Nazad na blog

Обука за фишинг повољна за приватност: радни савети, сагласност и основни елементи GDPR-а

Како дизајнирати програм који је ефикасан *и* прилагођен запосленима: опције анонимизације, задржавање података и јасна обавештења

Autor Tim AutoPhish|Objavljeno 8/24/2025
Cover image for Обука за фишинг повољна за приватност: радни савети, сагласност и основни елементи GDPR-а

⚖️ Овај чланак садржи опште информације - за конкретне одлуке у вези са вашом организацијом, консултујте квалификованог адвоката у вашој јурисдикцији.

Укратко

Можете спроводити утицајне симулације фишинга у ЕУ без удаљавања особља или ризиковања непоштовања прописа тако што ћете:

  1. користити легитимне интересе (а не сагласност) као своју примарну правну основу и документовати тест одмеравања;
  2. укључивање заступника радника у раној фази и кодирање заштитних мера у уговору о раду где је то потребно;
  3. давање приоритета анонимизацији/псевдонимизацији, кратком року чувања и транспарентним обавештењима; и
  4. спровођење DPIA ако ваш контекст указује на висок ризик (нпр. систематско праћење).

1) Правни основ: зашто легитимни интереси обично надмашују сагласност

У контексту запослења, сагласност је ретко слободно дата због неравнотеже моћи између послодавца и запосленог. Упутства 05/2020 о сагласности Европског одбора за заштиту података наглашавају да је сагласност запосленог важећа само у изузетним околностима без неповољних последица у случају одбијања. За симулације фишинга, боље прилагођено решење је члан 6(1)(f) легитимни интереси, документовано Проценом легитимних интереса (LIA) која одмерава ваше потребе за безбедношћу у односу на права и очекивања запослених.

Добра пракса за LIA

  • Дефинишите интересовање (свест о безбедности; спречавање превара).
  • Дефинишите разумна очекивања запослених (обука је уобичајена; тајно профилисање није).
  • Наведите мере ублажавања (видети одељке 3–5).
  • Забележите зашто би пристанак био непримерен у вашем контексту.

Референце: EDPB Упутства 05/2020 о пристанку; Резолуција 47 GDPR-а (разумна очекивања).

2) Синдикални одбори: Немачка и Аустрија у фокусу

Ако послујете у земљама са јаком ко-детерминацијом, укључите синдикални одбор пре увођења.

  • Немачка (BetrVG §87(1) бр. 6): синдикални одбор ко-одређује "увођење и употребу техничких уређаја намењених за праћење понашања или учинка запослених." Чак и једноставне контролне табле могу да изазову ову обавезу, па је уобичајена пракса склапање Betriebsvereinbarung (пословног уговора) којим се утврђују обим, руковање подацима и заштитне мере.
  • Аустрија (ArbVG §96(1) No. 3): мере надзора и технички системи који могу да утичу на људско достојанство захтевају сагласност синдиката (или појединачну сагласност ако не постоји синдикат).

Шта укључити у споразум/политику компаније
Сврха и обим, законски основ, минимални прикупљени подаци, без дисциплинске употребе самих показатеља, ко шта види, распоред задржавања и анонимизације, листа добављача (обрађивача/потпроцесора), права запослених и клаузула о годишњој ревизији.

Извори: Немачка—BetrVG §87(1) бр. 6 (службени енглески текст); анализа адвокатске канцеларије Luther Law. Аустрија—резиме Eurofound-а ArbVG §96(1) бр. 3; објашњење Schoenherr-а.

3) Анонимизација наспрам псеудонимизације (и шта то значи за извештаје)

  • Анонимизација (Уводна изјава 26 GDPR-а): када су подаци заиста анонимни, GDPR се више не примењује.
  • Псевдонимизација (чл. 4 ст. 5 GDPR-а): подаци су и даље лични ако се могу поново повезати преко одвојених кључева; поступати у складу с тим.

Модел извештавања усмерен на приватност

  • Подразумевано користити агрегате по тиму/локацији.
  • За анализу трендова користити стабилне случајне ИД-ове уместо имена; кључ чувати одвојено са строгом контролом приступа.
  • Појединачне резултате показивати само малој групи која мора да зна (нпр. вођи за подизање свести о безбедности + људским ресурсима) и само када је то неопходно за циљани коучинг.
  • Никада не прикупљајте стварне лозинке; ако корисник покуша да унесе акредитиве, прикажите страницу за обуку и баците било који унос.

За практичан пример како платформа примењује ове концепте, погледајте преглед анонимизације AutoPhish-а: https://autophish.io/anonymization

4) Чување: што краће, то безбедније (и захтевано принципом)

Принцип ограничења чувања из GDPR-а захтева да се лични подаци чувају у облику који омогућава идентификацију не дуже него што је потребно за наведену сврху. За програме за фишинг, многе организације усвајају двостепено временско раздобље:

  • Оперативни прозор (нпр. 30–90 дана): идентификовани подаци доступни за обуку и отклањање недостатака.
  • Аналитика након кампање: након тога агрегирати/анонимизовати, задржавајући само неидентификоване трендове за дугорочно праћење КПИ-ја.

