Kategorie požadavků GDPR
Než budou moci IT experti pracující pro správce a zpracovatele začít implementovat řešení, která jejich organizacím pomohou splňovat požadavky GDPR, je důležité, aby věděli, jaké požadavky to jsou. GDPR požadavky mohou být rozděleny do několika širokých kategorií, které se ale mohou vzájemně překrývat.
Logickým prvním krokem k ochraně osobních údajů je jejich identifikace a rozlišení od ostatních dat, která společnost ukládá a zpracovává. To znamená implementaci nové strategie pro klasifikaci údajů nebo aktualizaci té již existující.
Klasifikaci údajů, zahrnující nalezení a označení osobních údajů a citlivých osobních údajů, už mnoho organizací v rámci vlastní globální bezpečnostní strategie provádí.
Plán správy osobních údajů
Správou údajů se rozumí zásady a procedury řízení a zpracování údajů, spolu s plánem implementace daných zásad a procedur. Účelem by mělo být zajištění jednotně řízeného zpracovávání údajů napříč organizací.
Správa údajů je systémem rozhodovacích práv a odpovědností nad informacemi, týkajícími se procesů, které jsou prováděny v souladu s domluvenými modely, které popisují, kdo může provést jaké akce s jakými informacemi, kdy a za jakých podmínek a za použití jakých metod.
Váš plán správy údajů je základním prvkem pro splnění požadavků GDPR. Aby požadavkům odpovídal, musí jasně definovat role a zodpovědnosti vůči přístupu, řízení a využití osobních údajů. Procesy a zodpovědnost jsou důležitými prvky strategie správy údajů.
Postupy pro řízení osobních údajů
GDPR nastoluje povinnosti pro správce a zpracovatele, kteří mají vliv na způsob řízení osobních údajů od občanů EU.
Správci jsou povinni:
- Poskytnout subjektům údajů kopii jejich osobních údajů na požádání - Podle článku 20 musí správci v určitých podmínkách poskytnout osobní údaje v strukturovaném, běžně používaném a strojově čitelném formátu. GDPR rovněž vyžaduje, aby byly osobní údaje na přání subjektu přenášeny dalším správcům bez překážek. To znamená, že musíte prokázat schopnost exportovat tyto osobní údaje v běžně používaném souborovém formátu. To je známo jako přenositelnost dat.
- Poskytnutí konkrétních informací v okamžiku sběru osobních údajů - Informace musí zahrnovat detaily o identitě a kontaktní informace na správce a (případně) jeho inspektora ochrany údajů, účely, za kterými jsou osobní údaje sbírány a zpracovány, a jestli jsou údaje přenášeny do zemí mimo EU. Správce musí subjekty údajů také zpravit o jejich právech na odvolání souhlasu k použití jejich údajů, na opravu údajů (oprava chyb nebo doplnění informací) a na výmaz osobních údajů. Tyto požadavky jsou vypsány v článcích 15, 16, 17, 19 a 20.
- Získat svolení před zpracováním osobních údajů - Článek GDPR č. 7 žádá, aby bylo svolení vydáno dobrovolně, jako specificky a jednoznačně vyjádřené přání subjektu. Nemůže být odvozeno; subjekty údajů musí provést zřejmou a explicitní akci, aby se přihlásili. Požadavky na svolení ke zpracování údajů, jež jsou klasifikovány jako citlivé osobní údaje nebo jako osobní údaje dětí, jsou přísnější, jak specifikují články 8 a 9.
- Omezit zpracování osobních údajů na požádání - Ve specifických situacích, vypsaných v článku 18, může subjekt údajů požádat o dočasné omezení zpracovávání osobních údajů, přičemž ale údaje nemusí být smazány. Taková situace může nastat, když je vyšetřována přesnost údajů, když je zpracování nezákonné nebo když subjekt údajů vznesl námitku proti zpracování a čeká se na ověření důvodů ke zpracování. Pokud byly osobní údaje přeneseny nebo sdíleny s třetí stranou, měla by být také informována o omezení zpracovávání.
- Ukončit zpracování osobních údajů - Pokud subjekt údajů odvolá své svolení, GDPR na správci vyžaduje, aby ukončil zpracovávání, pokud pro něj neexistuje alternativní právní základ. Zákonným základem pro zpracování je pod článkem 6, kromě svolení, zpracování nezbytné pro provedení smlouvy se subjektem údajů, zpracování nutné k dodržení zákonné povinnosti, zpracování nutné k ochraně životních zájmů subjektu nebo jiných osob, zpracování nutné k vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci nebo zpracování nutné pro legitimní zájmy správce nebo třetí strany, pokud tyto zájmy nejsou přebity zájmy, právy nebo svobodami subjektu dat.
Ochrana osobních údajů pomocí bezpečnostních opatření
GDPR na správcích a provozovatelích vyžaduje implementaci zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů pomocí přiměřených technických a organizačních opatření (článek 25).
Implementace může být prokázána schváleným certifikačním mechanizmem (článek 42). Konkrétnější bezpečnostní opatření zahrnují šifrování a pseudonymizaci.
V obecnější rovině, článek 32 vyžaduje, aby zpracovatelé prokazovali schopnost zajištění průběžné diskrétnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu.
