GDPR v 4 krokoch a kde začať

Aj keď GDPR môže vyzerať komplikovane, existuje jednoduchý spôsob, ako si vytvoriť plán na dosiahnutie súladu s GDPR a vyhnúť sa budúcim problémom.

EK zaviedla všeobecné nariadenie o ochrane údajov (GDPR), nové nariadenie, ktoré zjednocuje práva, povinnosti, správy, ochranu a, žiaľ, aj sankcie v súvislosti so spracovaním osobných údajov.

Aj keď GDPR môže vyzerať zložito, existuje jednoduchý spôsob, ako si vytvoriť plán, ako dosiahnuť súlad s GDPR a vyhnúť sa budúcim problémom. EÚ si váži osobné práva, a preto berie zaobchádzanie s osobnými údajmi vážne.

Zneužitie osobných údajov alebo ich nedostatočná ochrana môže viesť k vysokým pokutám až do výšky 4 % ročného príjmu spoločnosti alebo 20 miliónov EUR.

GDPR je predovšetkým prísne nariadenie, ktoré sa týka každého podniku a organizácie pracujúcej s osobnými údajmi osôb žijúcich v EÚ.

Týka sa teda aj podnikov pôsobiacich mimo územia EÚ, ktoré z nejakého dôvodu spracúvajú údaje osôb žijúcich v EÚ.

GDPR možno rozdeliť do troch hlavných oblastí – bezpečnosť, prístupnosť osobných údajov a právna oblasť.

To si vyžaduje pridanie ovládacích prvkov a pravdepodobne aj reorganizáciu štruktúry údajov a procesu ukladania.

Čo je cieľom:

Prístupnosť a štruktúra osobných údajov

Osobné údaje sú osobným vlastníctvom každého človeka – vždy môže požiadať o informácie o tom, aké údaje sú o ňom uložené, ako sa údaje používajú, alebo požiadať o ich úplné odstránenie.

Za osobné údaje sa považujú aj identifikovateľné informácie (PII), teda informácie, ktoré môžu viesť k identifikácii osoby.

Úplná viditeľnosť

Vaša organizácia musí byť schopná na požiadanie vysledovať a nájsť všetky osobné údaje. V mnohých prípadoch si to bude vyžadovať úpravu systému a štruktúry ukladania a spracovania informácií.

Úspešná implementácia môže vašej organizácii priniesť výhodu v podobe využitia informácií na lepšie analýzy vášho podnikania, čo môže viesť k presnejšiemu plánovaniu.

Naša spoločnosť vám pomôže zaviesť niektoré mapovacie nástroje, ktoré vám v prípade potreby budúceho spracovania poskytnú prehľad o tom, kde sú vo vašej organizácii tieto súkromné údaje uložené.

• Odstránenie

V prípade žiadosti musí byť vaša organizácia schopná odstrániť a zlikvidovať všetky osobné údaje.

Môže sa to zdať jednoduché, ale veľa týchto informácií môže zostať na rôznych médiách alebo zálohách.

• Informovaný súhlas

Každá organizácia, ktorá uchováva osobné údaje, je povinná mať súhlas vlastníka s presnými špecifikáciami, ako sa s týmito súkromnými údajmi bude zaobchádzať a ako sa budú zverejňovať.

• Prenosnosť súkromných údajov

Vlastník informácií má právo získať a presunúť svoje osobné údaje uložené vo vašej organizácii. A vy mu to musíte byť schopní poskytnúť.

V prípade, že ukladáte veľké množstvo údajov, ktoré si môže vyžiadať veľký počet vlastníkov, môže vaša organizácia čeliť značnému pracovnému zaťaženiu.

Preto je absolútne nevyhnutné mať k dispozícii tie najlepšie automatizované systémy.

Zabezpečenie

GDPR vyžaduje, aby spracovatelia a správcovia osobných údajov chránili tieto údaje pred neoprávneným zverejnením.

