SPLNĚNÍ (NEJEN) GDPR DÍKY MEZINÁRODNÍ NORMĚ PRO OCHRANU SOUKROMÍ ISO/IEC 27701

Ochrana osobních údajů je díky (nejen) evropskému nařízení GDPR dnes povinnou součástí každé organizace, která sídlí v EU nebo zpracovává osobní údaje residentů EU. Jak je to ve skutečnosti s plněním požadavků? A může si společnost naplnit požadavky "papírově" a být tak v klidu? Ne tak docela.

Krok 1: Co jsou to osobní údaje?

Osobní údaj je informace, která může přímo či nepřímo vést k identifikaci jednotlivce. Příkladem přímé identifikace je rodné číslo nebo otisk prstu. Příkladem nepřímé identifikace je pak jméno Jan Novák v kombinaci s informací o společnosti, ve které pracuje. Díky těmto informacím jsem schopný nakonec přesně identifikovat konkrétní osobu. (samozřejmě mohou být dvě osoby se jménem Jan Novák ve společnosti ABC, ale přiznejme si, že taková pravděpodobnost je malá).

Krok 2: Pochopení principu ochrany osobních údajů podle GDPR a dalších legislativ

Tím nejdůležitějším, co GDPR přináší, je zamezení volnému obchodování a předávání osobních údajů mezi společnostmi pro marketingové účely. Dále definuje rozdělení použití osobních údajů, resp. podmínek jejich použití. Rozlišuje tzv. oprávněný zájem proti potřebě získat svobodný souhlas jednotlivce se zpracováním jeho osobních údajů. Tento souhlas navíc musí být dán pro konkrétní účel zpracování, takže nelze získat od jednotlivce obecný souhlas k jakémukoliv zpracování. Oprávněný zájem umožňuje použít osobní údaje jednotlivce v minimální možné míře pro takové aktivity, které by nebylo možné provést, pokud by tyto osobní údaje nebyly zpracovány. Dobrým příkladem může být smlouva o poskytnutí hypotečního úvěru. Takovou smlouvu nemůžete uzavřít, aniž by se v ní neobjevily vaše osobní údaje.

V neposlední řadě pak GDPR definuje také práva jednotlivce. Pokud někdo, například váš zaměstnavatel, zpracovává vaše osobní údaje, máte práva, které můžete využít.

Ochranu osobních údajů ale neřeší pouze GDPR. Prakticky každá země má svou vlastní legislativu. Ta může, nebo nemusí vycházet z GDPR podle toho, zda vaše společnost sídlí, nebo nesídlí v EU a zda zpracovává, nebo nezpracovává údaje o residentech EU.

V drtivé většině případů, ať se jedná o USA, Jižní Afriku nebo Brazílii, se však jedná o stejné principy a daná legislativa se snaží ochránit jednotlivce a jeho osobní údaje. A k tomu mu dává několik práv a nad zpracovatelem osobních údajů visí pomyslný Damoklův meč v podobě tučných pokut.

Krok 3: Poznání, kde všude pracuji s osobními údaji

Nejlepší cestou, jak zjistit, kde všude v mé organizaci pracuji s osobními údaji, je provedení nezávislého auditu. Pozvěte si osobu, která má v této oblasti praktické zkušenosti (třeba nás), a ta společně s vámi projde jednotlivá oddělení a připraví vám přehled toho, kde všude osobní údaje máte uložené a za jakým účelem je zpracováváte. Zároveň vám k těmto jednotlivým aktivitám zkontroluje oprávněný zájem či udělený souhlas a doporučí, zda a jak je potřeba některé aktivity upravit.

Jednoduchý příklad toho, kde všude se mohou nacházet osobní údaje, jak spolu jednotlivé oblasti souvisí a co všechno ovlivňuje zpracovávání osobních údajů, naleznete na obrázku níže:




Krok 4: Jak začít řešit ochranu osobních údajů

Můžete začít listovat internetem a hledat zaručené rady a doporučení jak v 5,6,7, nebo 10 krocích zavést procesy ochrany osobních údajů (hlavně tedy GDPR). Pravda je však taková, že pokud nemáte ve společnosti již z dřívějška zaveden jakýkoliv systém ochrany a řízení informací, budete jen těžce nasazovat pravidla na ochranu osobních údajů. Ono se totiž nejedná jen o pravidla, ale také o nastavení zabezpečení dat v elektronické podobě.

