Bezbednost nema alternativu17.05.2018. Crowne Plaza

GDPR - od teorije do prakse

Jelena MaleševićStručni saradnik za pravne poslove, COMING

Nebojša IlićDirektor infrastrukturnih servisa, COMING

Čitali smo GDPR da vi ne biste morali

• GDPR = General Data Protection Regulation

• Uredba EU o zaštiti pojedinaca u pogledu prikupljanja, čuvanja i obrade njihovih ličnih podataka

• Stupa na snagu 25. maja 2018. godine

Teritorijalni obuhvat GDPR-a (čl. 3)

• ako su kontrolor ili procesor osnovani na prostoru EU;

• ako se obrađuju lični podaci građana EU od strane kontrolora ili procesoraiako su van EU, čije su prerađivačke aktivnosti povezane sa: nuđenjemdobra ili usluge državljanima EU bez obzira gde je pravno lice registrovanoili se prati njihovo ponašanje ukoliko se njihovo ponašanje odvija unutarEU.

• ako se obrađuju lični podaci od strane kontrolora koji nije osnovan u EU, alise primenjuje pravo države članice EU na osnovu međunarodnog javnogprava.

Definicije (čl. 4)

• ,,Lični podaci’’ – personalni i senzitivni

• ,,Obrada’’

• ,,Kontrolor’’

• ,,Procesor’’

• ,,Subjekt podataka“

Definicija ličnih podataka

• Definicija je veoma široka i obuhvata sve informacije koje se odnose na identifikovanu osobu ili osobu koja se na osnovu tih podataka može identifikovati (direktno ili indirektno), kao što su:

• ime

• identifikacioni broj

• podaci o lokaciji

• online identifikatori

• Prema ovoj definiciji, u lične podatke spadaju i:

• IP adresa, HTTP cookie, RFID tag (Rec. 30)

• korisničko ime, e-mail adresa formata ime.prezime@firma.com

Pravni osnovi za obradu podataka (čl. 6)

• Saglasnost – subjekt podataka je pružio svoju eksplicitnu saglasnost koja je formalno zabeležena;

• Ugovor - obrada ličnih podataka je neophodna za izvršenje ugovora u km je subjekt podatakaugovorna strana ili je subjekt podatka ima nameru da bude ugovorna strana;

• Pravna (zakonska) obaveza - obrada ličnih podataka je neophodna za poštovanje zakonske obavezeprema kojoj podleže pravno lice;

• Vitalni interesi - obrada ličnih podataka je neophodna kako bi se zaštitili vitalni interesi subjektapodataka ili drugih lica;

• Zadatak javnog interesa - obrada ličnih podataka je neophodna za obavljanje zadatka koji se obavlja u javnom interesu;

• Legitimni interesi - obrada ličnih podataka je neophodna za legitimne interese (postoji legitimanrazlog za obradu) koju vrši pravno lice, ali mora biti uravnotežena nasuprot interesima subjektapodataka.

Prava subjekta podataka (Poglavlje III)• PRAVO NA TRANSPARENTNE INFORMACIJE ZA OSTVARIVANJE PRAVA

KOJA PRIPADAJU SUBJEKTU PODATAKA

• PRAVO NA PRISTUP LIČNIM PODACIMA (svrha obrade)

• PRAVO NA ISPRAVAK NETAČNIH LIČNIH PODATAKA

• PRAVO NA BRISANJE LIČNIH PODATAKA (pravo da se zaboravi)

• PRAVO NA OGRANIČAVANJE OBRADE

• PRAVO NA OBAVEŠTAVANJE U POGLEDU ISPRAVKE,BRISANJA ILI OGRANIČENJA OBRADE

• PRAVO NA PRENOSIVOST LIČNIH PODATAKA

• PRAVO NA PRIGOVOR

Pravo na brisanje ličnih podataka (čl. 17)• Član 17 predviđa da subjekt može od kontrolera zatražiti brisanje svih prikupljenih

ličnih podataka koji se na njega odnose

• Izazov 1: povezati lične podatke koji pripadaju jednoj osobi, posebno ako su smešteni u različitim sistemima

• Primer:

• sken ličnog dokumenta na fajl serveru

• ime, prezime, adresa, broj kreditne kartice u billing sistemu

• broj telefona i mail adresa u CRM-u

• deo podataka prosleđen procesorima, itd.

• Neophodno postojanje master baze koja povezuje subjekte sa svim prikupljenim ličnim podacima nezavisno od lokacije podataka

Pravo na brisanje – bekap i arhiva

• Izazov 2: šta sa bekapom i arhivom?

