Kategorie požadavků GDPR
Než budou moci IT experti pracující pro správce a zpracovatele začít implementovat řešení, která jejich organizacím pomohou splňovat požadavky GDPR, je důležité, aby věděli, jaké požadavky to jsou. GDPR požadavky mohou být rozděleny do několika širokých kategorií, které se ale mohou vzájemně překrývat.
Logickým prvním krokem k ochraně osobních údajů je jejich identifikace a rozlišení od ostatních dat, která společnost ukládá a zpracovává. To znamená implementaci nové strategie pro klasifikaci údajů nebo aktualizaci té již existující.
Klasifikaci údajů, zahrnující nalezení a označení osobních údajů a citlivých osobních údajů, už mnoho organizací v rámci vlastní globální bezpečnostní strategie provádí.
Plán správy osobních údajů
Správou údajů se rozumí zásady a procedury řízení a zpracování údajů, spolu s plánem implementace daných zásad a procedur. Účelem by mělo být zajištění jednotně řízeného zpracovávání údajů napříč organizací.
Správa údajů je systémem rozhodovacích práv a odpovědností nad informacemi, týkajícími se procesů, které jsou prováděny v souladu s domluvenými modely, které popisují, kdo může provést jaké akce s jakými informacemi, kdy a za jakých podmínek a za použití jakých metod.
Váš plán správy údajů je základním prvkem pro splnění požadavků GDPR. Aby požadavkům odpovídal, musí jasně definovat role a zodpovědnosti vůči přístupu, řízení a využití osobních údajů. Procesy a zodpovědnost jsou důležitými prvky strategie správy údajů.
Postupy pro řízení osobních údajů
GDPR nastoluje povinnosti pro správce a zpracovatele, kteří mají vliv na způsob řízení osobních údajů od občanů EU.
Správci jsou povinni:
- Poskytnout subjektům údajů kopii jejich osobních údajů na požádání - Podle článku 20 musí správci v určitých podmínkách poskytnout osobní údaje v strukturovaném, běžně používaném a strojově čitelném formátu. GDPR rovněž vyžaduje, aby byly osobní údaje na přání subjektu přenášeny dalším správcům bez překážek. To znamená, že musíte prokázat schopnost exportovat tyto osobní údaje v běžně používaném souborovém formátu. To je známo jako přenositelnost dat.
- Poskytnutí konkrétních informací v okamžiku sběru osobních údajů - Informace musí zahrnovat detaily o identitě a kontaktní informace na správce a (případně) jeho inspektora ochrany údajů, účely, za kterými jsou osobní údaje sbírány a zpracovány, a jestli jsou údaje přenášeny do zemí mimo EU. Správce musí subjekty údajů také zpravit o jejich právech na odvolání souhlasu k použití jejich údajů, na opravu údajů (oprava chyb nebo doplnění informací) a na výmaz osobních údajů. Tyto požadavky jsou vypsány v článcích 15, 16, 17, 19 a 20.
- Získat svolení před zpracováním osobních údajů - Článek GDPR č. 7 žádá, aby bylo svolení vydáno dobrovolně, jako specificky a jednoznačně vyjádřené přání subjektu. Nemůže být odvozeno; subjekty údajů musí provést zřejmou a explicitní akci, aby se přihlásili. Požadavky na svolení ke zpracování údajů, jež jsou klasifikovány jako citlivé osobní údaje nebo jako osobní údaje dětí, jsou přísnější, jak specifikují články 8 a 9.
- Omezit zpracování osobních údajů na požádání - Ve specifických situacích, vypsaných v článku 18, může subjekt údajů požádat o dočasné omezení zpracovávání osobních údajů, přičemž ale údaje nemusí být smazány. Taková situace může nastat, když je vyšetřována přesnost údajů, když je zpracování nezákonné nebo když subjekt údajů vznesl námitku proti zpracování a čeká se na ověření důvodů ke zpracování. Pokud byly osobní údaje přeneseny nebo sdíleny s třetí stranou, měla by být také informována o omezení zpracovávání.
- Ukončit zpracování osobních údajů - Pokud subjekt údajů odvolá své svolení, GDPR na správci vyžaduje, aby ukončil zpracovávání, pokud pro něj neexistuje alternativní právní základ. Zákonným základem pro zpracování je pod článkem 6, kromě svolení, zpracování nezbytné pro provedení smlouvy se subjektem údajů, zpracování nutné k dodržení zákonné povinnosti, zpracování nutné k ochraně životních zájmů subjektu nebo jiných osob, zpracování nutné k vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci nebo zpracování nutné pro legitimní zájmy správce nebo třetí strany, pokud tyto zájmy nejsou přebity zájmy, právy nebo svobodami subjektu dat.
Ochrana osobních údajů pomocí bezpečnostních opatření
GDPR na správcích a provozovatelích vyžaduje implementaci zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů pomocí přiměřených technických a organizačních opatření (článek 25).
Implementace může být prokázána schváleným certifikačním mechanizmem (článek 42). Konkrétnější bezpečnostní opatření zahrnují šifrování a pseudonymizaci.
V obecnější rovině, článek 32 vyžaduje, aby zpracovatelé prokazovali schopnost zajištění průběžné diskrétnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu.
Zpracovatelé musí rovněž prokazovat pravidelné testování, posuzování a hodnocení efektivity vlastních bezpečnostních opatření v souladu s článkem 32.
