Kategorie požadavků GDPR
Než budou moci IT experti pracující pro správce a zpracovatele začít implementovat řešení, která jejich organizacím pomohou splňovat požadavky GDPR, je důležité, aby věděli, jaké požadavky to jsou. GDPR požadavky mohou být rozděleny do několika širokých kategorií, které se ale mohou vzájemně překrývat.
Logickým prvním krokem k ochraně osobních údajů je jejich identifikace a rozlišení od ostatních dat, která společnost ukládá a zpracovává. To znamená implementaci nové strategie pro klasifikaci údajů nebo aktualizaci té již existující.
Klasifikaci údajů, zahrnující nalezení a označení osobních údajů a citlivých osobních údajů, už mnoho organizací v rámci vlastní globální bezpečnostní strategie provádí.
Plán správy osobních údajů
Správou údajů se rozumí zásady a procedury řízení a zpracování údajů, spolu s plánem implementace daných zásad a procedur. Účelem by mělo být zajištění jednotně řízeného zpracovávání údajů napříč organizací.
Správa údajů je systémem rozhodovacích práv a odpovědností nad informacemi, týkajícími se procesů, které jsou prováděny v souladu s domluvenými modely, které popisují, kdo může provést jaké akce s jakými informacemi, kdy a za jakých podmínek a za použití jakých metod.
Váš plán správy údajů je základním prvkem pro splnění požadavků GDPR. Aby požadavkům odpovídal, musí jasně definovat role a zodpovědnosti vůči přístupu, řízení a využití osobních údajů. Procesy a zodpovědnost jsou důležitými prvky strategie správy údajů.
Postupy pro řízení osobních údajů
GDPR nastoluje povinnosti pro správce a zpracovatele, kteří mají vliv na způsob řízení osobních údajů od občanů EU.
Správci jsou povinni:
- Poskytnout subjektům údajů kopii jejich osobních údajů na požádání - Podle článku 20 musí správci v určitých podmínkách poskytnout osobní údaje v strukturovaném, běžně používaném a strojově čitelném formátu. GDPR rovněž vyžaduje, aby byly osobní údaje na přání subjektu přenášeny dalším správcům bez překážek. To znamená, že musíte prokázat schopnost exportovat tyto osobní údaje v běžně používaném souborovém formátu. To je známo jako přenositelnost dat.
- Poskytnutí konkrétních informací v okamžiku sběru osobních údajů - Informace musí zahrnovat detaily o identitě a kontaktní informace na správce a (případně) jeho inspektora ochrany údajů, účely, za kterými jsou osobní údaje sbírány a zpracovány, a jestli jsou údaje přenášeny do zemí mimo EU. Správce musí subjekty údajů také zpravit o jejich právech na odvolání souhlasu k použití jejich údajů, na opravu údajů (oprava chyb nebo doplnění informací) a na výmaz osobních údajů. Tyto požadavky jsou vypsány v článcích 15, 16, 17, 19 a 20.
- Získat svolení před zpracováním osobních údajů - Článek GDPR č. 7 žádá, aby bylo svolení vydáno dobrovolně, jako specificky a jednoznačně vyjádřené přání subjektu. Nemůže být odvozeno; subjekty údajů musí provést zřejmou a explicitní akci, aby se přihlásili. Požadavky na svolení ke zpracování údajů, jež jsou klasifikovány jako citlivé osobní údaje nebo jako osobní údaje dětí, jsou přísnější, jak specifikují články 8 a 9.
- Omezit zpracování osobních údajů na požádání - Ve specifických situacích, vypsaných v článku 18, může subjekt údajů požádat o dočasné omezení zpracovávání osobních údajů, přičemž ale údaje nemusí být smazány. Taková situace může nastat, když je vyšetřována přesnost údajů, když je zpracování nezákonné nebo když subjekt údajů vznesl námitku proti zpracování a čeká se na ověření důvodů ke zpracování. Pokud byly osobní údaje přeneseny nebo sdíleny s třetí stranou, měla by být také informována o omezení zpracovávání.
- Ukončit zpracování osobních údajů - Pokud subjekt údajů odvolá své svolení, GDPR na správci vyžaduje, aby ukončil zpracovávání, pokud pro něj neexistuje alternativní právní základ. Zákonným základem pro zpracování je pod článkem 6, kromě svolení, zpracování nezbytné pro provedení smlouvy se subjektem údajů, zpracování nutné k dodržení zákonné povinnosti, zpracování nutné k ochraně životních zájmů subjektu nebo jiných osob, zpracování nutné k vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci nebo zpracování nutné pro legitimní zájmy správce nebo třetí strany, pokud tyto zájmy nejsou přebity zájmy, právy nebo svobodami subjektu dat.
Ochrana osobních údajů pomocí bezpečnostních opatření
GDPR na správcích a provozovatelích vyžaduje implementaci zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů pomocí přiměřených technických a organizačních opatření (článek 25).
Implementace může být prokázána schváleným certifikačním mechanizmem (článek 42). Konkrétnější bezpečnostní opatření zahrnují šifrování a pseudonymizaci.
V obecnější rovině, článek 32 vyžaduje, aby zpracovatelé prokazovali schopnost zajištění průběžné diskrétnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu.
