Kada se govori o regulatornim obavezama vezanim uz kibernetičku sigurnost, najčešće se spominju NIS2 direktiva, u Hrvatskoj implementirana kao Zakon o kibernetičkoj sigurnosti, ili domenski specifične regulative poput DORA-e za financijski sektor. No, nedavna odluka Agencije za zaštitu osobnih podataka (AZOP) podsjetila nas je da i GDPR svim organizacijama koje obrađuju osobne podatke nameće konkretne i obvezujuće zahtjeve u pogledu sigurnosti.
Kazna od 35.000 EUR: što se dogodilo?
AZOP je izrekao kaznu od 35.000 EUR trgovačkom društvu koje je postalo žrtvom ransomware napada. Razlog kazne nisu bili propusti u samom odgovoru na napad, već višestruki propusti u zaštiti osobnih podataka zaposlenika i korisnika i to prije nego što je napad uopće nastupio.
U fokusu istrage bile su povrede članka 32. GDPR-a, koji se odnosi na primjenu tehničkih i organizacijskih mjera (TOM) zaštite podataka, te nedostatna edukacija zaposlenika o primjerenim mjerama zaštite.
Što GDPR zapravo zahtijeva?
Već u članku 5., koji propisuje temeljna načela obrade osobnih podataka, GDPR jasno definira načelo cjelovitosti i povjerljivosti:
Osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Članak 32., temeljem kojeg je u ovom slučaju izrečena kazna, konkretizira te zahtjeve. Voditelji i izvršitelji obrade dužni su, razmjerno rizicima kojima su izloženi, provoditi mjere koje uključuju:
- pseudonimizaciju i enkripciju osobnih podataka;
- osiguravanje povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
- sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka u slučaju fizičkog ili tehničkog incidenta;
- redovito testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera.
Što to znači u praksi?
Svaka organizacija koja obrađuje osobne podatke (a to su praktički sve organizacije) obvezna je:
- procijeniti i dokumentirati rizike kojima su izloženi sustavi i podaci koje obrađuje;
- izraditi i provoditi plan mitigacije identificiranih rizika;
- redovito testirati sustave koje koristi u obradi podataka;
- organizirati backup podataka na način koji je otporan na razumno predvidive scenarije napada;
- educirati zaposlenike o primjerenim mjerama zaštite osobnih podataka.
Nije dovoljno samo imati antivirusni program ili firewall. GDPR zahtijeva sustavni pristup — od identifikacije rizika, kroz implementaciju mjera, do redovite provjere njihove učinkovitosti.
Zaključak
Ransomware napad može zadesiti bilo koga. No, regulatorna odgovornost organizacije ne počinje u trenutku napada već postoji kontinuirano, u svakodnevnom načinu na koji se osobni podaci obrađuju i štite. Kazna izrečena u ovom slučaju nije posljedica samog incidenta, nego propusta u pripremi i preventivnim mjerama.
Ako niste sigurni zadovoljavaju li vaše tehničke i organizacijske mjere zahtjeve članka 32. GDPR-a, prvi korak je procjena trenutnog stanja, koju možete napraviti ovim upitnikom.