Logickým prvním krokem k ochraně osobních údajů je jejich identifikace a rozlišení od ostatních dat, která společnost ukládá a zpracovává. To znamená implementaci nové strategie pro klasifikaci údajů nebo aktualizaci té již existující.
Klasifikaci údajů, zahrnující nalezení a označení osobních údajů a citlivých osobních údajů, už mnoho organizací v rámci vlastní globální bezpečnostní strategie provádí.
Plán správy osobních údajů
Správou údajů se rozumí zásady a procedury řízení a zpracování údajů, spolu s plánem implementace daných zásad a procedur. Účelem by mělo být zajištění jednotně řízeného zpracovávání údajů napříč organizací.
Správa údajů je systémem rozhodovacích práv a odpovědností nad informacemi, týkajícími se procesů, které jsou prováděny v souladu s domluvenými modely, které popisují, kdo může provést jaké akce s jakými informacemi, kdy a za jakých podmínek a za použití jakých metod.
Váš plán správy údajů je základním prvkem pro splnění požadavků GDPR. Aby požadavkům odpovídal, musí jasně definovat role a zodpovědnosti vůči přístupu, řízení a využití osobních údajů. Procesy a zodpovědnost jsou důležitými prvky strategie správy údajů.
Postupy pro řízení osobních údajů
GDPR nastoluje povinnosti pro správce a zpracovatele, kteří mají vliv na způsob řízení osobních údajů od občanů EU.
Správci jsou povinni:
Ochrana osobních údajů pomocí bezpečnostních opatření
GDPR na správcích a provozovatelích vyžaduje implementaci zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů pomocí přiměřených technických a organizačních opatření (článek 25).
Implementace může být prokázána schváleným certifikačním mechanizmem (článek 42). Konkrétnější bezpečnostní opatření zahrnují šifrování a pseudonymizaci.
V obecnější rovině, článek 32 vyžaduje, aby zpracovatelé prokazovali schopnost zajištění průběžné diskrétnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu.
Zpracovatelé musí rovněž prokazovat pravidelné testování, posuzování a hodnocení efektivity vlastních bezpečnostních opatření v souladu s článkem 32.
Oznamování, vedení záznamů a ohlašování
Článek 30 správcům a zpracovatelům ukládá povinnost udržovat detailní dokumentaci (audit trail), která prokazuje účely a definuje kategorie prováděného zpracovávání, kategorie příjemců, se kterými osobní údaje byly nebo budou sdíleny a všechny přenosy osobních dat do třetích zemí nebo mezinárodních organizací, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření.
Pro organizace zaměstnávající méně než 250 osob existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria a mnoho organizací na ni tak nedosáhne. Záznamy musí také zahrnovat sledování toku údajů do zemí mimo EU a k poskytovatelům služeb třetích stran.
Zpracovatelé jsou pod článkem 35 povinni provádět DPIA tam, kde zpracování údajů probíhá za pomoci nových technologií a práva a svobody jednotlivců jsou tak vystaveny vyššímu riziku. DPIA je vyžadováno v konkrétních případech, včetně instancí rozsáhlého sledování veřejně přístupných oblastí.
Podle článku 33 jsou správci povinni narušení oznámit do 72 hodin od jeho zjištění, článek 55 definuje příslušné orgány dozoru.
Článek GFI Software ze dne 17. dubna 2018 - úterý
Exinda Network Orchestrator pomáhá českým vědcům s řízením síťového provozu
Firmy kladou důraz na výkonnost poštovního serveru a rychlý přístup ke starší poště
Hardwarový upgrade Exinda Network Orchestrator 4062
Aktualizace softwaru snižuje rizika napadení podnikových sítí
Nárůst počtu zařízení a aplikací zvyšuje nároky na propustnost a zabezpečení sítí
Nezabezpečený podnikový e-mail je pro firmy zdrojem bezpečnostních rizik
Prestižní světová ocenění produktů GFI Software
Přístup do archivu elektronické pošty z mobilních zařízení
Síťový management zvyšuje kvalitu služeb uživatelů firemních síti
Jednotná správa vícenásobných WAN připojení s Exinda SD-WAN
Správa softwaru a starost o licencování je stále častěji nad síly interních pracovníků
Lepší ochrana digitalizace ve výrobě s produkty Kerio
Předplatné portfolia řešení bezpečnosti podnikových sítí využívá stále víc zákazníků
Kerio Control 9.3 eliminuje rizika ztráty připojení a hrozby zranitelnosti sítí
Bezpečnost firemního IT nejvíce ohrožují nepracovní aktivity na webu
Softwarová zranitelnost operačních systémů i aplikací roste
Aplikace v cloudu nadměrně zatěžují konektivitu firemního připojení
Neuvážené otevírání poštovních příloh emailu přináší rizika pro firemní bezpečnost
Licenční model GFI Unlimited je v popředí zájmu zákazníků a partnerů
Nežádoucí aktivity zaměstnanců na sociálních sítích ohrožují integritu firemních sítí
Inovace Kerio Control posilují ochranu firemní infrastruktury
Analýza a sledování bezpečnostních logů s podporou GDPR
Nezabezpečený webový přístup je rizikem pro firemní IT bezpečnost
Archivace firemního e-mailu s ukládáním na centrální úložiště
Ochrana e-mailu v SMB pohledem IT administrátorů
Lepší zabezpečení ochrany poštovního serveru
Licenční model GFI Unlimited zabezpečí IT prostředí UNICEF ČR
Útok na podnikovou síť či výpadek provozu zažila za poslední rok téměř každá SMB firma
Kerio Connect posiluje BYOD funkčnosti
Archivace souborů a elektronické pošty ČNB s podporou GFI Archiver
Centrum Paraple nasadí další bezpečnostní řešení díky výhodám GFI Unlimited
Kerio Connect zvyšuje bezpečnost a uživatelský komfort úřadu MČ Praha - Petrovice
Ocenění za nejlepší marketing GFI produktů pro Zebra systems
Optimalizace síťového provozu s podporou šifrování osobních a citlivých dat
Prestižní ocenění pro marketing GFI Software
Nástroje a bezpečnostní prvky vám pomohou se zajištěním souladu s GDPR
Data v cloudu automaticky nezaručují soulad s GDPR
Licenční model GFI Unlimited pro rychlou shodu s GDPR
Bezpečná IT infrastruktura pro flexibilní práci zaměstnanců v kanceláři i v terénu
GFI OneGuard 2.0 s novou službou zabezpečení koncových bodů
Kategorie požadavků GDPR
Ochrana podnikových sítí a komunikačního softwaru za výhodnou cenu
Nárůst počtu zranitelností v roce 2017 byl přelomový
Nechráněné podnikové sítě jako bezpečnostní riziko SMB firem
Ochrana e-mailu dominuje zájmu českých firem v řešeních bezpečnosti firemní infrastruktury
GDPR zvyšuje nároky na firemní IT bezpečnost
GDPR klade vyšší požadavky na dokumentaci a ohlašování bezpečnostních incidentů