Všeobecné nariadenie EÚ o ochrane údajov (GDPR), ktoré je v platnosti od mája 2016 a v implementácii od mája 2018, stále vyvoláva v mnohých spoločnostiach otázky: Týka sa nás to? A ak áno: Ako dosiahneme právnu istotu? A čo môžeme urobiť pre súlad s ochranou údajov?
Od mája 2018 musia byť spoločnosti, ktoré narábajú s osobnými údajmi - a nie je ich málo - pripravené na to, že budú musieť zaplatiť poriadnu päťdesiatku. Sankcie za porušenie ochrany údajov môžu byť značné. A to vždy v prípade, ak v plnej miere nespĺňajú požiadavky nového nariadenia GDPR. Okrem toho nová verzia nemeckého spolkového zákona o ochrane údajov(BDSG) dopĺňa a zdôvodňuje nariadenie GDPR. Tu však všade prevláda neistota:
- Čo je to vlastne "osobný údaj"?
- Sme "zodpovedným subjektom" podľa GDPR?
- Kto je "subjekt údajov"?
- Čo presne znamená "automatizované spracovanie" osobných údajov?
- Musíme vymenovať úradníka pre ochranu osobných údajov?
Aké opatrenia sa musia zaviesť
Zoznam otázok týkajúcich sa súladu s ochranou údajov, ktoré je potrebné riešiť, je dlhý.
Je pravda, že definície pojmov používaných v nariadení možno nájsť v zoznamoch často kladených otázok. To však nemusí zaručovať jasnosť, pokiaľ ide o konkrétny význam pre jednotlivé spoločnosti. Najneskôr v čase, keď sa čaká na realizáciu a dodržiavanie potrebných (pretože požadovaných) opatrení a povinností zo strany zamestnancov, musia existovať správne odpovede napríklad na takéto otázky:
- Čo sú to "technicko-organizačné opatrenia"?
- Kedy sú potrebné?
- A čo "primeranosť"?
- Čo s mnohými "kontrolami", ktoré vyžaduje GDPR, ako napríklad "kontroly prístupu alebo zverejňovania"?
- Ako možno zabezpečiť súlad s ochranou údajov?
Ochrana údajov vs. bezpečnosť informácií
V každom prípade je správnym krokom dotknutej spoločnosti nastavenie účinného systém riadenia ochrany údajov - prispôsobený jej individuálnym potrebám, v prípade potreby už s cieľom získať akreditovanú certifikáciu.
Čo sa tu často zamieňa: Ochrana údajov a bezpečnosť informácií sú dva páry topánok, aj keď sa prekrývajú (napríklad rôzne kontrolné opatrenia). Napríklad spoločnosti, ktoré majú úplne komplexný systém riadenia informačnej bezpečnosti (ISMS) v súlade s ISO 27001 do určitej miery pokrývajú aj tému ochrany údajov.
Ale aj tu zostáva delécia, ktorú možno odhaliť a uzavrieť so systémom ISMS alebo bez neho pomocou analýzy medzier.
"Základný rozdiel medzi týmito dvoma témami: Bezpečnosť informácií chráni údaje spoločnosti pred zneužitím tretími stranami; ochrana údajov je zameraná na ochranu osobných údajov."
V auguste 2019 s ISO 27701 bola zverejnená nová norma, ktorá formuluje požiadavky na ochranu údajov v rámci riadenia informačnej bezpečnosti. Norma ISO 27701 tak špecifikuje systém riadenia ochrany údajov založený na normách ISO 27001, ISO 27002 (usmernenie pre opatrenia informačnej bezpečnosti) a ISO 29100 (rámec pre ochranu údajov). Norma ISO 27701 je doplnkom normy ISO 27001. Samotná certifikácia podľa novej normy nie je možná.
Súlad s požiadavkami na ochranu údajov - výhody
Získate
- Spoľahlivé informácie o oblastiach, v ktorých treba konať
- Poznatky o skrytom potenciáli
- Väčšiu bezpečnosť konania a právnu istotu pri nakladaní s údajmi po zavedení vhodných opatrení
Na bezpečnej strane - s auditom ochrany údajov od spoločnosti DQS
Spoločnosti, ktoré sa usilujú o dodržiavanie súladu v oblasti ochrany údajov, by preto mali urobiť dve veci: čo najrýchlejšie sa oboznámiť s touto témou alebo so svojimi pracovníkmi zodpovednými za dodržiavanie súladu a nechať si zistiť súčasný stav nezávislým orgánom, ako je napríklad spoločnosť DQS , formou analýzy nedostatkov.
Ťažiskom takéhoto auditu ochrany údajov je sebahodnotenie s preskúmaním dokumentov. Následne sa na mieste skontroluje, či spoločnosť dodržiava základné aspekty ochrany údajov. V správe sa uvádza, či je potrebné prijať opatrenia, a ak áno, aké opatrenia sú potrebné.
Ochrana údajov analýzy medzier DQS
Koľko práce je potrebné vykonať na analýzu GAP? Zistite to bezplatne a nezáväzne.
Newsletter DQS
Gert Krueger
Expert a projektový manažér pre informačnú bezpečnosť, BSI-KritisV a ochranu údajov v spoločnosti DQS. Okrem toho dlhoročný audítor pre oblasť riadenia kvality a životného prostredia.