General data protection regulation (GDPR) OCHRANA OSOBNÝCH ÚDAJOV
GDPR vs prevádzkovateľ/sprostredkovateľ/fyzická osoba Od 25. mája 2018 začne v celej Európskej únii platiť Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov, takzvané GDPR. Jedná sa o prelomový právny akt, ktorý zjednocuje ochranu osobných údajov v celej EÚ a dopadá na všetky subjekty, ktoré osobné údaje spracúvajú.
GDPR vs prevádzkovateľ/sprostredkovateľ/fyzická osoba Táto nová európska norma vyžaduje veľmi komplexný prístup k celej problematike ochrany aktív, hoci je zameraná iba na osobné údaje. V rámci automatizovaného spracovania osobných údajov vznikajú nové povinnosti vedúce k väčšej transparentnosti, ale predovšetkým bezpečnosti.
GDPR vs prevádzkovateľ/sprostredkovateľ/fyzická osoba To je možné docieliť prijatím zodpovedajúcich konkrétnych ochranných opatrení a to nie len v oblasti bezpečnosti IT, ale tiež bezpečnosti fyzickej, administratívnej, organizačnej a procesnej. Je nevyhnutné všetky tieto oblasti komplexne prepojiť tak, aby celá ochrana osobných údajov fungovala ako jednoliaty systém.
GDPR vs prevádzkovateľ/sprostredkovateľ/fyzická osoba DOSTUPNOSŤ vlastnosť zaisťujúca autorizovaným používateľom prístup k informáciám a aktívam vtedy, keď to potrebujú. DôVERNOSŤ - vlastnosť, že aktíva nie sú prístupné neautorizovaným jednotlivcom, entitám alebo procesom INTEGRITA vlastnosť, že aktíva nebudú pozmenené, poškodené, narušené neautorizovaným spôsobom
Aké kľúčové zmeny prináša GDPR?
Nové povinnosti Stručne a zjednodušene povedané dochádza k významnému sprísneniu regulácie v oblasti spracovania osobných údajov. Nové podmienky budú v rámci organizácie vyžadovať nielen úpravu existujúcich procesov, ktoré súvisia so spracovaním, ale budú znamenať povinnú implementáciu rady ďalších opatrení.
Aby bola organizácia v súlade s GDPR, bude si musieť odpovedať na radu elementárnych otázok: Aké dáta sú spracovávané a kde všade sú v našich systémoch uložené? Dokážeme napr. „zabudnúť“ osobné údaje, pokiaľ to daná dotknutá osoba bude požadovať? Ako sú dáta spravované a akým spôsobom sú chránené? Sú chránené dostatočne? V ktorých informačných systémoch (agendách) sa nám nachádzajú osobné údaje? Pre ktoré informačné systémy sme prevádzkovateľom a pre ktoré sprostredkovateľom? Aké role sa podieľajú na spracovaní osobných údajov a aké sú ich povinnosti?
Aby bola organizácia v súlade s GDPR, bude si musieť odpovedať na radu elementárnych otázok: Aká interná dokumentácia rieši ochranu a spracovanie osobných údajov a je v súlade s požiadavkami GDPR? Sú tieto povinnosti dostatočné vzhľadom k požiadavkám GDPR? Aká je úloha tretích strán pri spracovaní a ako je spolupráca s nimi zaistená (zmluvne)? Sme dostatočne zaistení v prípade možných problémov? Ako sú riešené postupy pri úniku osobných údajov a pri následnom informovaní dotknutých osôb a regulátora? Je odpovedajúcim spôsobom zaistené vzdelávanie a školenie pracovníkov?
