infoconsult header

GDPR tipy

 

 

 

 

  Ak máte otázku k problematike môžete ju položiť tu

 

Aktuálne:  workshop na tému Ochrana osobných údajov a GDPR, Lučenec
V rámci série seminárov opätovne organizujeme už tretie opakovanie seminára zameraného na zmeny v oblasti ochrany osobných údajov (GDPR) v Lučenci 24.októbra 2017

info a registrácia:  https://www.infoconsult.sk/vzdelavanie/workshop-ochrana-osobnych-udajov 

 

 

Tip č.1  Čo je to GDPR

V máji 2016 bolo vydané NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) známe tiež ako GDPR, ktoré v plnom rozsahu vstupuje do platnosti v máji 2018.

Nečakajte, konajte a nespoliehajte sa na predpoklad, že ste pripravený - máte čas len niekoľko mesiacov (konkrétne do mája 2018) a zosúladenie nie je Vašou nosnou problematikou a tak vymedzenie časových a personálnych kapacít nebude určite jednoduché.

v ďalších tipoch Vám postupne skúsime dať námety kade zamerať svoju pozornosť a čo neprehliadnuť..

   
 

Tip č.2  Nariadenie 2016/679

Oboznámte sa s plným obsahom nariadenia GDPR - plné znenie prehľadne usporiadané aj v slovenskom jazyku nájdete v Úradnom vestníku Európskej Únie     http://www.privacy-regulation.eu/sk/

   
 

Tip č.3  Analýza osobných údajov ako prvý krok

Analyzujte osobné údaje, ktoré vo svojich systémoch spracovávate.

Identifikujte:
• kategórie spracovávaných a uchovávaných osobných údajov,
• systémy v ktorých sú spracovávané,
• miesta kde sú uložené,
• ako sú chránené,
• kým sú spracovávané

Niektoré typy osobných údajov zavedením GDPR budú vyžadovať odlišný prístup ako doteraz...

   
 

Tip č.4  Vzdelávanie zamestnancov

Analyzujte a aktualizujte interné vzdelávacie procesy zvyšovania kompetencií svojich zamestnancov v oblasti ochrany osobných údajov a základných znalostí zamestnanca informačnej bezpečnosti. Obsahovo správne nastavené vzdelávanie okrem naplnenia normatívnych požiadaviek chráni najmä Vašu spoločnosť. Detailnejšie informácie nájdete na linku https://www.infoconsult.sk/vzdelavanie

   
 

Tip č.5  Externé spracovanie osobných údajov len na základe zmluvného poverenia

Analyzujte svoje zmluvné vzťahy - komu poskytujete osobné údaje pre ďalšie spracovanie. Skontrolujte, či s týmito subjektmi (sprostredkovateľmi) máte uzatvorené zmluvy v písomnej forme, prípadne ich zosúlaďte s požiadavkami kladenými súčasnou legislatívou a nariadením GDPR. Pokiaľ nemáte zmluvy uzavreté v písomnej forme uzavrite ich čím skôr.

   
 

Tip č.6  Spracovanie osobných údajov detí podľa GDPR

Sú predmetom spracovania vo Vašich systémoch údaje o deťoch vo veku do 16 rokov? Začnite uvažovať ako prispôsobiť svoje procesy tak, aby ste tieto spracovávali len so súhlasom ich zákonných zástupcov. Zároveň priebežne sledujte vývoj našej legislatívy, nakoľko v tomto smere nariadenie GDPR umožňuje zníženie vekovej hranice národnou legislatívou až na hranicu 13 rokov.

   
 

Tip č.7 Argumenty pre manažment - nové výšky pokút

Pripravte sa na argumentáciu pri presadzovaní nutných procesov a opatrení (technologických aj organizačných). Jeden z logických argumentov môže byť aj riziko vysokej pokuty za nesplnenie požiadaviek nariadenia. Táto podľa GDPR môže dosiahnuť maximálnu výšku 20 mil. EUR alebo 4% z ročného obratu. Túto informáciu korešpondujte všetkým, ktorí sa na riadení bezpečnosti vo Vašej organizácii podieľajú.

   
 

Tip č.8 Nové kategórie osobných údajov

Spracovávate vo svojich informačných systémoch online identifikátory (IP adresy, cookies) alebo lokalizačné údaje? Tieto údaje sú v zmysle GDPR novými kategóriami osobných údajov a teda je nutné s nimi uvažovať pri aktualizácií všetkých interných procesov riadenia bezpečnosti osobných údajov.

