HR | EN

logo
header pozadina-min

Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade.

 

Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu.

U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja da odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

Obrazac za samoprocjenu

Organizacijske mjere zaštite osobnih podataka

Organizacijske mjere zaštite se odnose na interne akte odnosno dokumente kojima se propisuju mjere, odnosno uređuje područje zaštite osobnih podataka koje obrađujete.

Neki od takvih internih akata su:

  • Pravilnikom o informacijskoj sigurnosti se propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu
  • Pravilnicima kojima se određuje obrada osobnih podataka se propisuje tko obrađuje osobne podatke, u koju svrhu, koja je zakonitost za obradu, koji je opseg osobnih podataka koji se obrađuju, tko ima pravo pristupa i obrade osobnih podataka , koliko dugo se podaci čuvaju, tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka…)
  • U ugovornim klauzulama unutar ugovora o radu mogu biti definirane zbirke osobnih podataka koje će uposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
  • U ugovornim klauzulama unutar ugovora o poslovnoj suradnji definiraju se zbirke osobnih podataka koje su predmet ugovora, prava i obveze svake od ugovornih strana vezano za obradu osobnih podataka, koje tehničke mjere zaštite svaka od strana poduzima kako bi se zaštitili sustavi pohrane (baze) podataka.
  • Izjavom o povjerljivosti regulira se da zaposlenik poslovnog subjekta ili vanjski suradnik daje pismenu izjavu da će osobne podatkeobrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih zlorabiti i davati neovlaštenim trećim stranama.
  • Nova zakonska regulativa iz područja zaštite osobnih podataka taksativno ne propisuje obvezu osoba koje su zaposlene u obradi osobnih podataka na potpisivanje Izjave o povjerljivosti. No povjerljivost kao i odgovornost onih koji imaju pristup osobnim podacima je definirana u članku 32. stavak 4. Opće uredbe o zaštiti podataka.

Stoga je preporuka Agencije da se ista koristi kao jedna od organizacijskih mjera zaštite voditelja/izvršitelja obrade uzimajući u obzir odredbe Opće uredbe o zaštiti podataka o sigurnosti obrade (članak 25. i 32.).

  • Agencija je pripremila primjer sadržaja Izjave o povjerljivosti koju voditelji/izvršitelji obrade mogu koristiti u svom svakodnevnom radu.

Obrazac izjave o povjerljivosti

VAŽNO!

Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka i ako kod svih zaposlenika nije postignuta svijest o važnosti informacijske sigurnosti i odgovornosti svakog pojedinca o zaštiti podataka sve ostale preporuke i propisane mjere zaštite neće imati puno značaja.

Stoga je od iznimne važnosti je da svi zaposlenici, bez obzira na kojoj se poslovnoj razni nalaze (“od direktora do pomoćno-tehničkog osoblja”), budu svjesni:

  • koje sve osobne (a i poslovne) podatke koriste i obrađuju u svom svakodnevnom radu
  • kojim kategorijama osobnih podataka ti podaci pripadaju,
  • gdje se nalaze,
  • koji su potencijalni rizici od krađe, zlouporabe i gubitka tih podataka,
  • pomoću kojih zaštitnih mjera ih mogu zaštititi,
  • koje su posljedice krađe, zlouporabe i gubitka tih podataka
  • da je potrebno svakodnevno se pridržavati propisanih i preporučenih mjera zaštite
Tehničke mjere zaštite osobnih podataka
  • odnose se na zaštitne mjere koje postavljate na opremu/sredstva, odnosno prostor/prostorije koji se koriste unutar poslovnog subjekta za redovno obavljanje poslovanja

Najčešća mjera tehničke zaštite je lozinka. Lozinka se koristi kao mjera zaštite od neovlaštenog pristupa:

  • na radnoj opremi (računala, pametni telefoni, tablet računala, kopirke i pisači, Internet usmjerivači …)
  • u računalnim programima (Programi koje koristite u poslovne svrhe, a koji obrađuju osobne podatke)
  • u elektroničkoj pošti
  • u datotekama s podacima (baze podataka, Excel tablice, Word dokumenti i drugi dokumenti u kojima su sadržani osobni podaci)

Za kreiranje snažnih lozinki na Internetu postoje generatori lozinki koji ih kreiraju na temelju zadanih postavki od čega se sve treba sastojati lozinka.

Tako generirane lozinke koje su nasumičan niz slova, brojki i simbola je teško upamtiti. Stoga možete pribjeći triku da za generiranje lozinke odaberete nekakvu Vama poznatu frazu ili citat. Zatim svojom logikom dodate simbole, a neka slova zamijenite brojkama ili simbolima (npr. iz fraze “Voćka poslije kiše” može nastati lozinka %V0ćk@=p0sl1j3=k1š3). Takvu lozinku je puno lakše zapamtiti nego nasumični niz slova, brojki i simbola.

Nemojte koristi istu lozinku za sve prijave već za svaki uređaj, program, uslugu ili datoteku koristite različite lozinke. Kako ne bi morali pamtiti sve te lozinke postoje programi koji na siguran način pamte lozinke za Vas (tzv. Password Manageri).

Mjere tehničke zaštite su:

  1. Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici s poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.
  2. Redovna nadogradnja operativnog sustava i računalnih programa
  3. Postavljanje antivirusnog programa na uređaje
  4. Sigurnosne kopije podataka (Backup)
  5. Postavljanje vatrozida (firewalla)
  6. Zaštita pristupa mrežnoj infrastrukturi
  7.  Kriptiranje podataka i prijenosnih uređaja  na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
  8.  Zaštita podataka pohranjenih u papirnatom obliku
  9.  Fizička zaštita od nedozvoljenog pristupa
  10.  Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
  11.  Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
  12. Pristup opremi i programima putem kartica s čipom.
. Važno! Preporuka Agencije vezano za organizacijske i tehničke mjere
  • dokumentaciju u papirnatom obliku koja sadrži osobne podatke voditelj obrade dužan je istu pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade
  • pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke
  • izrada sigurnosnih kopija od strane ovlaštenih osoba
  • potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka
  • pseudonimizacija ili enkripcija osobnih podataka, osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju)
  • bilježenje pristupa podacima
A

Povezano

X
Skip to content