- Katalog
- Výrobci
Závod s časem
Včas v cílové rovině GDPR
S přijetím nařízení EU 2016/679 z dubna 2016 známého jako General Data Protection Regulation (GDPR) usilují společnosti o dosažení shody s GDPR před tím, než nařízení vstoupí 25. května 2018 v platnost. Vyhnou se tak možným postihům ve formě astronomických pokut, případně soudním sporům. Tento nelehký úkol vyžaduje značné úsilí, neboť zmíněné nařízení podstatně rozšiřuje rozsah odpovědnosti oproti dříve platné směrnici o ochraně dat z roku 1995 Data Protection Directive (Directive 95/46/EC).
Dobrá zpráva je - nejste v tom sami! Stejně jako v pelotonu cyklistů při závodě se většina společností nachází ve stejné fázi v procesu, dosažení shody a cíle můžeme dosáhnout rychleji a jednodušeji v případě spolupráce.
Z toho důvodu vznikl tento článek přinášející klíčové informace o GDPR a nabízí řešení, která vám pomohou směrovat vaše kroky k dosažení shody a zlepšit zabezpečení vašich dat.
GDPR vstupuje v platnost 25. května 2018
Kdo se účastní závodu?
Organizace, které shromažďují, uchovávají a/nebo zpracovávají osobní údaje, musí dosahovat shody s GDPR, pokud:
- poskytují zboží nebo služby občanům EU s bydlištěm v EU
NEBO
- sledují chování občanů EU s bydlištěm v EU
Patří mezi ně organizace, které nemají sídlo v EU ani zde nejsou zastoupeny, dále zahrnuje také organizace se zaměstanci EU, ale bez zákazníků EU. Pokud tedy zacházíte s nějakou formu osobních informací týkajících se občanů EU... jste účastníky závodu!
Všechny organizace, na které se vztahují tato kritéria, mají povinnost dosahovat shody.
Nařízení GDPR nahlíží na organizace, které jsou povinny dosahovat shody s GDPR jako na "správce" nebo "zpracovatele". Správce představuje subjekt, který určuje účel, podmínky a prostředky zpracování osobních údajů, zatímco zpracovatel je subjektem, který zpracovává osobní údaje jménem správce.
Příkladem může být zdravotní klinika předávající laboratorní práce externí organizaci formou outsourcingu. Klinika potřebuje s laboratoří sdílet určité množství shromážděných osobních informací, aby bylo zaručeno, že výsledky budou navráceny správnému pacientovi. V tomto scénáři je z hlediska GDPR poskytovatel zdravotní péče správcem a laboratoř zpracovatelem osobních údajů. V požadavcích GDPR jsou určité rozdíly pro obě z těchto rolí, proto budete chtít zjistit, zda se na vaši organizaci vztahuje jedna z nich nebo obě.
Co je považováno za osobní údaje?
GDPR vykládá definici osobních údajů velmi obecně. Každá informace, která může být použita k přímé nebo nepřímé identifikaci osoby, je považována za osobní údaj. Může to být jméno, fotografie, e-mailová adresa, bankovní údaje, rodné číslo, příspěvek na sociálních sítích, lékařská informace a dokonce IP adresa počítače vztahující se ke konkrétnímu uživatelskému účtu nebo zařízení. Tím ale výčet nekončí.
Například, pokud jste se podíleli na organizaci závodu a zavedli závodníkům přidělená čísla do počítačového systému, ve kterém jsou čísla závodníků spojena s konkrétními osobami, pak jsou tato čísla považována za osobní údaje. Pomocí takového čísla jsou pak snadno dohledatelné další osobní údaje, jako třeba jméno registrované osoby, adresa, fotografie, výsledky lékařské prohlídky před závodem a další informace.
Pozor na záludné překážky
GDPR obsahuje řadu položek, které nebyly součástí starší směrnice o ochraně dat a mohou vám podrazit nohy, pokud je přehlédnete. Zde je popis některých významných nových požadavků, kompletní seznam a všechny podrobnosti však hledejte v samotném nařízení.
NAHLÁŠENÍ UNIKU DAT: Správce i zpracovatel osobních údajů mají nově povinnost provést ohlášení dozorovému úřadu do 72 hodin od zjištění porušení zabezpečení a informovat osoby, na které se údaje vztahují (subjekty poskytující údaje) a to bez zbytečné prodlevy.
Je třeba poznamenat, že porušení zabezpečení se nevztahuje na šifrovaná data. Fakt, že porušení zabezpečení šifrovaných údajů je z požadavků na ohlášení vyjmuto, může ovlivnit vaši strategii zpracování dat.