Zpracovatelé musí rovněž prokazovat pravidelné testování, posuzování a hodnocení efektivity vlastních bezpečnostních opatření v souladu s článkem 32.
Oznamování, vedení záznamů a ohlašování
Článek 30 správcům a zpracovatelům ukládá povinnost udržovat detailní dokumentaci (audit trail), která prokazuje účely a definuje kategorie prováděného zpracovávání, kategorie příjemců, se kterými osobní údaje byly nebo budou sdíleny a všechny přenosy osobních dat do třetích zemí nebo mezinárodních organizací, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření.
Pro organizace zaměstnávající méně než 250 osob existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria a mnoho organizací na ni tak nedosáhne. Záznamy musí také zahrnovat sledování toku údajů do zemí mimo EU a k poskytovatelům služeb třetích stran.
Zpracovatelé jsou pod článkem 35 povinni provádět DPIA tam, kde zpracování údajů probíhá za pomoci nových technologií a práva a svobody jednotlivců jsou tak vystaveny vyššímu riziku. DPIA je vyžadováno v konkrétních případech, včetně instancí rozsáhlého sledování veřejně přístupných oblastí.
- hodnocení osobních aspektů fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na jehož základě je rozhodováno a které vytváří legální nebo jiný závažný efekt dotýkající se té osoby
- zpracování, jež se týká speciálních kategorií údajů definovaných v článku 9 a 10 - citlivé osobní údaje a údaje týkající se trestných činů a odsouzení
Podle článku 33 jsou správci povinni narušení oznámit do 72 hodin od jeho zjištění, článek 55 definuje příslušné orgány dozoru.
Článek GFI Software ze dne 17. dubna 2018 - úterý
Další články od GFI Software
Kategorie požadavků GDPR
Ochrana podnikových sítí a komunikačního softwaru za výhodnou cenu
Nárůst počtu zranitelností v roce 2017 byl přelomový
Nechráněné podnikové sítě jako bezpečnostní riziko SMB firem
Ochrana e-mailu dominuje zájmu českých firem v řešeních bezpečnosti firemní infrastruktury
GDPR zvyšuje nároky na firemní IT bezpečnost
GDPR klade vyšší požadavky na dokumentaci a ohlašování bezpečnostních incidentů
Lepší emailovou komunikaci Linky bezpečí zajišťuje poštovní server Kerio Connect
Komplexní ochrana podnikových dat s produkty Kerio
Bezpečné řízení webového provozu v podnikových sítích
UTM zařízení pomáhají splňovat bezpečnostní požadavky GDPR
Nepropadejte panice z GDPR - se zavedením změn do IT procesů pomůže technika
VoIP telefonie je v popředí zájmu českých SMB firem
Lepší zabezpečení poštovních serverů pro SMB společnosti
Jak české firmy blokují soukromé aktivity zaměstnanců na internetu
Centrální a automatizovaná správa aktualizací minimalizuje rizika napadení firemní sítě
Bezpečí elektronické pošty s minimálními nároky na administraci
E-mailová infrastruktura je nejzranitelnější částí IT českých SMB firem
Webovou ochranu Centra Paraple bude chránit Kerio Control
GFI Software pracuje na klíčových inovacích produktů Kerio
Vysoké pracovní nasazení je pro IT pracovníky zdrojem napětí v pracovním i osobním životě
Helena Maršíková na globální pozici Channel Marketing Director GFI Software
České retailové firmy spoléhají na Kerio Control
Výhodné licence GFI Software pro vzdělávací a neziskové organizace
40% všech spamů obsahuje ransomware
Automatizované aktualizace a patch management jako účinný nástroj ochrany před ransomware
Tým partnerského prodeje Kerio Technologies v Česku a na Slovensku posiluje
Globální ocenění pro Zebra systems za nejlepší marketing produktů GFI Software
Produkty Kerio v distribuci Zebra systems
Bezpečný web vědecké knihovny v Hradci Králové
Portfolio produktů pro správu sítí GFI Software posiluje akvizicí Exinda
Věrnostní program GFI Prime je pro zákazníky výhodný - potvrzuje to jejich zájem
GFI FaxMaker pomáhá s faxovou komunikací PILANA Knives
Efektivnější ochrana firemních sítí a e-mailové infrastruktury
Analýza logů pro informační bezpečnost a správu událostí
Nejlepší partneři GFI Software v ČR za rok 2016
GFI Software získává ve strategické akvizici produkty Kerio Technologies
Integrovaná ochrana podnikových sítí s antivirem Kaspersky
Celní správa České republiky využívá GFI Archiver
GFI OneConnect pro bezpečnost podnikové elektronické pošty
Omezení přístupu na web řeší stále více SMB firem
Ochrana podnikových e-mailů dnes vyžaduje komplexní řešení
Větší úroveň bezpečnosti a vyšší ochrana proti e-mailovým útokům
Věrnostní program GFI Prime posiluje úroveň ochrany počítačových sítí
10 způsobů jak se bránit proti ransomware
IoT vnímají SMB firmy jako hlavní bezpečnostní hrozbu budoucnosti
Práce z domu a mobilita představují největší bezpečnostní riziko pro firemní sítě