• uklanjanje pojedinačnih ličnih podataka iz bekapa i arhiva tehnički nije izvodljivo…

• …a često ni pravno nije moguće – npr. zbog postojanja druge regulative

• Rešenje:

• podaci se nakon prijema zahteva brišu iz produkcionog sistema, dok se iz bekapa i arhiva brišu automatski nakon isteka njihovog perioda čuvanja

• potrebno obavestiti subjekte prilikom prijema zahteva za brisanje

• Na bekape i arhivu se primenjuju slične mere kao i na produkcione sisteme

• npr. enkripcija, ograničena prava pristupa, monitoring i logovanje restore operacija, …

• u slučaju restore-a iz bekapa u produkcioni sistem, podaci moraju biti ponovo uklonjeni

• potrebno održavati evidenciju (identifikatora) svih subjekata koji su zahtevali brisanje

Evidencija (čl. 30)

• Obaveza vođenja u pismenoj i elektronskoj formi – Evidencije oprerađivačkim aktivnostima (član 30), a koja treba da sadrži propisanepodatke.

• Vođenje evidencije se ne primenjuje na organizacije koje zapošljavajumanje od 250 lica, osim ako obrada dovodi do povećanog rizika i ugrožavate lične podatke.

Bezbednost obrade (čl. 32)

Potrebno je da kontrolor i procesor primenjuju odgovarajuće tehničke i organizacione mere kako bi se osigurala sigurnost podataka kao što su:

1. Pseudonimizacija i enkripcija ličnih podataka

2. Sposobnost da se obezbedi tekuća poverljivost, integritet, dostupnost i otpornost na otkaze sistema i usluga za procesiranje podataka

3. Sposobnost da se blagovremeno obnovi dostupnost i pristup ličnim podacima u slučaju fizičkog ili tehničkog incidenta

4. Proces redovnog testiranja, procene efikasnosti tehničkih i organizacionih mera za osiguranje sigurnosti obrade podataka.

(I) Pseudonimizacija i enkripcija ličnih podataka

• Pseudonimizacija – razdvajanje ličnih podataka od identifikatora koji bi omogućili povezivanje podataka sa subjektom

• primer: Wi-Fi lokacijski servisi, identifikator subjekta (npr. MAC adresa) se menja random ID-em, tabela mapiranja se čuva u posebnoj bazi

• Enkripcija podataka u tranzitu (“in transit”)

• između subjekta i servera, aplikativnog i DB servera, različitih produkcionih sistema (npr. ERP i CRM) i ka procesorima

• e-mail, FTP, … nisu validni medijumi za dostavljanje ličnih podataka

• Managed File Transfer rešenja (primer: Safe-T)

• Enkripcija podataka u mirovanju (“at rest”)

• na nivou storage sistema, hipervizora, OS, servera baza podataka, …

(II) Poverljivost i integritet sistema za obradu podataka

• Jedan od ključnih zadataka u implementaciji GDPR-a je utvrditi ko sve ima pristup ličnim podacima

• Izazov: za razvoj i testiranje se koristi kopija produkcionog sistema – svi developeri imaju pristup ličnim podacima

• Rešenje: maskiranje podataka

izvor: Imperva Camouflage Data Masking datasheet

(II) Poverljivost i integritet sistema za obradu podataka

1. Centralizovati autentifikaciju (AD, LDAP, Identity Management rešenja)

2. Ograničiti pristup ličnim podacima korišćenjem sistema rola i permisija

3. Monitorisati i logovati pristup i promene prava pristupa nad ličnim podacima

• na nivou AD, OS, fajl servera, servera baza podataka, aplikacije, …

• specijalizovana rešenja iz ove kategorije:

• audit softver (primer: Netwrix Auditor)

• log management / SIEM rešenja

Logovi

• Logovi se moraju tretirati kao lični podaci, jer u sebi mogu da sadrže korisničko ime, IP adresu ili neki drugi identifikator subjekta, npr.

• access logovi web servera sadrže IP adresu klijenata

• Windows security logovi sadrže IP adresu i korisničko ime, itd.

• Samim tim, na log podatke je potrebno primeniti navedene mere:

• enkripcija / pseudonimizacija gde je to moguće

• minimizacija informacija koje se loguju i perioda čuvanja logova (rotacija)

• ograničavanje i praćenje pristupa logovima, …

• Rešenje: centralizovani log menadžment / SIEM sistem

(III) “Sposobnost da se blagovremeno obnovi dostupnost i pristup ličnim podacima u slučaju fizičkog ili tehničkog incidenta”

• Visoka raspoloživost produkcionih sistema za obradu podataka

• klastering na nivou hipervizora, OS, servera baza podataka, aplikacije…

• Obezbeđen bekap koji je:

• prethodno verifikovan (najbolje automatski!)

