Všeobecné nariadenie EÚ o ochrane údajov (GDPR), ktoré je v platnosti od mája 2016 a v implementácii od mája 2018, stále vyvoláva v mnohých spoločnostiach otázky: Týka sa nás to? A ak áno: Ako dosiahneme právnu istotu? A čo môžeme urobiť pre súlad s ochranou údajov?

Loading...

Od mája 2018 musia byť spoločnosti, ktoré narábajú s osobnými údajmi - a nie je ich málo - pripravené na to, že budú musieť zaplatiť poriadnu päťdesiatku. Sankcie za porušenie ochrany údajov môžu byť značné. A to vždy v prípade, ak v plnej miere nespĺňajú požiadavky nového nariadenia GDPR. Okrem toho nová verzia nemeckého spolkového zákona o ochrane údajov(BDSG) dopĺňa a zdôvodňuje nariadenie GDPR. Tu však všade prevláda neistota:

  • Čo je to vlastne "osobný údaj"?
  • Sme "zodpovedným subjektom" podľa GDPR?
  • Kto je "subjekt údajov"?
  • Čo presne znamená "automatizované spracovanie" osobných údajov?
  • Musíme vymenovať úradníka pre ochranu osobných údajov?

Aké opatrenia sa musia zaviesť

Zoznam otázok týkajúcich sa súladu s ochranou údajov, ktoré je potrebné riešiť, je dlhý.

Je pravda, že definície pojmov používaných v nariadení možno nájsť v zoznamoch často kladených otázok. To však nemusí zaručovať jasnosť, pokiaľ ide o konkrétny význam pre jednotlivé spoločnosti. Najneskôr v čase, keď sa čaká na realizáciu a dodržiavanie potrebných (pretože požadovaných) opatrení a povinností zo strany zamestnancov, musia existovať správne odpovede napríklad na takéto otázky:

  • Čo sú to "technicko-organizačné opatrenia"?
  • Kedy sú potrebné?
  • A čo "primeranosť"?
  • Čo s mnohými "kontrolami", ktoré vyžaduje GDPR, ako napríklad "kontroly prístupu alebo zverejňovania"?
  • Ako možno zabezpečiť súlad s ochranou údajov?

Ochrana údajov vs. bezpečnosť informácií

V každom prípade je správnym krokom dotknutej spoločnosti nastavenie účinného systém riadenia ochrany údajov - prispôsobený jej individuálnym potrebám, v prípade potreby už s cieľom získať akreditovanú certifikáciu.

Čo sa tu často zamieňa: Ochrana údajov a bezpečnosť informácií sú dva páry topánok, aj keď sa prekrývajú (napríklad rôzne kontrolné opatrenia). Napríklad spoločnosti, ktoré majú úplne komplexný systém riadenia informačnej bezpečnosti (ISMS) v súlade s ISO 27001 do určitej miery pokrývajú aj tému ochrany údajov.

Ale aj tu zostáva delécia, ktorú možno odhaliť a uzavrieť so systémom ISMS alebo bez neho pomocou analýzy medzier.

"Základný rozdiel medzi týmito dvoma témami: Bezpečnosť informácií chráni údaje spoločnosti pred zneužitím tretími stranami; ochrana údajov je zameraná na ochranu osobných údajov."

V auguste 2019 s ISO 27701 bola zverejnená nová norma, ktorá formuluje požiadavky na ochranu údajov v rámci riadenia informačnej bezpečnosti. Norma ISO 27701 tak špecifikuje systém riadenia ochrany údajov založený na normách ISO 27001, ISO 27002 (usmernenie pre opatrenia informačnej bezpečnosti) a ISO 29100 (rámec pre ochranu údajov). Norma ISO 27701 je doplnkom normy ISO 27001. Samotná certifikácia podľa novej normy nie je možná.

Súlad s požiadavkami na ochranu údajov - výhody

Získate

  • Spoľahlivé informácie o oblastiach, v ktorých treba konať
  • Poznatky o skrytom potenciáli
  • Väčšiu bezpečnosť konania a právnu istotu pri nakladaní s údajmi po zavedení vhodných opatrení

Na bezpečnej strane - s auditom ochrany údajov od spoločnosti DQS

Spoločnosti, ktoré sa usilujú o dodržiavanie súladu v oblasti ochrany údajov, by preto mali urobiť dve veci: čo najrýchlejšie sa oboznámiť s touto témou alebo so svojimi pracovníkmi zodpovednými za dodržiavanie súladu a nechať si zistiť súčasný stav nezávislým orgánom, ako je napríklad spoločnosť DQS , formou analýzy nedostatkov.

Ťažiskom takéhoto auditu ochrany údajov je sebahodnotenie s preskúmaním dokumentov. Následne sa na mieste skontroluje, či spoločnosť dodržiava základné aspekty ochrany údajov. V správe sa uvádza, či je potrebné prijať opatrenia, a ak áno, aké opatrenia sú potrebné.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Ochrana údajov analýzy medzier DQS

Koľko práce je potrebné vykonať na analýzu GAP? Zistite to bezplatne a nezáväzne.

Autor
Gert Krueger

Expert a projektový manažér pre informačnú bezpečnosť, BSI-KritisV a ochranu údajov v spoločnosti DQS. Okrem toho dlhoročný audítor pre oblasť riadenia kvality a životného prostredia.

Loading...