Zpracovatelé musí rovněž prokazovat pravidelné testování, posuzování a hodnocení efektivity vlastních bezpečnostních opatření v souladu s článkem 32.
Oznamování, vedení záznamů a ohlašování
Článek 30 správcům a zpracovatelům ukládá povinnost udržovat detailní dokumentaci (audit trail), která prokazuje účely a definuje kategorie prováděného zpracovávání, kategorie příjemců, se kterými osobní údaje byly nebo budou sdíleny a všechny přenosy osobních dat do třetích zemí nebo mezinárodních organizací, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření.
Pro organizace zaměstnávající méně než 250 osob existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria a mnoho organizací na ni tak nedosáhne. Záznamy musí také zahrnovat sledování toku údajů do zemí mimo EU a k poskytovatelům služeb třetích stran.
Zpracovatelé jsou pod článkem 35 povinni provádět DPIA tam, kde zpracování údajů probíhá za pomoci nových technologií a práva a svobody jednotlivců jsou tak vystaveny vyššímu riziku. DPIA je vyžadováno v konkrétních případech, včetně instancí rozsáhlého sledování veřejně přístupných oblastí.
- hodnocení osobních aspektů fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na jehož základě je rozhodováno a které vytváří legální nebo jiný závažný efekt dotýkající se té osoby
- zpracování, jež se týká speciálních kategorií údajů definovaných v článku 9 a 10 - citlivé osobní údaje a údaje týkající se trestných činů a odsouzení
Podle článku 33 jsou správci povinni narušení oznámit do 72 hodin od jeho zjištění, článek 55 definuje příslušné orgány dozoru.
Článek GFI Software ze dne 17. dubna 2018 - úterý
Další články od GFI Software
Nežádoucí aktivity zaměstnanců na sociálních sítích ohrožují integritu firemních sítí
Inovace Kerio Control posilují ochranu firemní infrastruktury
Analýza a sledování bezpečnostních logů s podporou GDPR
Nezabezpečený webový přístup je rizikem pro firemní IT bezpečnost
Archivace firemního e-mailu s ukládáním na centrální úložiště
Ochrana e-mailu v SMB pohledem IT administrátorů
Lepší zabezpečení ochrany poštovního serveru
Licenční model GFI Unlimited zabezpečí IT prostředí UNICEF ČR
Útok na podnikovou síť či výpadek provozu zažila za poslední rok téměř každá SMB firma
Kerio Connect posiluje BYOD funkčnosti
Archivace souborů a elektronické pošty ČNB s podporou GFI Archiver
Centrum Paraple nasadí další bezpečnostní řešení díky výhodám GFI Unlimited
Kerio Connect zvyšuje bezpečnost a uživatelský komfort úřadu MČ Praha - Petrovice
Ocenění za nejlepší marketing GFI produktů pro Zebra systems
Optimalizace síťového provozu s podporou šifrování osobních a citlivých dat
Prestižní ocenění pro marketing GFI Software
Nástroje a bezpečnostní prvky vám pomohou se zajištěním souladu s GDPR
Data v cloudu automaticky nezaručují soulad s GDPR
Licenční model GFI Unlimited pro rychlou shodu s GDPR
Bezpečná IT infrastruktura pro flexibilní práci zaměstnanců v kanceláři i v terénu
GFI OneGuard 2.0 s novou službou zabezpečení koncových bodů
Kategorie požadavků GDPR
Ochrana podnikových sítí a komunikačního softwaru za výhodnou cenu
Nárůst počtu zranitelností v roce 2017 byl přelomový
Nechráněné podnikové sítě jako bezpečnostní riziko SMB firem
Ochrana e-mailu dominuje zájmu českých firem v řešeních bezpečnosti firemní infrastruktury
GDPR zvyšuje nároky na firemní IT bezpečnost
GDPR klade vyšší požadavky na dokumentaci a ohlašování bezpečnostních incidentů
Lepší emailovou komunikaci Linky bezpečí zajišťuje poštovní server Kerio Connect
Komplexní ochrana podnikových dat s produkty Kerio
Bezpečné řízení webového provozu v podnikových sítích
UTM zařízení pomáhají splňovat bezpečnostní požadavky GDPR
Nepropadejte panice z GDPR - se zavedením změn do IT procesů pomůže technika
VoIP telefonie je v popředí zájmu českých SMB firem
Lepší zabezpečení poštovních serverů pro SMB společnosti
Jak české firmy blokují soukromé aktivity zaměstnanců na internetu
Centrální a automatizovaná správa aktualizací minimalizuje rizika napadení firemní sítě
Bezpečí elektronické pošty s minimálními nároky na administraci
E-mailová infrastruktura je nejzranitelnější částí IT českých SMB firem
Webovou ochranu Centra Paraple bude chránit Kerio Control
GFI Software pracuje na klíčových inovacích produktů Kerio
Vysoké pracovní nasazení je pro IT pracovníky zdrojem napětí v pracovním i osobním životě
Helena Maršíková na globální pozici Channel Marketing Director GFI Software
České retailové firmy spoléhají na Kerio Control
Výhodné licence GFI Software pro vzdělávací a neziskové organizace
40% všech spamů obsahuje ransomware
Automatizované aktualizace a patch management jako účinný nástroj ochrany před ransomware