Interné/Externé služby špecialistov v oblasti GDPR Analýza súladu s požiadavkami GDPR Konzultácie, návrh a implementácia súvisiacich procesov/činností/postupov do štruktúr organizácie Spracovanie riadiacich dokumentov (politiky, smerníc a ďalších dokumentov) Implementácia systému riadenia informačnej bezpečnosti a ochrany osobných údajov Analýza dopadov na súkromie (Privacy Impact Assessment) Outsourcing role zodpovednej osoby pre ochranu osobných údajov (DPO)
Prečo túto problematiku riešiť? Zhoršujúca sa bezpečnostná situácia kladie stále väčšie nároky na identifikáciu, hodnotenie a kontinuálny monitoring rizík v prostredí organizácie i jeho informačného systému. Nové regulatívy, ako je napr. GDPR, núti organizácie prispôsobovať svoje informačné systémy i procesy a neustále sledovať mieru plnenia jednotlivých zákonných požiadaviek (compliance). Všetky interné a externé požiadavky pretavené do bezpečnostných politík je treba pravidelne preskúmavať a sledovať úspešnosť ich presadzovania do každodennej praxe.
Prečo túto problematiku riešiť? Workflow kľúčových operatívnych procesov by malo byť štandardizované a automatizované, pričom dáta týchto procesov by mali byť k dispozícii a metriky by mali byť priebežne vyhodnocované. Legislatívny rámec a sankcie za neplnenie povinností Bezpečné prostredie = prestíž oproti konkurencii = konkurenčná výhoda
Desať faktov o GDPR Ochrana osobných údajov aj mimo hranice EÚ Pokiaľ ste jednou z organizácií, na ktorú dopadne regulácia GDPR (EÚ 2016/679), možno Vám bude k úžitku nasledujúcich 10 bodov. Ochrana osobných údajov aj mimo hranice EÚ Je to snáď po prvýkrát, kedy podobná regulácia zasahuje pri ochrane európskych dát mimo hranice Európskej únie. V praxi to znamená, že povinnými subjektami budú nielen organizácie majúce sídlo v niektorej z krajín EÚ, ale GDPR sa bude vzťahovať i na organizácie mimo EÚ, ktoré nakladajú s osobnými údajmi občanov členských krajín únie. Presnejšie vymedzenie osobných údajov Norma presne stanovuje, že osobným údajom je akákoľvek informácia, ktorá priamo či nepriamo, identifikuje danú osobu.
Desať faktov o GDPR Väčšia zodpovednosť GDPR zásadne zvyšuje úroveň zodpovednosti pre všetky fáze spracovania dát obsahujúcich osobné údaje. Jasné pravidlá použitia osobných údajov Nová regulácia spresňuje definície osobných údajov, presnejšie popisuje pravidlá pri nakladaní s nimi a posilňuje právomoci kontrolných orgánov pri ich vynucovaní. Transparentnosť pri porušení ochrany dát Maximálne 72 hodín na nahlásenie zisteného porušenia bezpečnosti osobných údajov kontrolnému orgánu, a to vrátane popisu povahy daného porušenia a vyplývajúcich súvislostí.
Desať faktov o GDPR Jasné priradenie rolí prevádzkovateľa a sprostredkovateľa GDPR tiež jasne vymedzuje povinnosti tzv. prevádzkovateľov (Controlller) , sprostredkovateľov a dodávateľov systémov ukladajúcich či spracúvajúcich osobné údaje. Posilnenie práv dotknutých osôb GDPR predovšetkým posilňuje zásadným spôsobom práva dotknutých osôb, teda predovšetkým občanov Európskej únie. Prísnejšie pravidlá medzinárodných transakcií Organizácie, ktoré spracovávajú alebo prenášajú dáta obsahujúce osobné údaje mimo hraníc Európskej únie, teraz majú sprísnené pravidlá pre nakladanie s týmito údajmi.
Desať faktov o GDPR Posilnenie role národných autorít GDPR posilňuje rolu národných kontrolných autorít. Tieto budú čeliť značnému nárastu agendy strán kontroly dodržiavania súladu s pravidlami GDPR zo strany povinných subjektov. Závažnejšie postihy Pôjde až o 20 miliónov EUR, či 4% obratu – podľa toho, ktorá suma je vyššia.
Čo môžeme urobiť už teraz ?
Roman Václav audit@datasoftconsulting.sk 15.3.2017 Ďakujem za pozornosť Roman Václav audit@datasoftconsulting.sk 15.3.2017