FERALIS

Poznati britanski lanac hotela Marriott zbog nepoštivanja GDPR-a KAŽNJEN S 18,4 MILIJUNA FUNTI

| Autor: Ines i Marko Krečak, DPO Feralis
Ilustracija (Pixabay)

Ilustracija (Pixabay)


Britanski regulator ICO ovih dana izrekao je dvije velike kazne zbog nedovoljnih tehničkih i organizacijskih mjera zaštite osobnih podataka.

Prva kazna odnosi se na British Airways koji je bio žrtvom kibernetičkog napada kada su korisnici British Airwaysa dijelom preusmjeravani na lažnu stranicu gdje su ostavljali svoje osobne podatke. Zbog nedovoljnih tehničkih i organizacijskih mjera za osiguranje informacijske sigurnosti, razotkriveni su imena, e-mail adrese, podaci s kreditnih kartica i slično za više od 400.000 korisnika i zbog toga su kažnjeni s 20 milijuna funti.

Po istim pravilima britanski Information Commissioner's Office sada je kaznio i hotelsku grupaciju Marriott s 18,4 milijuna funti. Njima je od 2014. do 2018. kompromitirano ukupno 399 milijuna osobnih podataka gostiju ovog hotelskog lanca i svih hotela iz njihove grupacije (kao što su Westin, Le Méridien i Sheraton) u cijelom svijetu također zbog nedovoljnih tehničkih i organizacijskih mjera zaštite.

Iako je napad počeo 2014. godine, izrečena kazna odnosi se samo za povredu osobnih podataka u razdoblju primjene GDPR-a.

Tehničke i organizacijske mjere zaštite

Naime, GDPR zahtjeva da se uzimaju u obzir najnovija dostignuća, trošak provedbe te priroda, opseg, kontekst i svrha obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka prilikom provođenja odgovarajućih tehničkih i organizacijskih mjera zaštite.

Pri tome se poseban fokus stavlja na to da se obrađuju samo oni podaci koji su nužno potrebni te da se vodi računa o količini podataka koja se prikuplja, opsegu njihove obrade, rokovima pohrane i njihovoj dostupnosti.

Pojednostavljeno, isto prije svega upućuje na to da trebamo prikupljati samo one podatke koji nam zaista i trebaju i da za svaki podatak točno znamo njegovu valjanu zakonitu osnovu (bilo da je to primjerice, na temelju zakonske norme npr. podaci koje je potrebno prikupiti za uvođenje gosta u sustav e-visitor ili je to prikupljanje podataka za loyalty program tj. onda prikupljamo podatke kako bi mogli pružiti dodatnu uslugu ili drugo).

Kada prikupljamo samo podatke koji nam trebaju onda znamo i rokove pohrane takvih podataka.

Naime, podatke koje prikupljamo na temelju određene zakonske norme (kao kad prikupljamo podatke za unos u e-visitor) tada nam već sam zakon određuje rokove pohrane takvih podataka. No, kada prikupljamo podatke na temelju neke druge osnove odnosno, kada nemamo zakonom propisane rokove čuvanja tada trebamo obrađivati podatke samo onoliko dugo koliko nam trebaju ili ako je potrebna njihova duža pohrana radi npr. mogućih naknadnih zahtjeva tada trebamo svojim organizacijskim mjerama zaštite odrediti takve rokove i pridržavati se istih. Pri tome trebamo voditi računa da ne dolazimo do prekomjerne obrade podataka koja se najčešće događa kada neki osobni podatak vodimo u više različitih dokumenata radi nama olakšavanja posla ili "da se za svaki slučaj nađe".

Kada smo definirali da prikupljamo samo one podatke koji su nam stvarno potrebni, znamo točne rokove pohrane i ne evidentiramo ih na više mjesta nego je to nužno potrebno i drugo, onda postavljamo pitanje da li osiguravamo organizacijske i tehničke mjere zaštite podataka u skladu s zahtjevima regulative i našim stvarnim mogućnostima.

Stvarne mogućnosti ovisiti će od subjekta do subjekta tj. od voditelja/izvršitelja obrade do voditelja/izvršitelja obrade. Naravno, da primjerice jedan mali obiteljski hotel neće imati jednake mogućnosti zaštite kao veliki hotelski lanac i upravo zato je bitno voditi računa da su organizacijske i tehničke mjere zaštite uvijek u skladu s našim stvarnim mogućnostima.

Ipak, Opća uredba (GDPR) određuje da će neke od takvih mjera svaka organizacija ipak moći poduzeti, neovisno o njezinim tehničkim, organizacijskim, financijskim i drugim mogućnostima. Takve mjera podrazumijevaju da se:

  • sve osobe koje obrađuju osobne podatke obvežu da će poštovati GDPR i drugu primjenjivu regulativu i djelovati samo prema uputama voditelja obrade;
  • osiguraju rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
  • utvrdi proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
  • osigura sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
  • prema potrebi provodi pseudonimizacija i enkripcija osobnih podataka;
  • osigura, kada je to moguće, sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade.

 

Osobne podatke teško možemo osigurati na način da izbjegnemo svaki mogući incident. Nitko pa niti sam GDPR ne zahtijeva zaštitu na način da do incidenta ne može doći već da se smanje sve potencijalne opasnosti u skladu s današnjim tehnološkim napretkom i mogućnostima organizacije koja te podatke obrađuje. Koje se sve to mjere mogu poduzeti i na koji način da se smanji rizik za prava i slobode osoba čiji se osobni podaci obrađuju zna najbolje svaka organizacija za sebe jer najbolje poznaje vlastite mogućnosti.

Zaključno možemo reći da iako možda netko GDPR odredbama o tehničkim i organizacijskim mjerama zaštite nije posvetio dovoljnu pažnju i tumačio ih dosta "široko" svatko treba preispitati da li je sve učinio u skladu sa svojim stvarnim mogućnostima da primjereno zaštiti osobne podatke koje obrađuje

Ines i Marko Krečak, DPO Feralis

Povezane vijesti


Podijeli: Facebook Twiter


Vremenska prognoza

Podaci preuzeti sa: www.yr.no


Web kamere

Pula

Pula: Banjole bay
Pula: Banjole bay

Pula

Pula: Golden Gate of
Pula: Golden Gate of