Razumevanje uredbe GDPR in njenega vpliva na varnost podatkov

V času, ko so osebni podatki postali dragoceno in ranljivo blago, je uvedba splošne uredbe o varstvu podatkov spremenila podobo varnosti podatkov in zasebnosti uporabnikov. Splošna uredba o varstvu podatkov (GDPR- The General Data Protection Regulation) je zakonodaja, ki ureja varstvo osebnih podatkov državljanov EU ter EGP. Uredba je začela veljati 25. maja 2018 in prinaša pomembne spremembe na področju zbiranja, obdelave in shranjevanja osebnih podatkov (Stanciu, 23.8.2023). V tem prispevku se bomo osredotočili na ključne vidike uredbe GDPR in njene izjemne implikacije za varnost podatkov.

GDPR ima zanimivo, morda celo burno zgodovino. Izvajanje uredbe GDPR je pomenilo prelomnico za varstvo zasebnosti v naši sedanji, nekoliko novi digitalni dobi velikih količin podatkov. Evropski voditelji so uredbo GDPR sprva odobrili leta 2016, uporabljati pa se je začela 25. maja 2018, kar je državam članicam EU in podjetjem po vsem svetu omogočilo dve leti, da se nanjo pripravijo. Uredba je nadomestila direktivo EU o varstvu podatkov (DPD), ki je veljala od leta 1995. Seveda je bilo podatkovno okolje sredi devetdesetih let prejšnjega stoletja videti precej drugače kot leta 2016. Svetovni splet je bil še mlad in pametni telefoni še niso bili v žepih skoraj vseh potrošnikov. Direktivo o varstvu podatkov so države članice EU in EGP izvajale ločeno in se je med posameznimi jurisdikcijami precej razlikovala. V nasprotju s tem se besedilo uredbe GDPR uporablja neposredno in vpliva na vse države članice EU, njen jezik pa bolje odraža sodobne prakse zbiranja podatkov (Stanciu, 2.8.2023).

Osnovne informacije o uredbi GDPR

Glavni cilj GDPR je okrepiti pravice posameznikov glede njihovih osebnih podatkov in poenostaviti regulacijo za organizacije, ki se ukvarjajo s temi podatki. Ta uredba uveljavlja strožje zahteve za pridobitev soglasja, jasno obveščanje o namenu zbiranja podatkov ter pravico do pozabe. GDPR poudarja pravice posameznikov do nadzora nad lastnimi osebnimi podatki. To vključuje pravico do dostopa do podatkov, popravka netočnih informacij, omejitve obdelave ter pravico do pozabe. GDPR prav tako prinaša določene obveznosti za organizacije, in sicer so te sedaj odgovorne za ustrezno obdelavo in varovanje osebnih podatkov. To vključuje upravljanje podatkovnih tveganj, imenovanje pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer, kratica DPO) ter pripravo dokumentacije o varstvu podatkov. Poleg tega pa GDPR uvaja znatne globe za kršitve, kar je spodbuda za organizacije, da skrbno upravljajo z osebnimi podatki(Intersoft Consulting, n.d.).

Z uredbo GDPR je bil vzpostavljen konsolidiran pravni okvir za varstvo podatkov v vseh državah članicah Evropske unije ter Islandiji, Lihtenštajnu in Norveški, ki so del enotnega trga EGP. GDPR torej internetnim uporabnikom iz EU oz. EGP zagotavlja posebne pravice in nadzor nad tem, kdaj in kako se obdelujejo njihovi osebni podatki. Posamezniki, na katere se nanašajo osebni podatki, zaščiteni z GDPR, imajo pravico:

  • do dostopa do podatkov, ki se zbirajo o njih, s kom se delijo in kako se uporabljajo
  • popraviti morebitne netočne informacije v zvezi s posameznikom, na katerega se nanašajo osebni podatki
  • do izbrisa osebnih podatkov, ki se nanašajo na posameznika, v določenih primerih
  • omejiti obdelavo osebnih podatkov v določenih okoliščinah
  • prejeti prenosno kopijo svojih podatkov, da jih lahko enostavno delijo z drugo stranjo in uporabljajo v drugih oblikah
  • ugovarjati obdelavi podatkov v določenih primerih.
  • odkloniti avtomatizirano obdelavo, kot je profiliranje
  • preklicati predhodno dano privolitev
  • vložiti pritožbo pri organu za varstvo podatkov (Stanciu, 23.8.2023).