   
 

Tip č.9 Pripravujete vzdelávanie svojich zamestnancov?

Uvažujete nad prípravou interných vzdelávacích procesov pre Vašich zamestnancov v oblasti základných znalostí bezpečnosti? Nechajte sa motivovať našou infografikou popisujúcou optimálny postup nastavenia procesu budovania bezpečnostného povedomia v organizácii. Je Vám k dispozícii na linku https://www.infoconsult.sk/files/gdpr/bezpecnostne-povedomie-manazer.pdf

   
 

Tip č.10 Registrácia versus evidencia

Skontrolujte stav evidencie svojich informačných systémov spracovávajúcich osobné údaje (v zmysle súčasne platnej legislatívy o ochrane osobných údajov). GDPR síce upúšťa od povinnej registrácie (najneskôr od 5/2018 prípadne vydaním nového zákona pred lehotou platnosti nariadenia EU), povinnosť evidencie však ostáva a je jednou zo základných povinností prevádzkovateľa/sprostredkovateľa.

   
 

Tip č.11 Využite náš helpdesk

Máte otázku k predošlým tipom alebo inú otázku k problematike - kedykoľvek využite možnosť použiť náš helpdesk https://infoconsult.freshdesk.com/support/tickets/new

   
  Tip č.12 WEBINÁR: Stručný pohľad na tému GDPR a cloud
V spolupráci so spoločnosťou SoftwareOne sme realizovali minulý týždeň krátky popularizačný webinár o základných informáciách k zmenám v oblasti ochrany osobných údajov - záznam webinára môžete zhliadnuť tu https://www.youtube.com/watch?v=1q8LKORY4dI
   
 

Tip č.13 Workshop k problematike ochrany osobných údajov, 20.4.2017, Lučenec

V náväznosti na zmeny, ktoré prináša NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov organizujeme k problematike workshop v kongresovej sále hotela Clavis v Lučenci... bližšie informácie https://www.infoconsult.sk/vzdelavanie/workshop-ochrana-osobnych-udajov

   
 

Tip č.14 Zodpovednosť za likvidáciu

Vyraďujete počítače, USB kľúče, CD/DVD, staré disky či iné nosiče dát obsahujúce osobné údaje? V plnom rozsahu trestno-právne zodpovedáte za zachovanie dôvernosti týchto dát. Preverte, či interné procesy Vašej organizácie sú nastavené tak, že takéto dáta sú nevratne zlikvidované a nehrozí riziko ich prípadného úniku. https://www.infoconsult.sk/sluzby/likvidacia-dat

   
 

Tip č.15 Kamerové systémy

Prevádzkujete kamerové systémy pre ochranu majetku a predchádzanie trestnej činnosti vo Vašej organizácií? Zahrňte do prebiehajúcej analýzy aj sprievodnú dokumentáciu a nastavené procesy týkajúce sa ochrany osobných údajov. Venujte pozornosť detailom ako je stav smernice o kamerových systémoch, označenia priestorov, obmedzeniam, poučeniu osôb oprávnených osôb, dobám oprávneného uchovávania záznamov a radu ďalších faktorov.

   
 

Tip č.16 Kto alebo čo je to DPO

DPO (Data Protection Officer) je podľa nariadenia GDPR v prenesenom význame osoba, ktorú naša legislatíva poznala pod pojmom zodpovedná osoba. GDPR prináša niekoľko zásadných zmien - jednak v definovaní kedy spracovateľ/sprostredkovateľ musí menovať DPO a kedy je to ponechané na dobrovoľnosti. Zmeny nastávajú aj v požiadavkách na vedomostnú úroveň osoby vykonávajúcej funkciu DPO, v jej postavení voči štatutárnym orgánom. Viac sa môžete dozvedieť na našom workshope Ako sa pripraviť na zmeny v ochrane osobných údajov 20.4.2017 v Lučenci

   
 

Tip č.17 Nahlasovanie incidentov

Jednou zo zásadných zmien bude aj povinnosť nahlasovania incidentov - narušení bezpečnosti osobných údajov ako napríklad únik osobných údajov. Overte, či momentálne nastavené procesy umožňujú identifikáciu a reportovanie incidentu v lehote do 72 hodín.

