Sukladno članku 32. Opće uredbe o zaštiti podataka, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:
(a) pseudonimizaciju i enkripciju osobnih podataka;
(b) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
(c) sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
(d) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
Ovaj upitnik za samoprocjenu voditeljima i izvršiteljima obrade služi isključivo u svrhu ukazivanja na neke od osnovnih tehničkih i organizacijskih mjera koje bi trebali poduzeti kako bi zaštitili osobne podatke svojih korisnika/klijenata/zaposlenika.
Odgovori na sva pitanja trebali bi biti DA, osim u slučajevima kad neka od mjera nije primjenjiva na Vaše poslovanje (npr. ako u poslovanju ne koristite pametne telefone ili tablet računala, u tom slučaju ćete na pitanje odgovoriti NIJE PRIMJENJIVO).
AKO SE U POSLOVANJU KORISTI INTERNET
Jeste li na Internet usmjerivaču promijenili predefinirano korisničko ime i lozinku za administriranje jedinstvenim korisničkim imenom i lozinkom koji su poznati samo zaposlenicima ovlaštenim za administriranje Internet usmjerivača?
Jeste li Internet usmjerivač nadogradili na posljednju službenu verziju koju je izdao proizvođač Internet usmjerivača?
Jeste li za bežični pristup kreirali jedinstvenu snažnu lozinku korištenjem WPA2 sigurnosnog protokola?
Je li na Internet usmjerivaču isključena opcija spajanje putem WPS-a?
Je li na Internet usmjerivaču isključena opcija udaljenog pristupa Internetu (tzv. pristup izvana)?
Je li na Internet usmjerivaču isključena opcija Universal Plug and Play (UpnP)?
Je li na Internet usmjerivaču uključena opcija ograničavanja pristupa Internet usmjerivaču putem filtriranja MAC adrese uređaja koje koristite u poslovanju?
Je li Internet usmjerivač postavljen u odgovarajući uredski namještaj (npr. računalne ormare) i/ili prostorije koji su na adekvatan način osigurane od nedozvoljenog pristupa?
Jeste li postavili vatrozid?
Jeste li uspostavili politiku sigurnog korištenja Interneta?
Ima li svaki ovlašteni zaposlenik koji koristi računalo jedinstveno korisničko ime i lozinku za pristup računalu?
Je li operativni sustav na računalima ažuriran na posljednju službenu verziju proizvođača?
Pruža li proizvođač korisničku podršku (podršku nadogradnje) za sve operativne sustave na računalima koji se koriste u organizaciji?
Jeste li na svim računalima instalirali antivirusni program?
Jesu li antivirusni program nadograđeni na posljednju verziju programa i kataloga za detekciju računalnih virusa?
Je li na računalima postavljeno automatsko zaključavanje zaslona nakon određenog vremena nekorištenja računala?
Jesu li računalni serveri postavljeni u npr. računalne ormare ili prostorije koji su na adekvatan način osigurani od nedozvoljenog pristupa?
Jesu li diskovni sustavi koji služe za pohranu podataka postavljeni u odgovarajući uredski namještaj (npr. računalne ormare) ili prostorije koje su na adekvatan način osigurane od nedozvoljenog pristupa?
Jesu li vanjski diskovi postavljeni u odgovarajući uredski namještaj (npr. računalne ormare) ili prostorije koje su na adekvatan način osigurane od nedozvoljenog pristupa?
Jesu li računala, pisači, kopirke i ostala oprema koja se koristi u interaktivnom radu s korisnicima usluga organizacije fizički odijeljena od korisnika usluga odnosno da li je korisnicima onemogućen pristup opremi i uvid u podatke?
Jesu li diskovi prijenosnih računala ili dio diska u kojem se pohranjuju podaci kriptirani?
Jesu li USB stikovi ili dio USB stikova u kojem se pohranjuju podaci kriptirani?
Jesu li prijenosni diskovi ili dio prijenosnog diska u kojem se pohranjuju podaci kriptirani?
Jesu li memorijske kartice ili dio memorijske kartice u kojem se pohranjuju podaci kriptirani?
Jeste li osigurali da su svi prijenosni mediji i prijenosni uređaji, kad nisu u uporabi, pohranjeni u odgovarajući uredski namještaj (npr. ladice, ormare, …) ili u prostorije koje su na adekvatan način osigurane od nedozvoljenog pristupa?
Jesu li sa opreme koja se više neće koristiti na adekvatan način uklonjeni podaci?