VYJÁDŘENÝ SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ: GDPR vyžaduje, aby v okamžiku shromažďování osobních údajů subjekt poskytl výslovný souhlas s tímto postupem. To znamená, že organizace nemohou nadále zakrývat obecný souhlas v dlouhém formuláři plném právních předpisů. Místo toho musí organizace poskytnout konkrétní informace o tom, jaké údaje shromažďují, jak budou data uchována a zpracována a musí přitom použít jasný a srozumitelný jazyk. V tomto smyslu nebude požadavkům nařízení dostatečně vyhovovat stručný souhlas. Kromě toho musí být také možné souhlas jednoduchým způsobem odvolat.
PŘENOS DAT MIMO EU: Osobní údaje nesmějí opustit EU, pokud nemáte souhlas dozorového orgánu, nebo v případě, že subjekt nebyl informován o převodu dat a s ním spojenými riziky a nedal k převodu souhlas.
JMENOVÁNÍ DPO (Data Protection Officer, česky Pověřenec pro ochranu osobních údajů): Pokud provádíte rozsáhlé zpracování osobních údajů, pak máte povinnost jmenovat DPO pro vaši organizaci, přitom se může jednat o zaměstnance nebo externě spolupracující osobu nebo organizaci. Pověřenec pro ochranu osobních údajů je vaším zástupcem u dozorového orgánu a provádí monitorování a zajištění souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. Je také kontaktní osobou pro jakékoli dotazy nebo stížnosti ze strany subjektů poskytujících údaje. Kromě toho DPO řídí aktivity týkající se dosahování shody s nařízením, mimo jiné ty, které jsou požadovány nástrojem DPIA (Data Protection Impact Assessment) a má na starost komunikaci týkající se bezpečnostních politik, dopadů, stížností a žádostí ze strany subjektů poskytujících údaje a ohlašování porušení zabezpečení. Podle nařízení je pověřenec přímo podřízen řídícím orgánům správce a je jmenován na dva roky s možností prodloužení smlouvy.
POKUTY A SANKCE ZA NEDODRŽENÍ SHODY: Podnikům a organizacím, které nedodrží shodu s nařízením GDPR, může být udělena správní pokuta až do výše 20 milionů EUR nebo 4% z celkového celosvětového ročního obratu. Pokuty jsou odstupňované a mohou být uděleny už při prvním přestupku. Například při nesprávném zacházení s údaji podle článku 28 hrozí pokuta až do výše 2% celosvětového ročního obratu. Organizace mohou navíc hradit dodatečné výdaje včetně právních poplatků a soudních nápravných opatření, pokud dojde k porušení práv občana EU, který může podat žalobu a domáhat se náhrady škody v případě hmotné či nehmotné újmy.
Vítězná strategie
Dosažení souladu s nařízením GDPR vyžaduje značné úsilí pro téměř všechny podniky a bude zajisté zahrnovat přidání:
- Opatření na ochranu dat používající nejnovější a nejúčinnější technologie zabezpečení sítě, které:
- chrání data v průběhu uchování a přenosu
- zajišťuje situační povědomí o rizicích
- umožňuje preventivní, nápravná a zmírňující opatření téměř v reálném čase proti zranitelnostem nebo detekovaným událostem, které by mohly představovat riziko pro údaje
- poskytuje nástroje pro vyhodnocování účinnosti bezpečnostních politik
- Mechanismu obnovy dat, který obnovuje přístup k datům v případě narušení dostupnosti
- Nové nebo zdokonalené procesy a struktury reportování pro zaznamenávání souhlasu, ohlašování porušení zabezpečení a dodržování shody
Měli byste také zvážit, kde máte příležitost zmenšit rozsah/riziko dopadu GDPR, aby se snížilo zatížení spojené s monitorováním, uchováváním záznamů a činností souvisejících s dosažením souladu s nařízením GDPR.
Například:
- Snižte počet shromážděných / zpracovávaných osobních údajů
- Snižte dobu, po kterou jsou uchovávány / zpracovávány osobní údaje
- Zajistěte šifrování dat v úložišti a při přenosu
- Zajistěte skrytí IP adres a anonymitu dalších druhů uživatelských informací
- Snižte počet autorizovaných osob, které mají přístup k osobním údajům
- Zvyšte svoji schopnost prevence a odstranění hrozeb ohrožujících osobní údaje
Na konci tohoto článku je uveden kontrolní seznam plánování GDPR, který vám pomůže začít s plánováním procesu dosažení souladu s GDPR.
Kontrolní seznam a podpůrné otázky vás provedou hodnocením současných politik a bezpečnostních postupů vedoucích k souladu s nařízením a budete mít možnost vyhodnotit, ve kterých krocích dosahujete shody a kde máte ještě mezery.
