logo GFI Software

Kategorie požadavků GDPR

Než budou moci IT experti pracující pro správce a zpracovatele začít implementovat řešení, která jejich organizacím pomohou splňovat požadavky GDPR, je důležité, aby věděli, jaké požadavky to jsou. GDPR požadavky mohou být rozděleny do několika širokých kategorií, které se ale mohou vzájemně překrývat.

Logickým prvním krokem k ochraně osobních údajů je jejich identifikace a rozlišení od ostatních dat, která společnost ukládá a zpracovává. To znamená implementaci nové strategie pro klasifikaci údajů nebo aktualizaci té již existující.

Klasifikaci údajů, zahrnující nalezení a označení osobních údajů a citlivých osobních údajů, už mnoho organizací v rámci vlastní globální bezpečnostní strategie provádí.

Plán správy osobních údajů

Správou údajů se rozumí zásady a procedury řízení a zpracování údajů, spolu s plánem implementace daných zásad a procedur. Účelem by mělo být zajištění jednotně řízeného zpracovávání údajů napříč organizací.

Správa údajů je systémem rozhodovacích práv a odpovědností nad informacemi, týkajícími se procesů, které jsou prováděny v souladu s domluvenými modely, které popisují, kdo může provést jaké akce s jakými informacemi, kdy a za jakých podmínek a za použití jakých metod.

Váš plán správy údajů je základním prvkem pro splnění požadavků GDPR. Aby požadavkům odpovídal, musí jasně definovat role a zodpovědnosti vůči přístupu, řízení a využití osobních údajů. Procesy a zodpovědnost jsou důležitými prvky strategie správy údajů.

Postupy pro řízení osobních údajů

GDPR nastoluje povinnosti pro správce a zpracovatele, kteří mají vliv na způsob řízení osobních údajů od občanů EU.

Správci jsou povinni:

Ochrana osobních údajů pomocí bezpečnostních opatření

GDPR na správcích a provozovatelích vyžaduje implementaci zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů pomocí přiměřených technických a organizačních opatření (článek 25).

Implementace může být prokázána schváleným certifikačním mechanizmem (článek 42). Konkrétnější bezpečnostní opatření zahrnují šifrování a pseudonymizaci.

V obecnější rovině, článek 32 vyžaduje, aby zpracovatelé prokazovali schopnost zajištění průběžné diskrétnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu.

Zpracovatelé musí rovněž prokazovat pravidelné testování, posuzování a hodnocení efektivity vlastních bezpečnostních opatření v souladu s článkem 32.

Oznamování, vedení záznamů a ohlašování

Článek 30 správcům a zpracovatelům ukládá povinnost udržovat detailní dokumentaci (audit trail), která prokazuje účely a definuje kategorie prováděného zpracovávání, kategorie příjemců, se kterými osobní údaje byly nebo budou sdíleny a všechny přenosy osobních dat do třetích zemí nebo mezinárodních organizací, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření.

Pro organizace zaměstnávající méně než 250 osob existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria a mnoho organizací na ni tak nedosáhne. Záznamy musí také zahrnovat sledování toku údajů do zemí mimo EU a k poskytovatelům služeb třetích stran.

Zpracovatelé jsou pod článkem 35 povinni provádět DPIA tam, kde zpracování údajů probíhá za pomoci nových technologií a práva a svobody jednotlivců jsou tak vystaveny vyššímu riziku. DPIA je vyžadováno v konkrétních případech, včetně instancí rozsáhlého sledování veřejně přístupných oblastí.

Podle článku 33 jsou správci povinni narušení oznámit do 72 hodin od jeho zjištění, článek 55 definuje příslušné orgány dozoru.

Další články k tématům - audit - bezpečnost - DPIA - GDPR - klasifikace - plán - pseudonymizace - smlouvy - správce - testování - výmaz - zákon

Článek GFI Software ze dne 17. dubna 2018 - úterý

Další články od GFI Software

Přístup do archivu elektronické pošty z mobilních zařízení

Síťový management zvyšuje kvalitu služeb uživatelů firemních síti

Jednotná správa vícenásobných WAN připojení s Exinda SD-WAN

Správa softwaru a starost o licencování je stále častěji nad síly interních pracovníků

Lepší ochrana digitalizace ve výrobě s produkty Kerio

Předplatné portfolia řešení bezpečnosti podnikových sítí využívá stále víc zákazníků

Kerio Control 9.3 eliminuje rizika ztráty připojení a hrozby zranitelnosti sítí

Bezpečnost firemního IT nejvíce ohrožují nepracovní aktivity na webu

Softwarová zranitelnost operačních systémů i aplikací roste

Aplikace v cloudu nadměrně zatěžují konektivitu firemního připojení

Neuvážené otevírání poštovních příloh emailu přináší rizika pro firemní bezpečnost

Licenční model GFI Unlimited je v popředí zájmu zákazníků a partnerů

Nežádoucí aktivity zaměstnanců na sociálních sítích ohrožují integritu firemních sítí

Efektivní patch management

Inovace Kerio Control posilují ochranu firemní infrastruktury

Analýza a sledování bezpečnostních logů s podporou GDPR

Nezabezpečený webový přístup je rizikem pro firemní IT bezpečnost

Archivace firemního e-mailu s ukládáním na centrální úložiště

Ochrana e-mailu v SMB pohledem IT administrátorů

Lepší zabezpečení ochrany poštovního serveru

Licenční model GFI Unlimited zabezpečí IT prostředí UNICEF ČR

Útok na podnikovou síť či výpadek provozu zažila za poslední rok téměř každá SMB firma

Kerio Connect posiluje BYOD funkčnosti

Archivace souborů a elektronické pošty ČNB s podporou GFI Archiver

Centrum Paraple nasadí další bezpečnostní řešení díky výhodám GFI Unlimited

Kerio Connect zvyšuje bezpečnost a uživatelský komfort úřadu MČ Praha - Petrovice

Ocenění za nejlepší marketing GFI produktů pro Zebra systems

Optimalizace síťového provozu s podporou šifrování osobních a citlivých dat

Prestižní ocenění pro marketing GFI Software

Nástroje a bezpečnostní prvky vám pomohou se zajištěním souladu s GDPR

Data v cloudu automaticky nezaručují soulad s GDPR

Licenční model GFI Unlimited pro rychlou shodu s GDPR

Bezpečná IT infrastruktura pro flexibilní práci zaměstnanců v kanceláři i v terénu

GFI OneGuard 2.0 s novou službou zabezpečení koncových bodů

Kategorie požadavků GDPR

Ochrana podnikových sítí a komunikačního softwaru za výhodnou cenu

Týká se GDPR i naší firmy?

Základní terminologie GDPR

Nárůst počtu zranitelností v roce 2017 byl přelomový

Nechráněné podnikové sítě jako bezpečnostní riziko SMB firem

Ochrana e-mailu dominuje zájmu českých firem v řešeních bezpečnosti firemní infrastruktury

GDPR zvyšuje nároky na firemní IT bezpečnost

GDPR klade vyšší požadavky na dokumentaci a ohlašování bezpečnostních incidentů

Lepší emailovou komunikaci Linky bezpečí zajišťuje poštovní server Kerio Connect

Komplexní ochrana podnikových dat s produkty Kerio

Bezpečné řízení webového provozu v podnikových sítích

UTM zařízení pomáhají splňovat bezpečnostní požadavky GDPR

Nepropadejte panice z GDPR - se zavedením změn do IT procesů pomůže technika

VoIP telefonie je v popředí zájmu českých SMB firem

Lepší zabezpečení poštovních serverů pro SMB společnosti