Mýtus 1: Naša kybernetická bezpečnosť je silná, takže nemáme sa čoho báť

    Jednou z hlavných požiadaviek GDPR je požiadavka na dostatočnú kybernetickú odolnosť. Mnohé podniky majú pocit, že sa ch riziko kybernetického útoku netýka a sú presvedčené, že sú dostatočne chránené. Nedodržanie tejto ochrane môže byť extrémne drahé cez udelené pokutu podľa GDPR.

    Pokiaľ vo vašej spoločnosti systémovo neriadite informačnú bezpečnosť, je to len otázka času, kedy sa dopadmi útoku budete musieť zaoberať.

    Pokiaľ sa chcete uistiť o efektívnosti vašej ochrany, odporúčam vykonať audit informačnej bezpečnosti spoločne s penetračným testom, ktorý by mal potvrdiť výsledok auditu. 

     

    Mýtus 2: Osobné údaje ktoré už sme získali v minulosti nepodliehajú GDPR

    Údaje ktoré boli získané v minulosti podliehajú rovnakým požiadavkám na ochranu ako tie, ktoré získavame aktuálne.  Spoločnosti v minulosti pri každej príležitosti zbierali osobné údaje v maximálnom možnom rozsahu a po ukončení spracovania ich nemazala. To znamená, že objem údajov stále rastie a údaje môžu byť mimo kontroly, nechránené a je možný ich únik.

    GDPR má úplne inú filozofiu, striktne požaduje obmedzenie spracovania, čo sa týka rozsahu osobných údajov ale aj dĺžky uchovania. Keď pominie dôvod spracovania, údaje sa musia vymazať.

    Ďalší problém je v tom, že spoločnosti sami netušia, kde všade sa osobné údaje nachádzajú. Okrem databáz to môžu byť rôzne lokálne alebo sieťové úložiská, cloudy, maily alebo papierová dokumentácia. Treba začať revíziou, čo všetko máme a čo spracovávane legálne, ostatné treba zmazať.   

     

    Mýtus 3: Keďže sme malá firma nariadenie GDPR sa na nás nevzťahuje

    Niektoré malé a stredné podniky sa mylne domnievajú, že môžu byť oslobodené od GDPR vzhľadom k svojej veľkosti. Aj keď existujú niektoré predpisy, ktoré sa nevzťahujú na menšie firmy, GDPR sa vzťahuje na všetky podniky a organizácie, ktoré spracúvajú osobné údaje. Povinnosť zavedenia pravidiel pre ochranu osobných údajov nemá nič spoločné s veľkosťou vašej spoločnosti.

     

    Mýtus 4: Implementáciu dokáže zrealizovať jeden zamestnanec

    Pri implementácií je vhodné využiť  projektové riadenie, určiť vlastníkov jednotlivých procesov/úloh a  ich zodpovednosti.  Je vhodné nasadiť projektového manažéra, ktorý bude koordinovať jednotkové aktivity. Implementácia je spoločná úloha naprieč prevádzkou, obchodom, financiami, právnymi službami , IT službami, fyzickou a informačnou  bezpečnosťou, čo je nad rámec jednotlivca.  Je vhodné nastaviť pravidlá medziúrovňovej komunikácie v rámci organizačných jednotiek. Jednotlivé úlohy a zodpovednosti je vhodné  definovať v RACI matici zodpovednosti.

     

    Mýtus 5: Dá sa vykonať úspešná implementácia v priebehu krátkeho času?

    Je dosť zavádzajúca informácia, že treba čakať na vydanie príslušného slovenského zákona.  Európske nariadenie je Nadradené lokálnemu zákonu, teda nedá sa očakávať zásadný rozdiel medzi nariadením a lokálnym zákonom.

    Myslím, že čakanie na prijatie zákona je tá najhoršia stratégia. Treba konať bezodkladne.

    GDPR prináša požiadavku na riadenie informačnej bezpečnosti, zmenu procesov pri spracovávaní osobných údajov a v špecifických prípadoch úpravu informačných systémov. Takéto požiadavky sa nedajú zabezpečiť zo dňa na deň. Je vhodné čo najskôr vykonať analýzu dopadu požiadaviek GDPR na konkrétnu spoločnosť. Výsledky analýzy dajú odpoveď, ako sa regulácia dotkne spoločnosti a aký bude časový a finančný dopad na spoločnosť. Implementácia môže vyžadovať 3 mesiace ale aj rok a viac.

