sk

Nariadenie EÚ 2016/697 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) nadobudne účinnosť 25. mája 2018. Nariadenie zavádza nové bezpečnostné požiadavky a povinnosti pre všetky spoločnosti a organizácie, ktoré pracujú s osobnými údajmi.

Priemerný odhadovaný čas zosúladenia s nariadením je jedenásť mesiacov, ale do nadobudnutia účinnosti nariadenia zostáva iba osem mesiacov. Aj napriek tomu až 54 % účastníkov konferencie v prieskume uviedlo, že o danej problematike iba zbiera informácie.

Infografika: Stav implementácie nariadenia GDPR v slovenských spoločnostiach

Je emailová adresa osobný údaj?

Účastníci konferencie sa zhodli na tom, že kľúčové je identifikovať osobné údaje a ich toky v spoločnostiach alebo organizáciách. Nariadenie GDPR totiž nevymenúva údaje, ktoré možno považovať za osobné, ale uvádza, že ide najmä o meno, identifikačné číslo, lokalizačné údaje a online identifikátor. Za osobný údaj sa dá považovať akýkoľvek údaj, ktorým je možné identifikovať konkrétnu fyzickú osobu. Napríklad mailové adresy info@tempest.sk alebo abc@gmail.com nemožno za obvyklých okolností spájať s konkrétnou osobou, preto to nie je osobný údaj. No ak ide o mailovú adresu s konkrétnym menom a priezviskom s konkrétnou doménou, napríklad jan_panik@tempest.sk, je to osobný údaj, lebo sa dá priradiť ku konkrétnej osobe.

Prevratné zmeny?

Požiadavky, ktoré prináša nariadenie GDPR, sú vo veľkej miere známe aj v súčasnosti z našej národnej legislatívy upravujúcej oblasť ochrany osobných údajov. Oproti súčasnosti nariadenie zavádza niektorým spoločnostiam a organizáciám napríklad:

  • povinnosť určiť zodpovednú osobu, ktorá preberie výkon dohľadu nad ochranou osobných údajov,
  • nové oznamovacie povinnosti voči dotknutým osobám aj inštitúciám verejnej správy,
  • právo na zabudnutie,
  • právo na prístup k údajom, ktoré sa o dotknutej osobe u prevádzkovateľa spracúvajú,
  • osobitnú ochranu osobných údajov detí,
  • právo na prenosnosť osobných údajov.

Nariadenie obsahuje viacero požiadaviek, ktoré je už možné poznať aj z iných platných zákonov a z bezpečnostných noriem.

Subjekty, ktoré sa dôsledne riadili aktuálne platným zákonom o ochrane osobných údajov, prípadne majú implementovaný systém riadenia informačnej bezpečnosti, napríklad podľa bezpečnostnej normy ISO 27001, to budú mať výrazne jednoduchšie.

Odporúčania

Technologické oblasti, ktorých sa dotýka nariadenie GDPR, sú najmä riadenie ochrany spracúvaných údajov, ich dôvernosť, dostupnosť, integrita a zabezpečenie odolnosti systémov, v ktorých sa osobné údaje spracúvajú. Predpokladá to zavedenie takých bezpečnostných opatrení ako sú:

  • šifrovanie údajov,
  • pseudonymizáciu údajov,
  • riadenie prístupu k údajom,
  • zálohovanie a archiváciu dát,
  • zabezpečenie vysokej dostupnosti IT infraštruktúry,
  • monitorovanie infraštruktúry a bezpečnostný monitoring,
  • zavedenie bezpečnostných technológií na zabezpečenie údajov pred únikom.

Súčasne je potrebné doplniť tieto bezpečnostné technológie aj vhodnými technológiami na uľahčenie uplatňovania práv dotknutých osôb, ako je napríklad právo na zabudnutie alebo na prístup k údajom.

Všetky opatrenia však treba implementovať s rozumom a s prihliadnutím na existujúce riziká. Hlavné odporúčania vyplývajúce z konferencie: minimalizovať množstvo spracúvaných osobných údajov (premyslite si, aké údaje potrebujete spracúvať a nezbierajte údaje len pre istotu), kde je to možné, zaviesť efektívne a spoľahlivé šifrovanie údajov a ich pseudonymizáciu, zabezpečiť kontrolu nad spracúvanými údajmi a ich ochranu pred zničením alebo poškodením a viesť dokumentáciu v takom rozsahu, aby bolo možné preukázať súlad s požiadavkami nariadenia

Viac o tejto problematike nájdete na stránke tempest.sk/gdpr.

 

 

copyright © 2013 TEMPEST a.s.
+with love by milk, WEB je postavený na CMS Romboid

Mobilná verzia / Plná verzia