   
 

Tip č.18 Plánujte

Naplánujte svoje aktivity zamerané na zosúladenie s GDPR. Odhadovaná časová náročnosť pre stredne veľké organizácie je 10 až 12 mesiacov a teda času nie je až tak veľa ako by sa zdalo. Pritom je nutné počítať ešte s časovou náročnosťou sprievodných procesov ak ich budete musieť absolvovať - výberové konania, verejné obstarávanie a podobné.

   
 

Tip č.19 Analyzujte

Pre nastavenie správnych a fungujúcich mechanizmov je potrebné poznať kde sú umiestnené aktíva (dokumenty), akým spôsobom je s nimi narábané, ako sú dodržiavané aktuálne organizačné opatrenia na úrovni využívania IT. Zaujímavým riešením pre monitorovanie, ktoré Vám môžeme doporučiť je aplikácia OptimAccess WorkSpy - viac info https://www.infoconsult.sk/produkty/optim/optimaccess-workspy

   
 

Tip č.20 Heslová politika

Preverte ako máte nastavenú a funkčnú politiku hesiel vo vašej organizácií/firme. Reálne overte ako používatelia narábajú s heslami, či dodržujú predpísané požiadavky na silu hesla, kde všade ich majú poznamenané. Viac o tom akým chybám sa pri heslovej politike vyhnúť sa môžete dozvedieť na našom workshope Ako sa pripraviť na zmeny v ochrane osobných údajov 20.4.2017 v Lučenci info: https://www.infoconsult.sk/vzdelavanie/workshop-ochrana-osobnych-udajov

   
 

Tip č.21 Oprávnené osoby

Oprávnenými osobami v zmysle súčasne platnej legislatívy sú osoby, ktoré v rámci výkonu svojho pracovného zaradenia, funkcie, či iného vzťahu voči prevádzkovateľovi/sprostredkovateľovi prichádzajú do styku s osobnými údajmi. Skontrolujte kto každý vo Vašej organizácií interne či externe patrí do tejto kategórie, či máte spracované preukázateľné poučenie týchto osôb o ich povinnostiach vo vzťahu k osobným údajom. Tento status sa platnosťou GDPR v princípe meniť nebude. Hlbšie k tejto problematike sa môžete dozvedieť na našom workshope Ako sa pripraviť na zmeny v ochrane osobných údajov 20.4.2017 v Lučenci info: https://www.infoconsult.sk/vzdelavanie/workshop-ochrana-osobnych-udajov

   
 

Tip č.22 a čo s tlačenými výstupmi?

Prevádzkovateľ/ sprostredkovateľ v plnej miere zodpovedá za zabezpečenie dôvernosti spracovávaných osobných údajov vo všetkých formách. Často sú však zanedbávanou formou sú však informácie vo vytlačenej podobe. Overte interné predpisy a ich fungovanie v praxi zamerané na likvidáciu tlačených výstupov (skartáciu). Často podobný malý audit odhalí koľko skartovacích zariadení v organizácií nefunguje už mesiace a je len doplnkom interiéru. Ideálne je tento proces zadefinovať jednotnou smernicou zahrňujúcou likvidáciu všetkých foriem a teda aj elektronickej skartácie, či skartácie pamäťových médií resp. vyraďovania techniky obsahujúcej nosiče dát (napr.pevné disky).

   
 

Tip č.23 Zodpovedná osoba/DPO

Už viete či bude Vaša organizácia potrebovať DPO (Data Protection Officer)? Výhodou je, že túto úlohu môže zabezpečovať aj externá osoba a GDPR umožni poveriť zabezpečovanie služby DPO aj právnickou osobou. Samozrejme na báze zmluvného vzťahu a pri dodržaní stanovených podmienok. Detailne k téme DPO https://dataprotection.gov.sk/uoou/sites/default/files/zodpovedna_osoba_podla_nariadenia_gdpr.pdf

   
 

Tip č.24 Kontrolujete svoje kamerové systémy?

Ak prevádzkujete kamerový systém nezabudnite na povinnosť označenia priestorov monitorovaných kamerovým systémom a povinnosť zlikvidovať záznamy v lehote do 15 dni od ich vyhotovenia. Záznamové technické zariadenia vykonávajú likvidáciu záznamov automaticky podľa nastavených parametrov, je však vhodné periodicky kontrolovať skutočný stav a o kontrole vyhotoviť zápis.

