4 minute read
GDPR krok za krokom - Ako začať s GDPR - Plán zmien a realizácia
GDPR krok za krokom - 3. časť
Ako začať s GDPR - Plán zmien a realizácia
Advertisement
V minulom čísle sme vám priniesli tipy na tri úvodné kroky, ktoré by mali predchádzať praktickej implementácii GDPR vo vašej firme. Pokiaľ ste ich zvládli, oboznámili ste sa s problematikou, zostavili pracovný tím a zanalyzovali situáciu, môžete pristúpiť k zostaveniu plánu a jeho realizácii. Čo vás v tejto fáze čaká, prinášame v tretej časti nášho seriálu.
Krok 4: Zadefinujte zmeny a zostavte plán
Všetky kroky, ktoré musíte pre zosúladenie spracúvania osobných údajov dotknutých (fyzických) osôb podniknúť, vyplynú z rozdielovej (GAP) analýzy, ak ste ju vykonali kompletne a správne. Na základe analýzy si musíte pripraviť zoznam úloh, ktorých vyriešením uvediete spracúvanie osobných údajov do súladu s GDPR. Situácia je v každej firme iná, ale možno predpokladať, že spoločnými znakmi plánov väčšiny firiem budú napríklad:
Zvýšenie úrovne IT bezpečnosti
a WiFi od sietí, ktoré slúžia zákazníkom a návštevníkom.
Pre zvýšenie IT bezpečnosti odporúčam aj zavedenie dodatočného šifrovania pri ukladaní a prenose osobných údajov. Či už ide o počítače a servery, kde sa spracúvajú mzdy alebo iné osobné údaje, ako aj zašifrovanie tej emailovej (alebo inej) komunikácie, cez ktorú sa prenášajú osobné údaje.
A pozornosť treba klásť aj fyzickej bezpečnosti IT, aby boli počítače a servery umiestnené v priestoroch, kam nemajú prístup nepovolané osoby a kde sú zabezpečené dobré klimatické a protipožiarne podmienky.
Zabezpečenie výkonu práv dotknutých osôb
To môže obsahovať opatrenia týkajúce sa riadenia prístupových práv. Tieto obsahujú revízie mien a hesiel používateľov, pokynov na pravidelné menenie hesiel, oddelenie účtov používateľov od administrátorských účtov. Prehodnotenie rolí používateľov, aby pri práci s informačným systémom mali dostatočné práva na výkon svojich úloh, ale nie zbytočne široké oprávnenia na prístup a prácu s údajmi, ktoré nepotrebujú, tzv. Least Privilege Concept.
Rovnako môžu opatrenia na zvýšenie IT bezpečnosti zahŕňať potrebu dokúpiť a inštalovať výkonnejší antivírusový a bezpečnostný softvér. Nasadiť antivírusovú ochranu vo viacerých vrstvách na serveri, aj pracovné stanice, notebooky či mobilné zariadenia. Zmenu politiky pripájania prinesených zariadení a súkromných mobilov zamestnancov do podnikovej siete. Oddelenie pracovných počítačových sietí
Na tieto povinnosti doteraz neboli firmy pripravené a zvyknuté, preto budú musieť vypracovať interné postupy na to, ako na jednotlivé žiadosti reagovať. Tiež bude treba preškoliť na tieto postupy zamestnancov, aby vedeli správne reagovať. Niektoré práva, ktoré si dotknuté osoby môžu uplatniť, sú v celku bezproblémové, napríklad právo na opravu údajov. Iné si ale vyžadujú dobrú prípravu a aj technické a technologické vybavenie. Napríklad právo na prenos údajov alebo právo na výmaz (zabudnutie).
Zabezpečenie informačnej povinnosti
treba aktualizovať a nahradiť množstvo textov, ktoré sa týkajú pravidiel spracovania osobných údajov. Asi najčastejšie sa s nimi stretávame na internete pri nakupovaní, ale nie len tam. Správne informovať budú musieť o spracúvaní osobných údajov aj zamestnávatelia svojich zamestnancov a to ešte predtým, ako s nimi podpíšu pracovnú zmluvu, na ktorú im poskytnú svoje osobné údaje. Rovnaká povinnosť čaká aj na firmy poskytujúce služby, mali by na to myslieť už pri spracovaní ponúk alebo objednávok. Počas implementácie sa teda firmy nevyhnú ani prepracovaniu vzorových dokumentov, ktoré používajú vo svojej obchodnej agende.
