To ustvari znači povlačenje prvotno dane suglasnosti. No, ukoliko neki drugi zakon nalaže čuvanje osobnih podataka (npr. zbog ugovorne obveze 2 godine) tada se podaci ne mogu obrisati na zahtjev pojedinca sve dok se ne ispoštuje zakonom zadan rok čuvanja.

  • Pravo na prenosivost

Ovom regulativom pojedinac dobiva pravo na prijenos (eng. Data Portability) osobnih podataka. Pojedinac može zatražiti da tvrtka koja trenutno obrađuje njegove podatke te iste podatke pošalje, u sigurnom obliku i sigurnim putem, trećoj strani.

Ukoliko dođe do curenja podataka, napada ili nedopuštenog korištenja osobnih podataka, tvrtka u roku od 72 sata mora obavijestiti nadležnu službu, ali i samog pojedinca.

 

KAKO GDPR UTJEČE NA TVRTKE?

Tvrtke imaju zadatak pružiti pojedincima sva prava propisana GDPR-om te dizajnirati svoj informacijski sustav kako bi se na najbolji mogući način sačuvao identitet pojedinca od bilo kakvog curenja podataka, napada, itd. Svaka tvrtka ima obvezu imenovati osobu koja će se brinuti provodi li tvrtka GDPR na ispravan način, koja će savjetovati kolege, obučavati i podizati razinu svijesti o zaštiti podataka, provoditi nadzor te surađivati s nadzornim tijelima. GDPR takvog službenika naziva DPO (eng. Data Protection Officer) te nalaže da DPO mora imati profesionalne kvalitete i stručno znanje na području prakse i zakona o zaštiti podataka.

Podaci koji se prikupljaju za daljnju obradu moraju biti obrađeni u skladu sa zakonom, na fer i transparentan način u odnosu prema pojedincu. Količina podataka koja se prikuplja mora biti minimizirana, što znači da se ne smiju prikupljati nepotrebni podaci i onda koristiti u druge svrhe. Striktno se određuje koji se podaci koriste za koju svrhu i to je eksplicitno navedeno u suglasnosti koju pojedinac odobrava. Također, podaci moraju biti ažurni­, a pojedinac ima pravo ispravljati i mijenjati prikupljene podatke.

S tehničke strane, GDPR nosi niz promjena u sustavu. Proces prilagodbe sustava od 2 godine od donošenja GDPR-a zvuči kao razumno razdoblje, no mogu li se tvrtke zaista prilagoditi u tom razdoblju?

Pitanje je od kuda zapravo početi?

Tvrtke moraju definirati:

  • što su sve osjetljivi podaci u njihovim sustavima,
  • gdje se sve nalaze takvi podaci,
  • tko sve ima pristup takvim podacima,
  • kako se podaci kreću kroz sustav i koliki je rizik,
  • plan na koji način će se provoditi GDPR.

Za usklađivanje s regulativom je potrebno vrijeme, resursi, ali i iskustvo. Poslovna Inteligencija je u takvim situacijama sa svojim međunarodnim iskustvom u raznim industrijama na području upravljanja podacima nezamjenjiva. PI interdisciplinarni tim ima sva znanja i iskustva potrebna za vođenje uspješnog GDPR projekta i kao takvi nude tehničko rješenje koje se može podijeliti u tri logičke cjeline – upravljanje suglasnostima, rješenje za pronalazak podataka i određivanje rizika te rješenje za upravljanje osjetljivim podacima.

Upravljanje suglasnostima omogućava web rješenje čija je svrha upravljanje životnim ciklusom svake pojedine suglasnosti. Rješenje omogućava upravljanje suglasnostima kroz pregled dosadašnjih suglasnosti, davatelja suglasnosti, dodavanje novih tipova suglasnosti, novih suglasnosti i praćenje potpunog životnog ciklusa.

Za pronalazak podataka i određivanje rizika Poslovna Inteligencija nudi Informatica Intelligent Data Security rješenje pod nazivom Secure@Source koje je fokusirano na razumijevanju podataka. S@S nastoji pružiti tvrtkama koje se bave obradom podataka pravilno razumijevanje podataka kako bi mogle poduzeti mjere smanjenja ili uklanjanja klasificiranih rizika. S@S omogućava spajanje na izvore podataka (strukturirane, polu-strukturirane, a u skoroj budućnosti i nestrukturirane), definiranje domena (npr. ime, prezime, OIB) prema čemu će se utvrditi gdje se u sustavima nalaze osjetljivi podaci. S@S također omogućava praćenje ponašanja korisnika, što u konačnici omogućava analizu podataka u cjelokupnom kontekstu. Razina rizika osjetljivih podataka određuje se analizirajući više čimbenika – status zaštite, pristup korisnika, lokaciju, cijenu podataka, klasifikaciju i proliferaciju. Na temelju analize generiraju se dashboard-i s raznim vizualizacijama, a mogu se aktivirati i specijalizirani mehanizmi za obavještavanje, ovisno o definiciji događaja koji će ga aktivirati (neovlašteni pristup, curenje podataka, …). Ono što ističe S@S pred konkurencijom je lociranje i klasifikacija osjetljivih podataka u sustavu te sofisticirani machine learning na kojem se temelji detekcija neobičnog ponašanja korisnika.

Slika 1. Secure@Source dashboard

 

Sada kada su osjetljivi podaci detektirani, treba ih i zaštiti od zlouporabe. Poslovna Inteligencija u ovom području nudi dva rješenja – Informatica TDM (Test Data Management) i Informatica DDM (Dynamic Data Masking).

TDM omogućava perzistentno maskiranje podataka kreirajući set anonimiziranih podataka. U tom slučaju, korisnici se spajaju na izvor podataka u kojemu su trajno maskirani podaci i nemaju pristup nemaskiranim podacima. Također, ne moraju imati niti pristup svim podacima, već samo određenom podskupu. Za razliku od TDM-a, DDM omogućava dinamičko maskiranje podataka prema raznim pravilima. Pravilo se primjenjuje u trenutku kada korisnik pristupa podacima. Na slici 2 je vidljivo kako različiti korisnici imaju drugačiji pristup istim podacima.

 

Slika 2. Dynamic Data Masking

 

ZAŠTO BAŠ INFORMATICA?

Prema svojem posljednjem magičnom kvadrantu za Data Masking tehnologije, Gartner Informaticu svrstava u sami vrh, što prikazuje sljedeća slika. Također, Informatica alati za podatkovnu integraciju su zadnjih 11 godina lideri prema Gartneru te nam takvi prikazi ulijevaju povjerenje.

 

Slika 3. Gartnerov magični kvadrant za Data Masking tehnologije

 

Oslanjajući se na njihovu tehnologiju možemo biti sigurni da će se implementacija GDPR-a u sustav odraditi uspješno i kvalitetno. Nešto je više od godine dana preostalo za uvođenje regulative, vrijeme je za donošenje plana i strategije.