   
 

Tip č.25 Notifikácie incidentov

GDPR prináša do problematiky ochrany osobných údajov novú povinnosť - povinnosť notifikovania (nahlasovania) incidentov súvisiacich so spracovaním osobných údajov. S tým je samozrejme spätá aj povinnosť vedenia evidencie. Ako na to Vám radi poradime na našich tematických workshopoch. Kde a kedy sa budú konať sa dozviete tu https://www.infoconsult.sk/titulka/stretnete-nas

   
 

Tip č.26 Kedy začať?

Ihneď. Vychádzať z predpokladu, že času je dosť je klam. Začnite vstupným informačným seminárom pre Váš manažment a vytvorením pracovného tímu - téma zosúladenia s požiadavkami GDPR nie je otázkou jedného človeka. Stanovte časový plán a naštartujte celý proces. Túto časť by ste mali stihnúť do leta - teda ak to s GDPR myslíte vážne.

   
 

Tip č.27 Zorganizujte interný seminár

Zorganizujte pre manažment a zainteresované pozície vo Vašej firme/ organizácii interný seminár zameraný na oboznámenie sa so základnými témami GDPR. Bez pochopenia situácie zo strany manažmentu ťažko naštartujete celý proces zosúladenia s požiadavkami nariadenia. Ak neviete ako na to, radi Vám pomôžeme info@infoconsult.sk 

   
 

Tip č.28 Využívate technologickú platformu Microsoft?

Pozrite sa ako je pripravený na pokrytie požiadaviek GDPR z hľadiska poskytovaných produktov Microsoft - stránka poskytuje rad informácií o pripravenosti Server 2016, Office 365 a ďalších produktov https://www.microsoft.com/en-us/trustcenter/privacy/gdpr#where-start 

   
 

Tip č.29 Zmeňte prístup k vzdelávaniu zamestnancov

Vzdelávanie zamestnancov v témach zodpovednosti za bezpečnosť informačných technológií vo firme musia prejsť zásadnými zmenami oproti súčasnému stavu. Rozsiahle útoky posledných týždňov ukázali v plnom rozsahu nakoľko rizikovým prvkom je neznalý používateľ vnútrofiremného informačného systému. Ak neviete ako na zmenu ponúkame Vám niekoľko v praxi otestovaných vzdelávacích modulov informácie nájdete tu

   
 

Tip č.30 Zvýšte bezpečnosť svojej siete na koncových bodoch

Udalosti posledných dní ukázali nakoľko je rizikové prevádzkovať neaktualizované a nepodporované systémy. Vďaka nezáplatovaným systémom vznikajú bezpečnostné diery, ktoré často môžu byť vážnym problémom s vysokými nákladmi na odstránenie následkov. Preto dnes rady hneď 3 - ak ešte využívate nepodporovaný Windows XP - vymeňte ho a kým ho vymeníte využite aktuálnu záplatu od Microsoft vydanú v už v marci https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ . A rada tretia ešte dnes skontrolujte či na Vašich klientskych staniciach beží automatická aktualizácia operačného systému a aplikácií.

   
 

 

Odteraz medzi tipy zaraďujeme aj otázky, ktoré nám prichádzajú....  ak máte otázku aj Vy - napíšte

 

 

Otázka

Ako odporúčate postupovať a prečo začať už teraz?

Zosúladenie súčasného stavu s požiadavkami GDPR samozrejme v závislosti na rade faktorov vyžaduje niekoľko etáp, ktoré Vás čakajú - my sme sa ich pokúsili rozdeliť do problémových oblastí popísaných v nasledovnom zozname - postup podľa tohto zoznamu by mal viesť k úspešnému zavedeniu GDPR . Každá z nich má istú časovú náročnosť, preto je vhodné začať čím skôr.

   
 

Tip č.31 Šifrovanie dát

Jedným z odporúčaných technologických opatrení pre splnenie požiadaviek GDPR je šifrovanie. V rámci procesu analýzy opatrení uvažujte o nasadení vhodnej technológie, ktorá Vám umožní zabezpečiť dôvernosť dát vo Vašich systémoch v zašifrovanom tvare. Na trhu je dostupný rad kvalitných kryptografických riešení s rôznymi funkcionalitami.

   
 

Tip č.32 Služby Google a GDPR

Ak Vás zaujíma ako sa pripravil Google na požiadavky GDPR - informácie nájdete na nasledovnom linku
https://blog.google/topics/google-cloud/google-cloud-our-commitment-general-data-protection-regulation-gdpr/

   
 

Otázka:

Koho sa GDPR dotkne, sme spoločnosť poskytujúca služby spracovania dát - medzi nimi aj osobných údajov, teda týka sa aj nás?