Ak dôjde k odcudzeniu alebo zverejneniu osobných údajov, a ak vyšetrovanie odhalí, že organizácia nevyvinula dostatočné úsilie na jeho ochranu, môže jej byť udelená vysoká pokuta až do výšky 20 000 000 EUR.

GDPR neobsahuje najmä úplný zoznam kontrol.

Ochrana informácií je založená na osvedčených postupoch a normách.

• Kontrola prístupu

Vaša organizácia by mala mať systémy, ktoré zaznamenávajú a kontrolujú každý prístup k údajom.

Dôrazne sa odporúča inštalácia vhodného nástroja na prevenciu straty údajov.

Dostatočný nástroj bude plne kontrolovať, aké údaje a akým spôsobom sa z vašej organizácie získavajú.

Naša spoločnosť má rozsiahle skúsenosti s implementáciou produktov DLP do rôznych prostredí, ktoré pomáhajú chrániť pred rôznymi hrozbami vrátane firemnej špionáže.

• Monitorovanie

Odporúča sa vhodná kontrola systémov. Všetky logy zo systémov by sa mali zhromažďovať na centrálnom mieste, vyhodnocovať, korelovať pomocou SIEM a monitorovať 24 hodín denne, 7 dní v týždni.

• Nahlasovanie

Bezpečnostný incident, keď sa osobné údaje sprístupnia neoprávnenej osobe, sa musí do 48 hodín nahlásiť vnútroštátnemu orgánu.

Na tento účel naša spoločnosť ponúka SOC ako službu, ktorá v porovnaní s vlastným SOC ušetrí značné množstvo finančných prostriedkov.

• Riadenie zraniteľnosti

Zneužitie neopravených zraniteľností je jedným z najjednoduchších spôsobov, ako narušiť prostredie a získať údaje. Odporúča sa pravidelne vyhodnocovať zraniteľnosti prostredia. Na tento účel naša spoločnosť ponúka riešenie vScan, ktoré sa ľahko implementuje a je finančne nenáročné.

• Úplný štandard zabezpečenia informácií

Vyššie sú uvedené minimálne kontroly, ale implementácia úplných štandardov informačnej bezpečnosti je pre veľkých spracovateľov súkromných údajov nevyhnutná.

Právne požiadavky

Spracovanie osobných údajov musí byť vo vzťahu k príslušnej osobe spravodlivé a transparentné. Je povinnosťou spoločnosti informovať používateľa o tom, aké osobné údaje boli zhromaždené a na aký účel.

Vlastník musí súhlasiť so zamýšľaným účelom a so skutočnosťou, že sa údaje zhromažďujú.

• Informovaný súhlas

Podmienky na udelenie súhlasu boli zjednotené, takže spoločnosti už nebudú môcť využívať dlhé a nečitateľné podmienky plné právnického textu.

Teraz musí byť žiadosť o súhlas podaná v zrozumiteľnej a ľahko prístupnej forme spolu s informáciou o účele spracúvaných údajov – to znamená, že nesmie byť nejednoznačná.

• Opt-out

GDPR stanovuje, že vlastníci údajov musia mať možnosť odmietnuť spracovanie svojich údajov a o tomto práve na odmietnutie (opt-out) musia byť informovaní pri prvom kontakte s prevádzkovateľom údajov.

• Osoby mladšie ako 16 rokov

V prípade, že sa spracúvajú údaje osoby mladšej ako 16 rokov.

• Zodpovedná osoba alebo DPO

Pridelenie jednej zodpovednej, kvalifikovanej a znalej osoby na túto úlohu výrazne uľahčí a zjednoduší proces zabezpečenia súladu s GDPR.

Naša spoločnosť môže ponúknuť služby jedného z našich konzultantov pre informačnú bezpečnosť, ktorý pôsobí ako úradník pre ochranu údajov, ako to vyžaduje GDPR.

