Obecné nařízení EU o ochraně osobních údajů (GDPR) je v platnosti od května 2016, v implementaci od května 2018 - mnoho firem si stále klade otázku: Týká se nás to? A pokud ano: Jak dosáhneme právní jistoty? A co můžeme udělat pro soulad s ochranou osobních údajů?

Loading...

Od května 2018 musí být společnosti, které nakládají s osobními údaji - a není jich málo - připraveny na to, že budou muset zaplatit tučnou padesátku. Sankce za porušení ochrany osobních údajů mohou být značné. A to vždy, pokud plně nesplňují požadavky nového nařízení GDPR. Nová verze německého spolkového zákona o ochraně osobních údajů(BDSG) navíc GDPR doplňuje a odůvodňuje. Zde však všude panuje nejistota:

  • Co je to vlastně "osobní údaj"?
  • Jsme "odpovědným subjektem" podle GDPR?
  • Kdo je "subjekt údajů"?
  • Co přesně znamená "automatizované zpracování" osobních údajů?
  • Musíme jmenovat pověřence pro ochranu osobních údajů?

Jaká opatření musí být zavedena

Seznam otázek týkajících se souladu s ochranou osobních údajů, které je třeba řešit, je dlouhý.

Je pravda, že definice pojmů používaných v nařízení lze nalézt v seznamech často kladených otázek. To však nutně nezaručuje jasnost, pokud jde o konkrétní význam pro jednotlivé společnosti. Nejpozději v okamžiku, kdy se čeká na zavedení a dodržování potřebných (protože požadovaných) opatření a povinností ze strany zaměstnanců, musí existovat správné odpovědi na takové otázky, jako např:

  • Co jsou to "technicko-organizační opatření"?
  • Kdy jsou nezbytná?
  • Jak je to s "přiměřeností"?
  • Co s mnoha "kontrolami", které GDPR vyžaduje, jako jsou "kontroly přístupu nebo zpřístupnění"?
  • Jak lze zajistit soulad s ochranou údajů?

Ochrana údajů vs. bezpečnost informací

V každém případě je správným krokem pro dotčenou společnost nastavení účinné systém řízení ochrany údajů - přizpůsobený jejím individuálním potřebám, v případě potřeby již s ohledem na akreditovanou certifikaci.

Co se zde často zaměňuje: Ochrana dat a bezpečnost informací jsou dva páry bot, i když se překrývají (například různá kontrolní opatření). Například společnosti, které mají plně komplexní systém řízení bezpečnosti informací (ISMS) v souladu se zákonem č. 101/2000 Sb. ISO 27001 do jisté míry pokrývají i téma ochrany údajů.

Ale i zde zůstává delta, kterou lze odhalit a uzavřít s ISMS nebo bez něj pomocí analýzy mezer.

"Zásadní rozdíl mezi oběma tématy: Bezpečnost informací chrání data společnosti před zneužitím třetími stranami; ochrana dat má za cíl chránit osobní údaje."

V srpnu 2019 se ISO 27701 zveřejněna nová norma, která formuluje požadavky na ochranu dat v rámci řízení bezpečnosti informací. Norma ISO 27701 tak specifikuje systém řízení ochrany údajů založený na normách ISO 27001, ISO 27002 (pokyny pro opatření v oblasti bezpečnosti informací) a ISO 29100 (rámec pro ochranu údajů). Norma ISO 27701 je doplňkem normy ISO 27001. Samotná certifikace podle nové normy není možná.

Soulad s předpisy o ochraně údajů - výhody

Získáte

  • Spolehlivé informace o oblastech, v nichž je třeba přijmout opatření
  • Znalosti o skrytém potenciálu
  • Větší bezpečnost jednání a právní jistotu při nakládání s údaji po zavedení příslušných opatření

Na bezpečné straně - s auditem ochrany údajů od DQS

Společnosti, které usilují o dodržování předpisů v oblasti ochrany údajů, by proto měly udělat dvě věci: co nejrychleji seznámit sebe nebo své pracovníky odpovědné za dodržování předpisů s danou problematikou a nechat si zjistit stávající stav nezávislým orgánem, jako je DQS , formou analýzy nedostatků.

Těžištěm takového auditu ochrany údajů je sebehodnocení s kontrolou dokumentů. Na místě se pak kontroluje, zda společnost dodržuje základní aspekty ochrany údajů. Ze zprávy vyplývá, zda je třeba přijmout opatření, a pokud ano, jaká opatření jsou nutná.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Ochrana dat analýzy mezer DQS

Kolik práce je třeba udělat pro analýzu GAP? Zjistěte to bezplatně a nezávazně.

Autor
Gert Krueger

Expert a projektový manažer pro bezpečnost informací, BSI-KritisV a ochranu dat ve společnosti DQS. Kromě toho dlouholetý auditor pro řízení kvality a životního prostředí.

Loading...