Podrobnejša Analiza Vpliva GDPR na Varnost Podatkov

Uredba GDPR uvaja bistveno višje standarde varnosti podatkov. Organizacije so dolžne izvajati tehnične in organizacijske ukrepe, ki zagotavljajo ustrezno raven varnosti osebnih podatkov. To vključuje:

  • Kriptiranje podatkov: V skladu z GDPR je priporočljivo kriptirati osebne podatke, še posebej tiste, ki se prenašajo preko omrežij ali shranjujejo v oblaku (Intersoft Consulting, n.d.). Kriptiranje oz. šifriranje je tako proces pretvarjanja berljivega teksta (čistopisa) v neberljivi tekst (tajnopis), ki ga je zelo težko ali celo nemogoče razbrati brez ustreznega ključa. Dekripcija pa je proces pretvarjanja šifriranega teksta spet v berljivo obliko. V sodobnem elektronskem poslovanju se kriptografija uporablja tudi za ostale varnostne storitve (na primer zagotavljanje, da vsebina originalnega dokumenta ni bila spremenjena), ne le zagotovitev tajnosti podatkov (Halcom, n.d.).
  • Redni varnostni preizkusi in presoje tveganj: Organizacije morajo izvajati redne presoje tveganj in varnostne preizkuse, da bi identificirale morebitne ranljivosti in izboljšale svoje varnostne ukrepe (Intersoft Consulting, n.d.).

Poleg tega pa so pod GDPR organizacije dolžne prijaviti kršitve varnosti podatkov pristojnim organom za varstvo podatkov v 72 urah po njihovem odkritju. To povečuje transparentnost in omogoča hitro ukrepanje ob morebitni kršitvi. Organizacije, ki obdelujejo velike količine osebnih podatkov ali se ukvarjajo z občutljivimi podatki, so po GDPR dolžne imenovati informacijskega pooblaščenca (DPO). Ta oseba je odgovorna za nadzor nad skladnostjo z uredbo in svetovanje glede varstva podatkov. GDPR organizacijam tudi določa, da je treba osebne podatke hraniti le toliko časa, kolikor je potrebno za dosego namena, zaradi katerega so bili zbrani. Organizacije morajo določiti ustrezne roke hrambe in zagotoviti, da se podatki izbrišejo, ko ni več potrebe po njihovi obdelavi. Če organizacija uporablja zunanjega izvajalca za obdelavo osebnih podatkov, je potrebno skleniti sporazum o obdelavi podatkov. Ta sporazum določa odgovornosti izvajalca glede varnosti podatkov. Organizacije so dolžne zagotoviti, da so njihovi zaposleni ustrezno usposobljeni glede varstva podatkov. To vključuje izobraževanje o varnostnih praksah, prepoznavanju groženj in postopkih v primeru kršitev varnosti podatkov (Intersoft Consulting, n.d.)

Uvedba GDPR je pomenila ključni trenutek na področju varstva podatkov. Ta uredba ni le poudarila pomena varovanja podatkov uporabnikov, temveč je tudi spodbudila prizadevanja organizacij za izboljšanje njihovih okvirov kibernetske varnosti. Določbe GDPR zahtevajo temeljit pregled in nadgradnjo praks kibernetske varnosti ter s tem zmanjšanje tveganja morebitnih kršitev in ogrožanja podatkov (Bašić, 2023).

Zakone, kot je uredba GDPR, potrebujemo, ker imajo ljudje pravico vedeti in imeti nadzor nad tem, kateri podatki se o njih zbirajo in kako se nadalje uporabljajo ali komu se posredujejo. Osebni podatki so zelo dragoceni – podpirajo industrijo, vredno bilijon dolarjev. Danes številna podjetja del svojega dobička ustvarijo s prodajo osebnih podatkov oglaševalcem. Predpisi, kot je GDPR, ustvarjajo okvir zasebnosti za podjetja vseh velikosti z oblikovanjem pravil o tem, kaj lahko in česa ne smejo početi z našimi osebnimi podatki (Stanciu, 23.8.2023).

