02_18_GDPR krok za krokom - 3. časť
GDPR krok za krokom - 3. časť
Ako začať s GDPR Plán zmien a realizácia V minulom čísle sme vám priniesli tipy na tri úvodné kroky, ktoré by mali predchádzať praktickej implementácii GDPR vo vašej firme. Pokiaľ ste ich zvládli, oboznámili ste sa s problematikou, zostavili pracovný tím a zanalyzovali situáciu, môžete pristúpiť k zostaveniu plánu a jeho realizácii. Čo vás v tejto fáze čaká, prinášame v tretej časti nášho seriálu. Krok 4: Zadefinujte zmeny a zostavte plán Všetky kroky, ktoré musíte pre zosúladenie spracúvania osobných údajov dotknutých (fyzických) osôb podniknúť, vyplynú z rozdielovej (GAP) analýzy, ak ste ju vykonali kompletne a správne. Na základe analýzy si musíte pripraviť zoznam úloh, ktorých vyriešením uvediete spracúvanie osobných údajov do súladu s GDPR. Situácia je v každej firme iná, ale možno predpokladať, že spoločnými znakmi plánov väčšiny firiem budú napríklad:
Zvýšenie úrovne IT bezpečnosti
To môže obsahovať opatrenia týkajúce sa riadenia prístupových práv. Tieto obsahujú revízie mien a hesiel používateľov, pokynov na pravidelné menenie hesiel, oddelenie účtov používateľov od administrátorských účtov. Prehodnotenie rolí používateľov, aby pri práci s informačným systémom mali dostatočné práva na výkon svojich úloh, ale nie zbytočne široké oprávnenia na prístup a prácu s údajmi, ktoré nepotrebujú, tzv. Least Privilege Concept. Rovnako môžu opatrenia na zvýšenie IT bezpečnosti zahŕňať potrebu dokúpiť a inštalovať výkonnejší antivírusový a bezpečnostný softvér. Nasadiť antivírusovú ochranu vo viacerých vrstvách na serveri, aj pracovné stanice, notebooky či mobilné zariadenia. Zmenu politiky pripájania prinesených zariadení a súkromných mobilov zamestnancov do podnikovej siete. Oddelenie pracovných počítačových sietí 46
Ročník_2018_02
a WiFi od sietí, ktoré slúžia zákazníkom a návštevníkom. Pre zvýšenie IT bezpečnosti odporúčam aj zavedenie dodatočného šifrovania pri ukladaní a prenose osobných údajov. Či už ide o počítače a servery, kde sa spracúvajú mzdy alebo iné osobné údaje, ako aj zašifrovanie tej emailovej (alebo inej) komunikácie, cez ktorú sa prenášajú osobné údaje. A pozornosť treba klásť aj fyzickej bezpečnosti IT, aby boli počítače a servery umiestnené v priestoroch, kam nemajú prístup nepovolané osoby a kde sú zabezpečené dobré klimatické a protipožiarne podmienky.
Zabezpečenie výkonu práv dotknutých osôb
Na tieto povinnosti doteraz neboli firmy pripravené a zvyknuté, preto budú musieť vypracovať interné postupy na to, ako na jednotlivé žiadosti reagovať. Tiež bude treba preškoliť na tieto postupy zamestnancov, aby vedeli správne reagovať. Niektoré práva, ktoré si dotknuté osoby môžu uplatniť, sú v celku bezproblémové, napríklad právo na opravu údajov. Iné si ale vyžadujú dobrú prípravu a aj technické a technologické vybavenie. Napríklad právo na prenos údajov alebo právo na výmaz (zabudnutie).
Zabezpečenie informačnej povinnosti Samostatnou kapitolou v implementácii GDPR bude správne uviesť do praxe informovanie dotknutých osôb predtým, než prevádzkovateľom poskytnú svoje osobné údaje. Bude