Oznamování, vedení záznamů a ohlašování
Článek 30 správcům a zpracovatelům ukládá povinnost udržovat detailní dokumentaci (audit trail), která prokazuje účely a definuje kategorie prováděného zpracovávání, kategorie příjemců, se kterými osobní údaje byly nebo budou sdíleny a všechny přenosy osobních dat do třetích zemí nebo mezinárodních organizací, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření.
Pro organizace zaměstnávající méně než 250 osob existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria a mnoho organizací na ni tak nedosáhne. Záznamy musí také zahrnovat sledování toku údajů do zemí mimo EU a k poskytovatelům služeb třetích stran.
Zpracovatelé jsou pod článkem 35 povinni provádět DPIA tam, kde zpracování údajů probíhá za pomoci nových technologií a práva a svobody jednotlivců jsou tak vystaveny vyššímu riziku. DPIA je vyžadováno v konkrétních případech, včetně instancí rozsáhlého sledování veřejně přístupných oblastí.
- hodnocení osobních aspektů fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na jehož základě je rozhodováno a které vytváří legální nebo jiný závažný efekt dotýkající se té osoby
- zpracování, jež se týká speciálních kategorií údajů definovaných v článku 9 a 10 - citlivé osobní údaje a údaje týkající se trestných činů a odsouzení
Podle článku 33 jsou správci povinni narušení oznámit do 72 hodin od jeho zjištění, článek 55 definuje příslušné orgány dozoru.
Článek GFI Software ze dne úterý 17. dubna 2018
Další články od GFI Software
Jak zabezpečit kritické firemní systémy a aplikace
GFI AppManager rozšiřuje řadu podporovaných produktů
Neschopnost určit kritické IT systémy vede k podcenění jejich zabezpečení
GFI KerioConnect naplňuje dodržování přísných standardů kybernetické bezpečnosti ve zdravotnictví
AI bojuje o důvěru IT profesionálů
GFI LanGuard WAN Agent je k dispozici v plné funkčnosti
Správa firemního e-mailu s AI komponentou Copilot
Bezpečnostní mezery zvyšují riziko napadení firemního IT v SMB sektoru
GFI KerioControl a GFI ClearView tvoří komplexní systém pro správu sítě
Exinda 8065 poskytuje lepší výkonnost v oblasti optimalizace síťového provozu
Phishingové e-maily jsou dlouhodobě nejvíce využívaným vektorem kybernetických útoků
Rozptýlená pozornost IT pracovníků vede snadno k chybám
Rizika opakovaného použití stejných přihlašovacích hesel
Integrace CoPilot do produktů GFI Software
Nárůst počtu zranitelností v neaktualizovaných systémech a aplikacích
Klíčová opatření reaktivní ochrany při kybernetickém útoku
Archivace elektronické pošty s podporou fulltextového vyhledávání
Využití AI k rozvoji IT bezpečnosti pohledem českých firem
GFI Kerio Control pomáhá při výuce IT bezpečnosti středoškoláků
Kybernetická bezpečnost je v dnešní době pro SMB firmy nutností
GFI AppManager je k dispozici v ostré verzi
Ochrana před zranitelnostmi jako služba je v popředí zájmu poskytovatelů IT bezpečnosti
Flexibilní firemní komunikace na cloudové platformě Kerio
Vzdálené skenování zranitelností u zákazníků
GenAI v produktech GFI software
GFI Kerio Control v praktické IT výuce studentů
Skenování zákaznických IT infrastruktur s GFI LanGuard pro MSP
Bezpečnostní audit IT se vyplatí i malým firmám
Kybernetická bezpečnost pod vlivem využívání umělé inteligence
NIS2 přináší nové nároky na IT bezpečnost pro organizace i poskytovatele služeb
Antivir na poštovním serveru je nejúčinnější ochranou před e-mailovými útoky
Komplexní správa firemních sítí s novým řešením GFI ClearView
Nárůst zranitelností vyžaduje použití automatizace nástrojů pro patch management
GFI AppManager zajistí komplexní správu IT řešení pro MSP poskytovatele
Zavedení 2FA přináší paradoxně nová rizika v podobě spamu
Elektronická pošta je hlavním vektorem kybernetických útoků
Nová verze GFI Exinda NetworkOrchestrator posiluje ochranu proti útokům
Další inovace GFI KerioConnect pro týmovou spolupráci SMB firem
Problémy s fungováním firemních aplikací často způsobuje neefektivní řízení sítí
Intenzivní emailová komunikace s podporou GFI KerioConnect
Certifikace informační bezpečnosti se stává konkurenční výhodou firem
SaaS GFI Kerio Control pro MSP poskytovatele
Kerio Connect s podporu téměř neomezeného počtu uživatelů elektronické pošty
Výhody certifikace ISO 27001 pro MSP
Bezpečnostní audit se zaměřením na patch management a zjišťování zranitelností
VPN je nejúčinnější ochranou firemní sítě při práci z domova
Nejlepší prodejci GFI Software roku 2021
Archivaci elektronické pošty SVKHK zajišťuje GFI Archiver
Inovace v ochraně firemních sítí s Kerio Control 9.4
Ochrana e-mailu hraje důležitou roli v IT zabezpečení českých SMB firem
