Obecné nařízení EU o ochraně osobních údajů (GDPR) je v platnosti od května 2016, v implementaci od května 2018 - mnoho firem si stále klade otázku: Týká se nás to? A pokud ano: Jak dosáhneme právní jistoty? A co můžeme udělat pro soulad s ochranou osobních údajů?
Od května 2018 musí být společnosti, které nakládají s osobními údaji - a není jich málo - připraveny na to, že budou muset zaplatit tučnou padesátku. Sankce za porušení ochrany osobních údajů mohou být značné. A to vždy, pokud plně nesplňují požadavky nového nařízení GDPR. Nová verze německého spolkového zákona o ochraně osobních údajů(BDSG) navíc GDPR doplňuje a odůvodňuje. Zde však všude panuje nejistota:
- Co je to vlastně "osobní údaj"?
- Jsme "odpovědným subjektem" podle GDPR?
- Kdo je "subjekt údajů"?
- Co přesně znamená "automatizované zpracování" osobních údajů?
- Musíme jmenovat pověřence pro ochranu osobních údajů?
Jaká opatření musí být zavedena
Seznam otázek týkajících se souladu s ochranou osobních údajů, které je třeba řešit, je dlouhý.
Je pravda, že definice pojmů používaných v nařízení lze nalézt v seznamech často kladených otázek. To však nutně nezaručuje jasnost, pokud jde o konkrétní význam pro jednotlivé společnosti. Nejpozději v okamžiku, kdy se čeká na zavedení a dodržování potřebných (protože požadovaných) opatření a povinností ze strany zaměstnanců, musí existovat správné odpovědi na takové otázky, jako např:
- Co jsou to "technicko-organizační opatření"?
- Kdy jsou nezbytná?
- Jak je to s "přiměřeností"?
- Co s mnoha "kontrolami", které GDPR vyžaduje, jako jsou "kontroly přístupu nebo zpřístupnění"?
- Jak lze zajistit soulad s ochranou údajů?
Ochrana údajů vs. bezpečnost informací
V každém případě je správným krokem pro dotčenou společnost nastavení účinné systém řízení ochrany údajů - přizpůsobený jejím individuálním potřebám, v případě potřeby již s ohledem na akreditovanou certifikaci.
Co se zde často zaměňuje: Ochrana dat a bezpečnost informací jsou dva páry bot, i když se překrývají (například různá kontrolní opatření). Například společnosti, které mají plně komplexní systém řízení bezpečnosti informací (ISMS) v souladu se zákonem č. 101/2000 Sb. ISO 27001 do jisté míry pokrývají i téma ochrany údajů.
Ale i zde zůstává delta, kterou lze odhalit a uzavřít s ISMS nebo bez něj pomocí analýzy mezer.
"Zásadní rozdíl mezi oběma tématy: Bezpečnost informací chrání data společnosti před zneužitím třetími stranami; ochrana dat má za cíl chránit osobní údaje."
V srpnu 2019 se ISO 27701 zveřejněna nová norma, která formuluje požadavky na ochranu dat v rámci řízení bezpečnosti informací. Norma ISO 27701 tak specifikuje systém řízení ochrany údajů založený na normách ISO 27001, ISO 27002 (pokyny pro opatření v oblasti bezpečnosti informací) a ISO 29100 (rámec pro ochranu údajů). Norma ISO 27701 je doplňkem normy ISO 27001. Samotná certifikace podle nové normy není možná.
Soulad s předpisy o ochraně údajů - výhody
Získáte
- Spolehlivé informace o oblastech, v nichž je třeba přijmout opatření
- Znalosti o skrytém potenciálu
- Větší bezpečnost jednání a právní jistotu při nakládání s údaji po zavedení příslušných opatření
Na bezpečné straně - s auditem ochrany údajů od DQS
Společnosti, které usilují o dodržování předpisů v oblasti ochrany údajů, by proto měly udělat dvě věci: co nejrychleji seznámit sebe nebo své pracovníky odpovědné za dodržování předpisů s danou problematikou a nechat si zjistit stávající stav nezávislým orgánem, jako je DQS , formou analýzy nedostatků.
Těžištěm takového auditu ochrany údajů je sebehodnocení s kontrolou dokumentů. Na místě se pak kontroluje, zda společnost dodržuje základní aspekty ochrany údajů. Ze zprávy vyplývá, zda je třeba přijmout opatření, a pokud ano, jaká opatření jsou nutná.
Ochrana dat analýzy mezer DQS
Kolik práce je třeba udělat pro analýzu GAP? Zjistěte to bezplatně a nezávazně.
Newsteller DQS
Gert Krueger
Expert a projektový manažer pro bezpečnost informací, BSI-KritisV a ochranu dat ve společnosti DQS. Kromě toho dlouholetý auditor pro řízení kvality a životního prostředí.