Překročení cílové čáry!
Nyní, když máte dobré nápady a představy o tom, jak začít s budováním organizace splňující požadavky GDPR, nepochybně hledáte rychlé a jednoduché odpovědi, které vám pomohou vyplnit mezery a napravit nedostatky stojící v cestě dosažení souladu s GDPR - a vy včas a úspěšně dokončíte tuto monumentální úlohu. WatchGuard vám může pomoci dosáhnout souladu s vysoce efektivními technologiemi a postupy zabezpečení dat.
Tento úkol jsme ulehčili ještě víc. WatchGuard nabízí aktualizaci zabezpečení dat odpovídající požadavkům nařízení GDPR v jednom balíčku s naší Total Security Suite. Bezpečnostní zařízení WatchGuard Firebox® s Total Security Suite splňuje 16 z 20-ti nejdůležitějších bezpečnostních prvků doporučovaných společností SANS Institute (SANS Top 20 Critical Controls), přináší silné zabezpečení podnikového stupně a představuje komplexní produkt potřebný k dosažení souladu s GDPR.
Total Security Suite nabízí jedinečné řešení vyhovující požadavkům GDPR včetně:
Threat Detection and Response (TDR) - GDPR vyžaduje "situační povědomí", které WatchGuard poskytuje díky jedinečné funkci ThreatSync. ThreatSync koreluje bezpečnostní informace ze sítě a koncových bodů a na přehledném ovládacím panelu upozorňuje na stupňující se riziko a bezpečnostní incidenty.
Navíc můžete vytvářet politiky na automatické řešení incidentů s "vysokým skóre", což představuje efektivnější řešení, než pouhé splnění požadavků na "preventivní, nápravné a zmírňující opatření v téměř reálném čase." Jakmile dojde k vyléčení hrozby, dojde ke sdílení informace a tak je zajištěno rozpoznání hrozby a zabránění opakovanému vstupu do sítě! Jelikož je funkce TDR založená na cloudových službách, můžete se rozhodnout, že vaše data budou uložena v EU a dosáhnout tak GDPR souladu podle článku o přenosu dat.
WatchGuard DimensionTM - představuje rychlé a efektivní řešení požadavků GDPR zaměřených na rychlý přístup k užitečným logům a hlášením, které dokládají shodu s nařízením. Dimension poskytuje nástroje pro přehlednou vizibilitu velkého množství dat a obsahuje nástroje reportování, které jednoznačně identifikují a zviditelní klíčové problémy a vývoj v oblasti zabezpečení sítě, zrychlují schopnost porážet hrozby, provádějí reportování veškeré síťové bezpečnostní činnosti a nastavují smysluplné bezpečnostní politiky v celé síti.
A co víc, Dimension také zahrnuje výkonnou funkci anonymizace uživatele, která umí nahradit veškeré osobně identifikovatelné informace (PII) v reportech, stránkách s přehledy a panelech hashovaným textem. Hashování uživatelských jmen, IP adres, jmen hostitelů a mobilních zařízení probíhá neopakujícími se, náhodně generovanými alfanumerickými sekvencemi, které zajistí skrytí přenášených dat.
Data Loss Prevention (DLP) - Prevence ztráty dat: GDPR je především o ochraně dat a služba DLP pomáhá předcházet únikům citlivých dat tím, že umí detekovat soubory s osobními informacemi a zabrání jejich opuštění sítě. DLP hledá citlivé informace, jakými jsou rodná čísla, údaje o bankovních účtech nebo lékařské záznamy a to na základě vámi povolených pravidel.
Šifrování a VPN - Šifrování dat s osobními údaji pro uchování i přenos je klíčovou strategií úspěšného dosažení shody s GDPR, protože se tak významně snižují požadavky na ohlašování v případě narušení zabezpečení dat. Řešení WatchGuard Firebox UTM přináší možnost drag-and-drop vytváření VPN mezi pobočkami a centrálou. Kromě rychlého a snadného nastavení jsou VPN postaveny tak, aby byly trvalé a stabilní, což je klíčové pro firmy, jejichž fungování závisí na stálé dostupnosti dat.
Když vezmeme v úvahu všechny silné bezpečnostní funkce, možnosti VPN, poskytovanou vizibilitu a anonymizaci uživatelů s Dimension, situační povědomí a automatickou nápravu, kterou nabízí Threat Detection and Response - WatchGuard Firebox s Total Security Suite je jasným vítězem, který vám pomůže dosáhnout shody s GDPR v časovém limitu!
