Súlad s GDPR časť 1: Technické a organizačné opatrenia

Krátke zhrnutie:

Nedodržanie pravidiel ohľadne povinností súvisiacich s implementáciou technických a organizačných opatrení môže viesť k pokute až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

 

Doporučené kroky:

  • skontrolujte a revidujte Vaše v súčasnosti implementované technické a organizačné opatrenia
  • na základe analýzy procesov nakladania s dátami alebo informačného auditu a na základe kontroly Vašich aktivít spracúvania dát, určite aké riziko predstavujú Vaše aktivity pre práva a slobody subjektov dát
  • na základe analýzy rizík, implementujte vhodné technické a organizačné opatrenia na základe štandardov v rámci Vášho odvetvia alebo najnovších poznatkov
  • GDPR obsahuje veľmi všeobecnú špecifikáciu týchto opatrení, preto majte prehľad o publikovaných kódexov správania, dostupných certifikáciách alebo iných špecifických označeniach overujúcich a potvrdzujúcich dostatočnú úroveň ochrany
  • implementujte procesy pravidelnej kontroly a auditovania zavedených opatrení pre ich neustále vylepšovanie

 

Úvod:

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES („GDPR“) zavádza zodpovednosť („accountability“) ako jednu z kľúčových povinností pre správcov dát.

Osoby spracúvajúce osobné údaje by mali vytvoriť Program pre riadenie ochrany údajov, ktorý zahŕňa aj implementáciu technických a organizačných opatrení pre ochranu osobných údajov, ako aj bezpečnosť dát, podľa článku 24 a 32 GDPR.

 

  1. Technické a organizačné opatrenia pre ochranu osobných údajov

Pre analýzu toho, či a aký typ opatrení potrebujete, vezmite do úvahy:

  • povaha, rozsah, kontext a účely spracúvania
  • riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb

 

Ako všeobecné pravidlo je možné uviesť, že čím väčšie riziko predstavuje spracúvanie osobných údajov pre práva a slobody fyzických osôb, tým vyššiu úroveň ochrany je nutné implementovať.

Pravidlá v GDPR sú koncipované pomerne všeobecne, bez toho, že by GDPR obsahovalo presný zoznam opatrení. Konkrétny obsah daných článkov tak bude špecifikovaný interpretáciou, rôznymi kódexami správania alebo stanoviskami národných úradov (LINK NA robime-it).

Rôzne národné úrady už publikovali návody a upresnenia pre tieto opatrenia. Napríklad, britský úrad Information Commissioner‘s Office (ICO) zverejnil tento prehľad opatrení:

  1. riadiace a organizačné opatrenia (určiť osobu so špecifickým zameraním, zlepšiť povedomie v rámci spoločnosti, špecifikácia prístupových práv, aktualizácie, apod.)
  2. zamestnanci (tréningy, využívanie počítačov pre osobné účely, zodpovednosť, apod.)
  3. fyzické opatrenia (ochrana priestorov, prístup, návštevy, nakladanie s papierom, apod.)

Tento zoznam ale určite nezahŕňa všetky opatrenia a zároveň ani nemusí nutne znamenať, že národný úrad bude tieto opatrenia považovať za dostačujúce. Vždy je preto nutné riešiť konkrétnu špecifickú situáciu.

 

  1. Technické a organizačné opatrenia pre bezpečnosť dát

Pre analýzu toho, či a aký typ opatrení potrebujete, vezmite do úvahy:

  • povaha, rozsah, kontext a účely spracúvania
  • riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb

 

GDPR uvádza príklady takýchto opatrení:

  • pseudonymizáciu a šifrovanie osobných údajov;
  • schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
  • schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
  • proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

Tento prehľad je ale stále pomerne všeobecný a je veľmi pravdepodobné, že v blízkej budúcnosti bude bližšie špecifikovaný.

 

Pre príklady týchto opatrení opäť odkazujeme na stanovisko britského úradu ICO:

  • bezpečnosť počítačov (firewall, antivírová ochrana, aktualizácie, patch, prístup k informáciám, šifrovanie, pravidelné zálohovanie, odstraňovanie dát zo starších počítačov, anti-spyware, apod.)
  • bezpečnosť emailovej komunikácie (šifrovanie, heslá, ukrývanie emailových adries, skupinové správy, bezpečné servery, apod.)
  • tréning zamestnancov a bezpečnosť (tréningy, sociálne inžinierstvo, heslá, spam, apod.)

 

Záver

GDPR neposkytuje veľa špecifických detailov. Z tohto dôvodu bude nutné sledovať vývoj v štandardoch v odvetví alebo návody od národných inštitúcií.

 

Pre určenie špecifického zoznamu povinností pre Vašu spoločnosť je nutné kontaktovať konzultanta pre ochranu osobných údajov alebo uskutočniť audit ochrany osobných údajov.

V prípade ďalších otázok sa na mňa neváhajte obrátiť na:

data@boros.sk

Zanechať komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *