GDPR, nové európske pravidlá o ochrane údajov, boli po štyroch rokoch diskusií a dohadovania prijaté Európskym parlamentom v apríli minulého roka. Cieľom tohto nariadenia je modernizovať a zosúladiť existujúce zákony o ochrane dát v jednotlivých členských štátoch Európskej únie.
V jednotlivých štátoch vstúpia nové, ale aj pozmenené prvky do platnosti v máji 2018, no pre subjekty, ktoré pracujú s osobnými údajmi je dôležité začať s prípravou čo najskôr. Nariadenie sa dotkne obrovského množstva ľudí, keďže takmer každá firma spracováva údaje o zákazníkoch, dodávateľoch, či zamestnancoch.
Okrem množstva zmien sa sprísňujú aj pokuty. Pokiaľ organizácie neprispôsobia spôsob spracovania osobných údajoch, hrozí im pokuta do výšky 20 miliónov €, prípadne 4% ročného obratu. Na príchod GDPR sa začínajú pripravovať aj veľké technologické spoločnosti, Microsoft nevynímajúc.
Čo nové pravidlá GDPR znamenajú pre podniky?
Nariadenie upravuje napríklad formu súhlasu so spracovaním osobných údajov, ktorý je potrebné získať od každého človeka pri zbere týchto údajov. Súhlas pritom musí byť výslovný, jednoznačný a kedykoľvek odvolateľný. V prípade elektronických obchodov majú zákazníci napríklad právo vypísať si osobné údaje, ktoré o nich prevádzkovateľ uchováva alebo si vyžiadať ich nenávratné vymazanie zo systému.
Pre organizácie štátnej správy, ako aj tie, ktoré narábajú s veľkými databázami, prípadne s obzvlášť citlivými osobnými údajmi sa vzťahuje ďalšia podmienka – menovanie osoby zodpovednej za ochranu osobných údajov (Data Protection Officer). Funkciou tejto osoby je hlavne dohliadať na súlad s GDPR a vykonávať činnosti ako audity a školenia.
Firmy sa nevyhnú ani revízii zmlúv, smerníc a interných dokumentov, aby sa zaručilo, že sú v súlade s novou legislatívou. Veľkou novinkou, ktorú zavádzajú nové pravidlá, je povinné ohlasovanie incidentov – vo väčšine prípadov budú musieť byť porušenia práva na ochranu osobných údajov hlásené do 72 hodín.
Analýza vnútrofiremnej bezpečnosti
Pre firmy je dôležité ako prvé dôkladne zhodnotiť, akým spôsobom s dátami v rámci organizácie pracujú. Ďalším krokom je minimalizovať riziko, že dôjde k ich úniku, a to akýmkoľvek spôsobom. Z praktického hľadiska to znamená začať s analýzou pohybu osobných údajov. V podstate ide o zmapovanie toho, kde všade sa dáta nachádzajú, kto k ním má prístup, a ako s nimi zamestnanci pracujú.
Ako sa pripraviť na GDPR?
Existujúce zákony na ochranu osobných údajov zostávajú v platnosti aj naďalej, až do doby, kedy nadobudne platnosť Všeobecné nariadenie EÚ o ochrane osobných údajov (GDPR).
Je ale celkom možné, že počas tohto medziobdobia, úrady na ochranu údajov začnú riešiť otázku zhody národnej legislatívy s GDPR. Firmám preto možno iba odporúčať, aby čo najskôr začali vykonávať zásadné kroky, smerujúce k zaručeniu súladu s GDPR.
- Interný audit práce s dátami
- Definícia pravidiel, ako s osobnými dátami pracovať
- Školenie zamestnancov, ako s dátami manipulovať
- Šifrovánie citlivých dát
- Obmedzenie ciest, ktorými je možné dáta přenášať
- Implementácia DLP rišenia, ktoré zabezpečí, že dáta neuniknú prostredníctvom chyby alebo nevedomosti zamestnanca
- Zálohovanie dátových úložísk, aby nedošlo k ich strate
- Ochrana proti externým útočníkom, použitím kvalitných antivírového riešenia a ďalších technológií v oblasti sieťovej bezpečnosti, ako sú IDS/IPS, firewally a ďalšie nástroje
Na pomoc s riešením potrebných krokov sa pritom zameriavajú aj rôzne bezpečnostné spoločnosti, v našich končinách sú tým známe napríklad aj firmy Safetica Technologies a Anasoft.
Zdroj: TS Safetica, Ratio.sk