Pomembni primeri, v katere so bile vključene mednarodno priznane organizacije, so opozorili na velik vpliv kršitev varstva podatkov na ugled. Zasebnost uporabnikov in strank je neprecenljiva, kršitve, ki ogrozijo njihove podatke, pa lahko povzročijo nepopravljivo škodo zaupanju in ugledu. Nasprotno pa skladnost z uredbo GDPR spodbuja občutek zaupanja med uporabniki, ki svoje zasebne podatke prostovoljno delijo z organizacijami, ki spoštujejo standarde uredbe. To zaupanje spodbuja trajne in zveste odnose s strankami ter krepi verodostojnost organizacije kot zaupanja vrednega skrbnika občutljivih podatkov (Bašić, 2023).

Eden od najbolj prepričljivih dejavnikov, zaradi katerih morajo organizacije dati prednost skladnosti z uredbo GDPR, so morebitne finančne posledice neskladnosti. Uredba predvideva visoke globe, ki lahko dosežejo do 20 milijonov evrov ali 4 % letnega globalnega prihodka organizacije. Ta struktura kazni sili organizacije, da okrepijo svojo kibernetsko varnostno obrambo, da bi preprečile resne poslovne posledice zaradi neupoštevanja pooblastil GDPR (Intersoft Consulting, n.d.).

Uredba GDPR je revolucionarno spremenila kibernetsko varnost, saj je organizacije spodbudila, da okrepijo svoje ukrepe za varstvo podatkov. Učinek uredbe ni omejen na skladnost z zakonodajo, temveč se razteza na spodbujanje zaupanja, krepitev odnosov s strankami in ohranjanje ugleda organizacije. Stroški neskladnosti skupaj s potencialnimi koristmi izboljšane kibernetske varnosti in zaupanja strank poudarjajo, da morajo organizacije nenehno vlagati v skladnost z uredbo GDPR in najboljše prakse kibernetske varnosti. Ker se digitalni svet še naprej razvija, bodo spoznanja, pridobljena pri izvajanju uredbe GDPR, ostala neprecenljiva pri ohranjanju nedotakljivosti podatkov uporabnikov in ohranjanju integritete organizacij (Bašić, 2023).

Vpliv uredbe GDPR na varnost podatkov uporabnikov je nesporen, saj napoveduje preobrazbeno obdobje, v katerem imajo posamezniki večji nadzor, organizacije pa večjo odgovornost pri varovanju osebnih podatkov. Če smo kot uporabniki pozorni na nastavitve zasebnosti in razumemo svoje pravice v skladu z uredbo GDPR, nam to v tem okolju, ki temelji na podatkih, daje moč in prispeva k varnejšemu digitalnemu okolju za vse.

Avtorica prispevka: Lea Bogosavljević

O nas

Zavod Rhea se posveča izboljšanju dostopa do storitev in povečanju ozaveščenosti o digitalni pismenosti, zlasti pri ranljivih skupinah. S spodbujanjem digitalne pismenosti ljudem omogočamo boljšo uporabo digitalnih orodij in izboljšamo kakovost življenja. Prav tako se trudimo povečati dostopnost odprtokodne in pregledne programske opreme za trenutne in potencialne uporabnike. Več o nas in naših programih lahko izveste na https://www.rhea.si/.

Viri:

Bašić, B. (15.9.2023). The Impact of GDPR on Cybersecurity and Data Protection. LinkedIn. https://www.linkedin.com/pulse/impact-gdpr-cybersecurity-data-protection-bo%C5%BEa-ba%C5%A1i%C4%87-1f

Halcom. (n.d.). Kriptografija. https://support.halcom.com/sl/faqs/kriptografija/

Intersoft Consulting. (n.d.). General Data Protection Regulation (GDPR). https://gdpr-info.eu/chapter-1/

Stanciu, T. (23.8.2023). GDPR for dummies. Termly.io. https://termly.io/resources/articles/gdpr-for-dummies/#how-does-the-gdpr-affect-internet-users

Stanciu, T. (2.8.2023). What Is GDPR? Summary of the General Data Protection Regulation. Termly.io. https://termly.io/resources/articles/what-is-gdpr/#what-is-the-gdpr