DPO je zodpovedný za hodnotenie a presadzovanie primeraných procesov GDPR, ako aj za monitorovanie súladu spoločnosti s GDPR a poradenstvo spoločnosti v oblasti právnych požiadaviek na dodržiavanie GDPR.

DPO musí byť vymenovaný v prípade:

• verejné orgány,
• organizácie, ktoré vykonávajú rozsiahle systematické monitorovanie, alebo
• organizácie, ktoré vo veľkom rozsahu spracúvajú citlivé osobné údaje.

4 kroky, ako dosiahnuť súlad s GDPR

1. Zodpovednosť a povinnosť

Každý prevádzkovateľ musí dodržiavať 6 zásad zodpovednosti za spracúvanie osobných údajov podľa GDPR (zákonnosť, obmedzenie účelu a uchovávania, minimalizácia údajov, presnosť údajov, bezpečnosť a integrita), musí spĺňať požiadavky na transparentné, bezpečné a spravodlivé spracúvanie práv a slobôd dotknutých osôb, plniť požiadavky na práva dotknutých osôb, viesť záznamy o spracovateľských činnostiach a zaviesť primerané technické a organizačné opatrenia na predchádzanie porušeniam ochrany údajov.

2. Hodnotenie – Analýza vašich systémov a procesov

Každý projekt týkajúci sa súkromných údajov musí obsahovať:

• Mapovanie dát

Každý projekt týkajúci sa spracovania osobných údajov by sa mal začať analýzou systémov a procesov spoločnosti prostredníctvom hodnotenia mapy údajov.Proces mapovania údajov pomáha organizácii získať 360-stupňový pohľad a kompletný životný cyklus tokov osobných údajov od bodu zberu až po bod vymazania údajov vrátane všetkých procesov, bodov spracovania a prostriedkov spracovania.

• Analýza nedostatkov

Každý projekt týkajúci sa spracovania osobných údajov by mal obsahovať analýzu nedostatkov. Analýza nedostatkov určuje, či už zavedené technické a organizačné opatrenia môžu dosiahnuť ciele a súlad s GDPR a čo je potrebné zaviesť alebo zlepšiť, aby sa dosiahol súlad s GDPR. Analýza medzier je technika používaná na určenie krokov potrebných na prechod zo súčasného stavu do požadovaného budúceho stavua na porovnanie súčasnej výkonnosti opatrení a kontrolných mechanizmov na zabezpečenie súladu s GDPR.

• Posúdenie vplyvu na ochranu údajov (DPIA)

Každý projekt, ktorý pracuje s osobnými údajmi, musí spracovať DPIA. DPIA je klasifikácia a posúdenie súkromných údajov z mapovania údajov a vyhodnotenie rizík z hľadiska súladu a ochrany osobných údajov z právneho, technického a bezpečnostného hľadiska.

Naša spoločnosť vám poskytne DPIA a nasledujúci návrh riešenia.

3. Návrh riešenia

Po posúdení by sa mali navrhnúť vhodné technické a organizačné riešenia a opatrenia.

Na splnenie požiadaviek GDPR by toto riešenie malo zahŕňať právne úpravy, školenia, procesy, dokumentáciu, technické a organizačné riešenia a implementáciu informačnej bezpečnosti.

Naši firemní konzultanti majú bohaté skúsenosti s navrhovaním riešení pre veľké prostredia vrátane spoločností z rebríčka Fortune 500 a sú vám k dispozícii na podporu alebo kompletný návrh vášho riešenia GDPR.

4. Implementácia

Posledným krokom je implementácia týchto navrhnutých právnych, vzdelávacích, technických a informačných bezpečnostných kontrol a opatrení. Naše metodické kroky pre implementáciu GDPR sú nasledovné: Plánuj – Urob – Kontroluj – Konaj.

Tieto implementované riešenia by mali podliehať pravidelnému auditu zhody s cieľom odhaliť a predchádzať prípadným nedostatkom.