Jak se připravit na GDPR
Jiří Sedlák, O2 IT Services 4. 5. 2017 10:20 HN - Rozhovory a názory
Článek najdete na adrese: http://tinyurl.com/ycy7hcp5
Hospodářské noviny - ICT Revue
Jiří Sedlák uvádí svoje pojednání slovy: "Pojďme si tedy stručně shrnout základní aspekty související se zavedením GDPR do praxe."
Cituji z úvodu článku:
"Odpověď na otázku "Koho se nový zákon týká a jak?" se zdá být na první pohled celkem jednoduchá a jednoznačná. GDPR se prostě týká všech, kdo vlastní a zpracovávají osobní a citlivé údaje. GDPR je závazné pro všechny subjekty, které zpracovávají osobní údaje občanů EU. Nařízení má dopad do všech oblastí podnikání, kde dochází ke zpracování osobních údajů. Stanovuje povinnosti pro správce a zpracovatele údajů, ale současně definuje i práva subjektů, jichž se údaje týkají, tj. nás, občanů EU."
Nadpisy kapitol:
- Klíčové faktory pro úspěšnou implementaci
- Na co se připravit v podnikání
- Proč řešení neodkládat až na rok 2018
- Jak zajistit naplnění GDPR pomocí informačních technologií
- Komunikační kanály, e-shopy, sociální média
- Nejenom implementovat, ale stále držet krok
- Bezpečný přístup k síti
Příklady doporučených řešení, jejichž míra nasazení závisí na velikosti a struktuře využívané IT infrastruktury a rozsahu zpracování osobních údajů, mohou být:
- řešení pro detekci úniku dat, např. DLP,
- nástroje pro monitoring chování v síti,
- auditní či provozní řešení pro systémy s nestrukturovanými daty,
- řešení pro řízení rolí a oprávnění,
- řešení pro důvěryhodné ukládání a řízení logů,
- řešení pro vyhodnocování bezpečnostních událostí,
řešení pro IT servis management
- či mnohé další.
Cituji ze závěru:
"Co platí obecně? Nepropadat panice, ale také neotálet. Vyjít z aktuálního zákona o ochraně osobních údajů a zhodnotit, nakolik je již dnes soulad s ním zajišťován. Nedat se strhnout k chaotické realizaci nesourodých dílčích úkolů, ale pojmout řešení komplexně, s nadhledem a postupovat krok po kroku. A především, používat zdravý rozum."
Desatero zásad podle Jiřího Sedláka:
1. Naučit se vnímat a pracovat s osobními údaji jako s aktivem, které má svou hodnotu a přináší významná rizika v rámci jejich zpracování.
2. Naučit se zavádět adekvátní opatření k vyloučení bezpečnostních rizik spojených se zpracováním osobních údajů.
3. Naučit se zpracovávat ve svých procesech jen ty osobní údaje, které skutečně potřebují.
4. Naučit se klasifikovat data a přidělovat jim hodnotu.
5. Naučit se zajišťovat celý životní cyklus zpracování osobních údajů od jejich oprávněného sběru až po jejich přenos nebo výmaz ze systému.
6. Naučit se detekovat a oznamovat bezpečnostní události a incidenty v souvislosti se ztrátou či únikem osobních údajů.
7. Naučit se včas reagovat i na sebemenší podezření na bezpečnostní incident.
8. Naučit se hrát fér a předat osobní údaje konkurenci, požádá-li o to jejich vlastník.
9. Naučit se evidovat veškeré prováděné činnosti k zajištění ochrany osobních údajů, ale také evidovat veškeré bezpečnostní události a incidenty.
10. Nebýt slepí.