Odpoveď je pomerne jednoduchá - každej právnickej či fyzickej osoby, organizácie spracovávajúcej osobné údaje. Spoločnosť spracovávajúca osobné údaje formou externej služby je definovaná ako tzv.sprostredkovateľ (platí aj podľa súčasnej legislatívy). Zodpovednosť sprostredkovateľa podľa GDPR sa stavia na úroveň prevádzkovateľa a menia sa aj požiadavky na právny vzťah týchto subjektov.

   
 

Tip č.33   Súhlasy na spracovanie osobných údajov - jednoduchosť a zrozumiteľnosť

Skontrolujte znenia súhlasov, ktorými získavate osobné údaje od dotknutých osôb. Jedným zo základných cieľov GDPR je stav kedy súhlas aj odvolanie súhlasu na spracovanie osobných údajov bude maximálne jednoduché, pochopiteľné pre každého kto poskytuje osobné údaje. Vysoko odborne napísané poučenia zjednodušte, napíšte ich zrozumiteľným jazykom a zamerajte sa najmä na zjednodušenie postupov, ktorými môže dotknutá osoba súhlas odvolať.

   
 

Otázka:

Ak nasadíme dobré technické riešenie, splníme požiadavky GDPR?

Zabezpečenie základných požiadaviek na bezpečnosť je rad nutných opatrení technologického, ale najmä organizačného charakteru. Odpoveď na Vašu otázku je teda že nie, nasadenie jedného konkrétneho bezpečnostného produktu nevyrieši otázku. Konkrétny bezpečnostný produkt Vám pomôže vyriešiť istú časť technologických otázok bezpečnosti, ale nie je univerzálnym riešením.

   
 

Otázka:

Môže zamestnanec požadovať likvidáciu osobných údajov z našich informačných systémov a sme povinný splniť túto požiadavku?

Môže, na to má právo. Požiadavku likvidácie môžete splniť len v prípadoch, kedy sa jedná o osobné údaje ktorých následnú archiváciu Vám neurčuje platná legislatíva. Typickými údajmi tohto tipu sú napríklad údaje súvisiace s dôchodkovým zabezpečením, odvodom daní a odvodov. Ostatné osobné údaje u ktorých dôvod ich spracovania pominul a nie je zákonný dôvod na ich ďalšie prechovávanie v IS ste povinný likvidovať. Nezabudnite pritom aj na tlačenú formu.

   
 

Otázka:

Prevádzkujeme kamerový systém. Sme povinný nechávať ho pravidelne kontrolovať?

Je to odporúčané. Kontrola technického stavu a fungovania nastavení by mala byť predmetom periodickej kontroly. Jedným z dôvodov je napríklad aj zákonná povinnosť zabezpečiť likvidáciu vyhotovených záznamov v zákonnej lehote a preto kontrola, či zariadenie funguje korektne v zmysle prvotne prednastavených parametrov je vhdoné kontrolovať. Povinné periódy, rozsah a zodpovednostné vzťahy pri výkone kontroly by mali byť zakotvené v príslušnej smernici.

   
 

Otázka:

Sme povinný vzdelávať zamestnancov v oblasti ochrany osobných údajov aj keď sme firma, ktorá nie je zameraná na služby spracovania osobných údajov?

Súčasne platná legislatíva vyžaduje poučenie oprávnených osôb v rozsahu oboznámenia s povinnosťami vyplývajúcimi zo zákona (napr.povinnosť mlčanlivosti). Nariadenie EU (GDPR) rozširuje pohľad na vzdelávanie v oblasti základov bezpečnostnej gramotnosti a to v článku 47, ods.2 n) kde za jednu z požiadaviek pre riadenie bezpečnosti údajov u prevádzkovateľa je definovaná primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov. Pod odbornou prípravou sa nutne musí chápať širší kontext zvyšovania kompetencii, kde už poučenie o mlčanlivosti nie je dostačujúcim. 

   
 

 Tip č.34: Odporúčame knihu k problematike GDPR

 Slušne spracovaný materiál k problematike GDPR od kolektívu českých autorov na celkom 544 stranách 

https://obchod.wolterskluwer.cz/cz/gdpr-obecne-narizeni-o-ochrane-osobnich-udaju-2016-679-eu-prakticky-komentar.p3927.html

 

Dostupná aj prostredníctvom siete Martinus https://www.martinus.sk/?uItem=273839