Ово документујте у својим евиденцијама о обради по члану 30 и у обавештењу о приватности за запослене.

5) Обавештења: будите транспарентни и користите једноставан језик (члан 13)

Пре ваше прве кампање, доставите кратко унутрашње обавештење (или ажурирајте вашу политику приватности за запослене) у којем се објашњава: сврха (свест о безбедности), правно основање (легитимни интереси), које податке прикупљате (нпр. имејл, одељење, догађаји клика/извештаја), рокова чувања, ко може да приступи подацима на нивоу појединца (ограничене улоге), нема дисциплинске употребе појединачних догађаја, права запослених (приступ/приговор), и контакт (DPO или лице задужено за приватност).

Почетни текст за копирање (прилагодите вашем контексту)

Планирамо периодичне симулације фишинга како бисмо изградили свест о безбедности и смањили ризик од преваре. Обрађујемо ваше име, службени имејл, одељење и интеракције у симулацији (нпр. отворено/пријављено/послато). Наша законска основа је легитимни интерес (GDPR чл. 6(1)(f)). Подаци на нивоу појединца видљиви су само тиму за подизање свести о безбедности (и људским ресурсима где је то неопходно за циљани коучинг). Идентификационе податке чувамо [X дана], а затим их агрегирамо/анонимизујемо. Никада не складиштимо стварне лозинке. Можете остварити своја права у вези са подацима (увид/приговор, итд.) преко [контакт]. Погледајте [линк до вашег пуног обавештења о приватности за запослене].

6) Да ли вам је потребна процена утицаја на заштиту података (DPIA)?

Процена утицаја на заштиту података (DPIA) је потребна када обрада вероватно доводи до високог ризика за појединце (члан 35). Регулаторна тела и ЕДПБ (Европски одбор за заштиту података) наводе да надгледање запослених може покренути обавезу спровођења DPIA — посебно када је обрада систематска или обухвата рањиве субјекте података. Ако ваш програм уводи нове алате, обимне метрике или прекограничне трансфере, боље је спровести DPIA.

Шта обухватити: сврха/неопходност, алтернативе (мање интрузивне опције), токови података, ризици, мере ублажавања (анонимизација, минимизација, приступ заснован на улогама, кратко задржавање, коучинг без кривице) и план за периодичну ревизију.

7) Провајдери и међународни преноси

Ако користите провајдера платформе, ви сте контролор, а они су обрађивач; потпишите Споразум о обради података који испуњава захтеве члана 28 (безбедност, контрола под-обрађивача, помоћ у вези са правима на податке, брисање на крају услуге). Ако је пружалац услуга или његови подпроцесори ван ЕЕП, примените Стандардне уговорне одредбе и спроведите процену ризика преноса.

8) NIS2: ако сте обухваћени директивом, обука више није опционална

За субјекте обухваћене Директивом NIS2, руководство мора да надгледа мере управљања ризиком у области сајбер безбедности (члан 20) и да обезбеди одговарајућу обуку и процесе за инциденте (члан 21). Чак и ако нисте обухваћени директивом, ниво који NIS2 поставља је корисна референтна тачка за МСП (мала и средња предузећа).

9) Практична архитектура са приоритетом на приватност (која и даље функционише)

  • Подаци улаза: име, имејл, тим и менаџер (опционо). Без личних имејлова; без посебних категорија.
  • Током кампање: прикупљају се само подаци о догађајима (доставено, кликнуто, пријављено, поднето). Ако корисник покуша да унесе акредитиве, прикаже се обука и не сачувају се никакви тајни подаци.
  • Контрола приступа: тим за подизање свести може да види кохорте и анонимисане ИД-ове
  • Чување: 30–90 дана за идентификоване податке → аутоматско анонимизовање; чување агрегата за годишње трендове.
  • Излазни подаци: извештај за руководство показује стандарде и трендове, а не имена.
  • Управљање: LIA + (по потреби) DPIA у фајлу; регистар по члану 30 ажуриран; споразум о раду одобрен.

Завршне мисли

Обука за фишинг прилагођена приватности није противречност. Са правим законским основама, истинским представништвом радника и техничким заштитним мерама као што су анонимизација и кратко задржавање података, ваш програм може да штити људе и њихове податке и истовремено смањи ризик на мерљив начин. У случају несигурности, потражите правни савет прилагођен вашим чињеницама.

Правни извори (Немачка и Аустрија)

Даље читање

Nazad na sve postove

Spremni da ojačate svoju odbranu?

Registrujte se danas i pokrenite svoju prvu simulaciju fišinga za nekoliko minuta.

Počnite da simulirate odmahKontaktirajte nas