Správnou cestou je vybudování systému řízení ochrany informací podle mezinárodní normy ISO 27001 a její principy a požadavky rozšířit o doplňující normu ISO 27701, což je mezinárodní standard pro ochranu soukromí a osobních údajů. Nejedná se o normu, která by vám dala přesný návod, jaký šifrovací algoritmus máte použít a jak silná máte hesla. Jedná se o bezpečnostní rámec, čili soubor procesů a technik, kterými pokryjete informace (osobní údaje) během jejich životního cyklu a budete tak mít jejich bezpečnost po celou dobu pod kontrolou.

Krok 5: Řízení osobních údajů v IT prostředí

Řízení ochrany osobních údajů v papírové podobě je relativně jednoduché. S využitím barevných šanonů a složek značících, že dokumenty v nich obsahují osobní údaje a se zavedením několika opatření fyzické bezpečnosti zajistíte, že se vám nebudou osobní údaje válet po kanceláři a že do archívu personálního oddělení se dostane pouze oprávněná osoba.

O to složitější je to však s řízením ochrany osobních údajů v elektronické podobě. Zde je potřeba připravit si prostředí, díky kterému je máte pod kontrolou, jak a kudy vám osobní údaje protékají, kdo k nim přistupuje a co se s nimi děje. Jedná se tedy o kombinaci proaktivního a reaktivního opatření. Tím proaktivním mohou být například nástroje zamezující úniku dat (DLP) s jasně nastavenými pravidly, co se s osobními údaji může a nemůže provádět. Tím reaktivním pak jsou záznamy z aplikací (např. z personálního systému) o tom, kdo a kdy k osobním údajům přistoupil a co s nimi udělal. Tyto záznamy by měly být použity pro upozornění v případě podezřelých událostí (např. stažení databáze CRM nástroje) a v případě vyhodnocování bezpečnostních incidentů.

Krok 6: Nastavení pravidel a školení pracovníků

Jakmile máme vybudován systém řízení ochrany osobních údajů a máme pokrytou fyzickou a IT vrstvu, můžeme přistoupit k pomyslné třešničce na dortu. Tou je vytvoření pravidel pro práci s osobními údaji a následné proškolení všech pracovníků společnosti. Zde je důležité vysvětlit širší souvislosti a dopady možného nedodržení těchto pravidel. Těmi mohou být finanční pokuty, smluvní pokuty, ztráta reputace a v nejhorším případě ukončení kontraktu.

Krok 7: Pravidelné kontroly

Tím jsme ale zdaleka neskončili. Jsme vlastně pouze na začátku nekončícího procesu řízení ochrany osobních údajů. Dalším krokem bude nechat proces zaběhnout a po uplynutí vhodné doby začít provádět kontroly dodržování pravidel, instrukcí a fungování technických opatření. A pokud zjistíme nějaký nedostatek, musíme na něj vhodně reagovat a odstranit ho takovým způsobem, aby se už příště neobjevil.

Jak vám pomůžeme?

S ochranou osobních údajů máme dlouholeté praktické zkušenosti, a proto vám s jednotlivými kroky a etapami poradíme a pomůžeme vám zavést nebo zlepšit váš systém řízení ochrany osobních údajů i formou nezávislého auditu.

12 zobrazení

Nejnovější příspěvky

Zobrazit vše

Ransomware je téma, které v online světě patří mezi největší hrozby. Stačí jedno špatné kliknutí a už jste cílem kyberútočníků. A dalším krokem bude bude vaše rozhodnutí, zda jim zaplatíte výkupné, ne

Vyplatí se certifikace pro ISO 27001? Pokud máte ISMS zavedeno a procesy běží alespoň 3 měsíce, tak je možné se nechat certifikovat. Celý certifikační proces spočívá v provedení certifikačního auditu,

Kdy je vhodné zavést ISMS? Na začátku rozhodování o tom, zda zavést ISMS je potřeba is odpovědět na otázku, zda pracujete s informacemi, které mají nějakou hodnotu a mohou vás nebo vaše klienty poškod