Koordinácia vzťahov s dodávateľmi
Náročnou na čas a komunikáciu bude aj koordinácia s dodávateľmi. Tí sú často v pozícii sprostredkovateľa a vykonávajú spracúvanie osobných údajov podľa pokynov prevádzkovateľa. Typicky pôjde o účtovnícke kancelárie, poskytovateľov e-shopov, marketingové agentúry alebo kuriérske spoločnosti. Počas implementácie bude potrebné, tak ako to bolo analyzované v GAP analýze, aby boli jasne zadefinované vzťahy, pokyny na spracúvanie údajov a zodpovednosť. To všetko bude treba doložiť v písomnej forme, napríklad dodatkami k zmluvám.
Malý slovník GDPR
• Prevádzkovateľ
Prevádzkovateľom je subjekt, ktorý sám určí účely a prostriedky spracúvania osobných údajov. V praxi je ním teda napríklad firma alebo organizácia, ktorá si určí, že bude spracúvať osobné údaje zákazníkov pre potreby poskytovania služieb, alebo spracúvať údaje zamestnancov pre potreby miezd a personalistiky.
• Sprostredkovateľ
Sprostredkovateľom je subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Môže ísť o účtovnú kanceláriu, reklamnú agentúru, ktorá rozosiela oznamy zákazníkom, poskytovateľa hostingu pre e-shop, strážnu službu a pod.
Rozpočet pre GDPR
Pri zostavovaní plánu myslite na to, že okrem času bude GDPR stáť aj nejaké peniaze. Či už na nákup softvéru a technológií alebo na nákup služieb od vašich implementačných partnerov (IT administrátorov, právnych poradcov a pod.), jednoducho od všetkých, ktorí sa budú na projekte podieľať. Ak väčšinu úloh zvládnete internými silami, ani to nebude zadarmo. Aj vaši zamestnanci vás niečo stoja. Rozpočet pre GDPR je potrebný, aby ste vedeli preukázať aj primeranosť vašich riešení. GDPR by vás nemalo zruinovať, ale ochranu by ste nemali ani podceniť.
Krok 5: Zrealizujte zmeny podľa plánu
Hovorí sa: „Ťažko na cvičisku, ľahko na bojisku.“ Ak ste si dobre, na základe rozdielovej GAP analýzy, pripravili plán zavedenia GDPR, a na nič ste nezabudli, tak potom zostáva už iba rozdeliť úlohy medzi členmi implementačného tímu. Počas realizácie projektu je najdôležitejšie sledovať, či sa úlohy plnia kvalitne a v stanovenom čase. Harmonogram úloh a sledovanie plnenia úloh vám v tom môže iba pomôcť.
Dušan Peško Konzultant pre GDPR
• Pseudonymizácia
Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií. V praxi si možno pseudonymizáciu predstaviť napríklad ako odstránenie kontaktných údajov o zákazníkoch zo záznamov o predaji tovaru a služieb a ponechanie iba údajov týkajúcich sa predaných položiek, napríklad pre spracovanie štatistík predaja.
• Šifrovanie
Šifrovanie je metóda ochrany dát pred neoprávneným prístupom. Počas šifrovania sú údaje skombinované so šifrovacím kľúčom (heslom) a bez tohto hesla nie sú dáta čitateľné, pretože ich obsah sa pri zašifrovaní zmení. Šifrovanie je opatrenie, ktoré pomáha zaistiť vyššiu úroveň bezpečnosti.
BEST IN COMMERCIAL ErgoTronic AutoRun
Autonómna bezobsluhová tlač na stroji Koenig & Bauer RAPIDA 106
S využitím software ErgoTronic AutoRun prebieha príprava a tlač jednotlivých zákaziek, napríklad signatúr kníh, časopisov či katalógov celkom autonómne, obsluha iba dodáva stroju tlačové platne. Tlač malých nákladov tak nikdy nebola produktívnejšia a rentabilnejšia.