• može se oporaviti za dovoljno kratko vreme

• Disaster recovery produkcionog sistema za obradu podataka

• otpornost na otkaz čitavog datacentra ili pojedinih kritičnih komponenti (npr. storage sistem)

• (poželjno) realizovan na način tako da se oporavak može redovno i automatski testirati bez uticaja na produkcioni sistem

(IV) “Proces redovnog testiranja, procene efikasnosti tehničkih i organizacionih mera za osiguranje sigurnosti obrade podataka”

• Periodična:

• skeniranja ranjivosti

• penetration testiranja (interna i eksterna)

• testiranja visoke raspoloživosti sistema

• verifikacija bekapa

• testiranja oporavka u slučaju katastrofe

Obaveštenje nadležnom organu o kompromitovanju ličnih podataka (čl.33)

• Kontrolor će bez nepotrebnog odlaganja i, kada je to izvodljivo,najkasnije u roku od 72 sata nakon što sazna o tome, obavestitinadzorni organ o kompromitovanju ličnih podataka, ukoliko jemanje verovatno da će kompromitacija ličnih podataka dovestido rizika za prava i slobode fizičkih lica.

• Ako obaveštenje nadležnom organu nije izvršeno u roku od 72sata, moraće da priloži uzroke kašnjenja.

Određivanje službenika za zaštitu podataka (čl.37)

• (a) obradu vrši javni organ, izuzev sudova koji deluju u okviru svojenadležnosti;

• (b) osnovne aktivnosti kontrolora ili procesora se sastoje odoperacija obrade koje, po svojoj prirodi, njihovom obimu i / iliciljevima, zahtevaju redovno i sistematično praćenje subjekatapodataka u velikoj meri; ili

• (c) osnovne aktivnosti kontrolora ili procesora se sastoje odobrađivanja u velikoj meri posebnih kategorija podataka u skladusa članom 9 i ličnih podataka koji se odnose na krivične osuđujućepresude i krivična dela navedena u članu 10.

Kazne (Poglavlje VIII)

• Novčane kazne do 10 000 000 EUR ili, u slučaju preduzetnika, do2% ukupnog godišnjeg prometa u prethodnoj godini

• Novčane kazne do 20 000 000 EUR ili, u slučaju preduzetnika, do4% ukupnog godišnjeg prometa u prethodnoj godini

• Izricanje mera upozorenja, opomene, naredbe o ispravljanju ilibrisanju, ograničenje ili zabrana obrade podataka, naredba oispravljanju ili brisanju obrađivanih ličnih podataka, naredbazabrane protoka podataka u treće zemlje ili organizacije

Faze GDPR implementacije

• INICIJATIVA U SKLADU SA GDPR-OM

• FUNKCIONISANJE ORGANIZACIJE

• ANALIZIRANJE POSTOJEĆEG SISTEMA

• OBRAZOVANJE TIMA KOJI JE U DODIRU SA OBRADOM LIČNIH PODATAKA

• PRAVILA O PRIVATNOSTI

• ORGANIZACIONA STRUKTURA (procesor-kontrolor-dpo)

• MAPIRANJE PODATAKA- KLASIFIKACIJA PODATAKA

• UPRAVLJANJE PRAVIMA SUBJEKTA PODATAKA (procedure, snimanje)

Faze GDPR implementacije• PROCENA RIZIKA (identifikacija rizika, analiza rizika i evaluacija rizika)

• PROCENA UTICAJA PRIVATNOSTI (PIA) I AKT O PROCENI UTICAJA NA ZAŠTITU PODATAKA(DPIA)

• DA LI IMA TRANSFERA PODATAKA VAN GRANICA EU

• PROJEKTOVANJE I IMPLEMENTACIJA ODGOVARAJUĆIH SIGURNOSNIH TEHNIČKIH MERA ZAZAŠTITU LIČNIH PODATAKA

• REDOVNO TESTIRANJE PRIMENJENIH TEHNIČKIH MERA

• UPRAVLJANJE INCIDENTIMA (tim, obaveštenje, snimanje)

• OBUKE ZAPOSLENIH

• INTERNI AUDIT

• SERTIFIKACIJA KOD ODGOVARAJUĆEG EU ORGANA (nije obavezna)

Umesto zaključka

• Kod GDPR-a, tehnologija je na drugom mestu i može samo da pomogne u dobro uređenom sistemu

• Suština regulative su uređenje procesa i promena načina razmišljanja kada su u pitanju prikupljanje, čuvanje i obrada ličnih podataka

• “Data protection by design and by default”