Intenzitet korištenja prijenosnih uređaja nemjerljivo je pojačan uslijed zahtjeva za radom na daljinu zbog epidemioloških mjera, i pred nama je nova sezona intenziviranja korištenja laptopa i ostalih prijenosnih uređaja i njihovog nošenja izvan ureda ili škole.
Nije tajna da se laptopi kradu i da su sve češće meta kradljivaca koji provjeravaju jesu li ih vlasnici možda ostavili u svom vozilu bez nadzora. Također je poznato da se za vrijeme praznika događaju provale u škole, vrlo često s istom posljedicom.
Ponekad su razlozi krađa sami laptopi zbog njihove vrijednosti i štete se broje u tisućama kuna. Puno ozbiljniji slučajevi krađa motivirani su krađom podataka pohranjenih u laptopu, od poslovnih tajni do osobnih podataka.
U svakom nam slučaju nestanak ili krađa prijenosnog računala, posebice laptopa, stvara velike probleme, ne samo zbog financijskog gubitka ili zbog toga što nam je otežan rad i što smo možda ugrozili poslovanje i izvršenje radnih zadataka ili smo se doveli u zakašnjenje s isporukom određene usluge, ili se pak bojimo sankcija poslodavca.
Uobičajeno promatramo laptop kao sredstvo rada i skupu "igračku", ali ponekad zaboravimo na ono najvrijednije što se nalazi pohranjeno u našem laptopu od vrijedne dokumentacije i informacija.
Zbog same krađe, organizacije prijavljuju iste policiji, i to je u redu.
Međutim, mnoge organizacije nisu svjesne GDPR obveza.
Ukoliko se radi o korištenom laptopu, tada sigurno imamo mnoštvo osobnih podataka koje držimo u njemu, počevši od emailova, poruka, pristupa online bazama i sustavima ili dokumentima u cloudu, pa do interno pohranjenih evidencija, dokumenata ili skenova osjetljive prirode.
U slučaju nestanka ili krađe korištenog laptopa moramo poduzeti slijedeće korake prema GDPR obvezama:
1. Odmah obavijestiti prvog rukovoditelja i službenika za zaštitu podataka ili osobu koja brine o zaštiti podataka u organizaciji.
2. Utvrditi datum i točno vrijeme kada smo saznali za taj incident i zapisati ga, utvrditi i kako smo došli do saznanja, tko nas je obavijestio, te opis incidenta.
3. Utvrditi koji se osobni podaci nalaze na laptopu, okvirne količine, kategorije osobnih podataka.
4. Utvrditi imamo li među njima i osjetljive kategorije osobnih podataka, kao npr. podatke o zdravlju osoba ili podatke o vjerskim ili političkim uvjerenjima, biometrijske ili genetske podatke i ostale kategorije iz članka 9. GDPR-a.
5. Utvrditi jesmo li možda na laptopu pohranili podatke čije otkrivanje može uzrokovati krađu identiteta ili prijevaru, financijski gubitak, štetu za ugled ili gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, ili podatke o kaznenim osudama i povezanim sigurnosnim mjerama.
6. Utvrditi koji je operativni sustav instaliran na laptopu (npr. MacOS, Linux, Windows 7 ili 10 Home ili Windows 10 Professional), je li SSD ili HDD disk enkriptiran (npr. BitLocker na Windows Professional verzijama ili drugi alat za enkripciju)
7. Na temelju prethodnih točaka procijeniti može li "novi korisnik" pristupiti do osobnih podataka na vašem laptopu probijanjem lozinke ili vađenjem SSD/HDD diskova, i time dovesti osobe čiji su osobni podaci kompromitirani u rizik za njihova prava i slobode.
8. Ukoliko postoji vjerojatnost rizika za prava i slobode pojedinaca, preuzeti i popuniti obrazac Izvješća s AZOP web stranice:
https://azop.hr/info-servis/detaljnije/izvjesce-o-povredi-osobnih-podataka
iako možete i svoj obrazac koristiti, važno je da slijedite obvezna polja i tražene informacije.
9. Popunjeno i ovjereno Izvješće dostaviti na adresu:
Agencija za zaštitu osobnih podataka, Selska cesta 136, 10000 Zagreb i skenirano na Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite..
SVE PRETHODNE TOČKE MORAJU SE IZVRŠITI BEZ ODLAGANJA A NAJKASNIJE U ROKU OD 72 SATA OD SAZNANJA
Ako nemate sve potrebne informacije, dostavite u AZOP ono čime raspolažete i u kasnijim intervalima obavještavati AZOP o dodatnim detaljima.
10. Ukoliko ste utvrditi da na laptopu imate vrlo osjetljive osobne podatke čije kompromitiranje može stvoriti pojedincima visok rizik za prava i slobode, tada bez odlaganja moramo obavijestiti i te pojedince kako bi oni mogli poduzeti potrebne mjere opreza.
11. Zapisati povredu podataka u Evidenciju povreda podataka, dokumentirati sve činjenice, posljedice, poduzete mjere i biti spreman za nadzor AZOP-a.
Vrlo je teško u ovakvim incidentnim trenucima biti staložen i miran da se sve obveze ispune, stoga se neophodno pripremiti za incidente prije nego nastanu, prije svega dokumentiranim procedurama upravljanja incidentima i povredama podataka i određivanjem zaposlenika koji će voditi postupak upravljanja neželjenim situacijama u ekstremno kratkim rokovima.
Za kraj ovih sažetih uputa, želimo vam da ih nikada nećete trebati.