Kontrolní "checklist" pro plánování GDPR
Kontrolní seznam pro plánování GDPR vám pomůže začít uvažovat nad implementací jednotlivých GDPR opatření. Tento přehled není vyčerpávajícím seznamem požadavků a měl by být použit spolu s dalšími zdroji k vytvoření komplexního plánu vedoucímu k dosažení shody.
Identifikace osobních dat, které sbíráte od občanů EU
- Jaké osobní údaje jsou shromažďovány a/nebo zpracovávány?
- Kde jsou data uložena, případně kam jsou přenášena? Na jak dlouho?
- Jaké politiky nebo procesy se vztahují k uchovávání těchto dat? Je možné provést jejich zeštíhlení?
- Řídíte všechny uvedené procesy vy nebo zpracovatel?
- Zůstávají data po celou dobu v EU?
Charakteristika poskytovaného souhlasu a procesů během shromažďování údajů
- Jsou subjekty poskytující údaje požádány konkrétním jazykem o výslovný souhlas se shromažďováním a zpracováním svých osobních údajů?
- Je souhlas udělen v průběhu shromažďování údajů?
- Je v rámci komunikace týkající se souhlasu uveden správce, zpracovatel a případně DPO, včetně kontaktních informací?
- Jsou uvedeny účely zpracování, zabezpečení zpracování a právní základ?
- Je specifikována doba, po kterou budou údaje uchovány?
- Je uveden příjemce nebo kategorie příjemců údajů?
- Je vysvětleno právo subjektů údajů na přístup, nápravu, požadavek na vymazání nebo rozhodnutí o přenosu dat, jakož i právo podat stížnost orgánu dozoru?
- Je uveden záměr převést údaje mimo EU?
- Je vyhrazeno, zda je sběr údajů nařízený nebo dobrovolný, stejně jako důsledky neposkytnutí uvedených údajů?
- Je stejně snadné odvolat souhlas jako jej poskytnout?
Charakteristika možnosti komunikace se subjekty poskytující údaje
- Jakým způsobem mohou subjekty údajů přistupovat, opravovat, vymazávat a získávat data pro přenos?
- Jak mohou subjekty údajů odvolat souhlas?
- Jak může organizace kontaktovat subjekty údajů z důvodu ohlášení porušení zabezpečení údajů?
Ověření, že současná opatření pro uchování záznamů a politiky zpracování dat jsou přiměřené
- Existuje záznam odpovědí subjektů údajů o souhlasu?
- Existuje záznam nebo log o událostech zpracování údajů obsahujících osobní údaje?
- Jsou tyto záznamy zabezpečeny a je umožněno dotazování, vyhledávání nebo reportování autorizovaným personálem?
- Jsou aplikované politiky aktuální, což popisuje provedení zpracování údajů v souladu s nařízením?
- Je-li správce mimo EU, existuje v EU pověřený zástupce a je to zdokumentováno?
- Jsou-li služby zpracování dat smluvně uzavřeny, zahrnuje právní dohoda potřebná ustanovení, která zajistí řádné zabezpečení a zacházení s osobními údaji v souladu s GDPR?
- Existuje dostatečná kontrola přístupu k serverům a budovám zabraňující přístupu nepovolaných osob k osobním údajům?
Ověření, že postupy a technologie zabezpečení dat odpovídají požadavkům nařízení GDPR
- Jsou přijata vhodná technická a organizační opatření k zajištění ochrany dat před náhodným nebo protiprávním zničením, ztrátou nebo změnou a neoprávněným nebo nezákonným uložením, zpracováním, přístupem nebo prozrazením?
- Zabývá se bezpečnostní politika následujícím:
- jak chránit data během uchování a přenosu
- jak obnovit přístup k datům v případě narušení dostupnosti
- jak zajistit situační povědomí o rizicích a umožnit preventivní, nápravné a zmírňující opatření v takřka reálném čase proti zranitelnostem nebo zjištěným incidentům, které by mohly představovat riziko pro údaje
- popis procesu pravidelného vyhodnocování účinnosti bezpečnostních politik
- Existuje postup pro poskytnutí ohlášení porušení zabezpečení do 72 hodin?
- Existuje záznam o posouzení dopadů ochrany dat (DPIA), které zhodnocuje, zda mohou postupy zpracování představovat určitá rizika? Bylo toto posouzení dokončeno v posledních dvou letech, nebo v bezprostřední návaznosti na určité riziko, které se objevilo v postupech zpracování?
- Byl jmenován pověřenec pro ochranu osobních údajů (DPO)?
Odpovědi na dotazy z tohoto kontrolního seznamu by vám měly pomoci odhalit nedostatky, takže se na ně můžete zaměřit ještě před vypršením času.