Ima li svaki ovlašteni zaposlenik koji koristi program jedinstveno korisničko ime i lozinku za pristup programu?
Jesu li programi ažurirani na posljednju službenu verziju proizvođača?
Pruža li proizvođač korisničku podršku (podršku nadogradnje) za sve programe koji se koriste u organizaciji?
Jeste li pristup bazama podataka koje koriste programi zaštitili jedinstvenim korisničkim imenom i lozinkom zaposlenika/korisnika koji je ovlašten za pristup?
Imaju li programi automatizirani sustav zapisa za evidentiranje pristupa (tzv. logove)?
Je li svaka datoteka u kojoj se pohranjuju podaci osigurana snažnom lozinkom?
Jesu li s lozinkom upoznati samo ovlašteni zaposlenici?
Jeste li za svaku datoteku u kojoj se pohranjuju osobni podaci uspostavili adekvatnu evidenciju pristupa podacima?
Radite li sigurnosne kopije podataka (backup) na adekvatan način?
Nakon što istekne svrha u koju se osobni podaci obrađuju i isteknu zakonski propisani rokovi radi kojih se osobni podaci čuvaju, jesu li osobni podaci obrisani ili pseudonimizirani?
Jesu li datoteke u kojima su pohranjeni osobni podaci prije slanja zaštićene snažnom lozinkom?
Jesu li sažete (zipane) datoteke koje sadrže osobne podatke prije slanja zaštićene snažnom lozinkom?
Dostavljate li lozinku za pristup poslanim datotekama primatelju putem drugog komunikacijskog kanala?
Je li nakon uspješnog prijema elektroničke pošte i pohrane datoteka na računalo primatelja takva elektronička pošta obrisana i kod pošiljatelja i kod primatelja?
Jeste li na pametnim telefonima i tablet računalima uključili opciju sigurno zaključavanje zaslona?
Jeste li na pametnim telefonima i tablet računalima uključili opciju brisanja sadržaja uređaja nakon određenog broja neuspjelih pokušaja otključavanja zaslona?
Jesu li na pametnim telefonima i tablet računalima instalirani samo programi nužni za poslovanje?
Jesu li poslovni programi zaštićeni jedinstvenim korisničkim imenom i/ili lozinkom?
Pohranjuju li se kontakt podaci (imenici) u pametne telefone i tablet računala, a ne na SIM kartice?
Jesu li na pametnim telefonima i tablet računalima pohranjeni samo poslovni podaci, a ne i osobni podaci korisnika uređaja?
Jesu li memorijske kartice (SD kartice) kriptirane?
Jesu li mrežni preklopnici (switch) postavljeni u odgovarajući uredski namještaj (npr. računalne ormare) ili prostorije koji su na adekvatan način osigurane od nedozvoljenog pristupa?
Jesu li utori na mrežnom preklopniku koji se ne koriste stavljeni van funkcije (isključeni) dok se za to ne ukaže potreba?
Je li podešeno koji uređaji mogu međusobno biti povezani (umreženi)?
Je li podešeno koji uređaji imaju pravo pristupa Internetu?
Je li za povezivanje izdvojenih lokacija, odnosno udaljeni pristup uspostavljena tzv. virtualna privatna mreža (VPN)?
Jeste li propisali koji zaposlenici imaju pravo pristupa osobnim podacima?
Pohranjuju li se podaci u odgovarajući uredski namještaj (npr.ladice, ormare) i/ili prostorije koje su na adekvatan način osigurane od nedozvoljenog pristupa?
Nakon prestanka svrhe čuvanja osobnih podataka i zakonski propisanih rokova čuvanja podataka, da li se dokumenti koji sadržavaju osobne podatke uništavaju pomoću rezača papira?
Jesu li zaposlenici educirani o važnosti zaštite osobnih podataka tj. jesu li upoznati za zakonskim propisima o zaštiti osobnih podataka, svojim pravima i obvezama vezano za zaštitu osobnih podataka?
Jesu li zaposlenici koji obrađuju osobne podatke potpisali izjavu o povjerljivosti?
Imate li propisan pravilnik o informacijskoj sigurnosti?
Jeste li propisali tko ima pravo pristupa osobnim podacima?
Koristite li u svakom poslovnom procesu osobne podatke samo u opsegu koji je nužan za svrhu u koju se prikupljaju/obrađuju, a što je nužno za kvalitetno obavljanje posla?
Jesu li za svaki poslovni proces propisani rokovi čuvanja osobnih podataka?