    Pokiaľ spoločnosť riadi informačnú bezpečnosť, napríklad zavedením ISO 27001, je skutočne na najlepšej ceste dosiahnuť súlad s GDPR. Kto ešte nezačal, musí najskôr splatiť tento dlh a prijať konkrétne opatrenia.

     

    Mýtus 6: Je lepšie mať paušálny súhlas dotknutej osoby, než sa zaoberať jednotlivými zákonnými dôvodmi

    Takéto odporúčanie vychádza z nepochopenia a nedocenenie súhlasu dotknutej soby. Súhlas fyzickej osoby, ktorej osobné údaje chce prevádzkovateľ spracovávať, je kľúčovým inštitútom európskeho modelu ochrany osobných údajov od samých počiatkov, nemožno ho však uplatňovať tam, kde platia iné právne tituly spracovanie (s ktorými sa nedá súhlas zamieňať), napr. Dojednávania a plnenie zmlúv, plnenie povinností či ochrana práv a právom chránených záujmov. V všeobecnom nariadení je udelenie súhlasu dotknutej osoby so spracovaním pre jeden alebo viac konkrétnych účelov jednou zo šiestich právnych podmienok zákonnosti spracovania (jeho právnym základom) a nariadenia výslovne upravuje podmienky jeho získania. 
    Prípadné paušálne získavania súhlasu subjektu údajov pre celé spracovanie, ktorá prevádzkovateľ bude vykonávať na rôzne účely, by tak bolo v rozpore hneď s niekoľkými ustanoveniami všeobecného nariadenia.

     

    Mýtus 7:  Šifrovanie je povinné

    Všeobecné nariadenie neukladá povinnosť použiť pre zabezpečenie spracovanie konkrétne špecifické opatrenia.

    Naopak, pri stanovení povinnosti prevádzkovateľa a sprostredkovateľa zabezpečiť osobné údaje, sa všeobecné nariadenie výslovne odvoláva na stav techniky, náklady na zavedenie  jednotlivých technických a organizačných opatrení na zabezpečenie osobných údajov, charakteru, rozsahu, kontextu a účely samotného spracovania a tiež k pravdepodobným rizikám pre práva a slobody, ktoré so sebou spracovanie prináša. Vlastné povinnosť potom zahŕňa zavedenie vhodných technických a organizačných opatrení a začlenenie do spracovania nevyhnutných záruk, a to ako v čase určenia prostriedkov na spracovanie, tak v čase vlastného spracovania. Šifrovanie je uvedené ako jedno z vhodných opatrení.

     

    Mýtus 8: Každý prevádzkovateľ musí mať zodpovednú osobu pre ochranu osobných údajov (DPO)

    Zodpovedná osoba je jedným z nových nástrojov ochrany osobných údajov, ktoré všeobecné nariadenie zavádza. Prevádzkovateľ je povinný vymenovať „Zodpovednú osobu“, avšak iba za splnenie jednej z troch podmienok.

    Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu (DPO) v prípade, keď:

    • spracúvanie vykonáva orgán verejnej moci;
    • hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov.

    Poznámka. Samozrejme, aj spoločnosť, ktorá nespĺňa horeuvedené požiadavky bude mať určenú osobu, ktorá bude zodpovedná za GDPR agendu, aj keď to nebude „Zodpovedná osoba“ v zmysle nariadenia, ktorá by mala mať adekvátne znalosti na úrovni DPO.

     

    Mýtus 9: GDPR nijako nesúvisí s riadením informačnej bezpečnosti podľa ISO 27001

    ISO 27001 je  štandard pre implementáciu riadenia informačnej bezpečnosti  (ISMS). Je vhodný  pre organizácie všetkých veľkostí, v akomkoľvek odvetví, aby ich informačné aktíva boli primerane zabezpečené. 

    Je to štandard, ktorý je potvrdený externými audítormi a nasleduje najlepšie praktický prístup k informačnej bezpečnosti. Je to riešenie ako v spoločnostiach splniť povinnosti v súlade s rôznymi regulačnými požiadavkami napríklad GDPR.

     

    Mýtus 10: GDPR predstavuje pre spoločnosť len náklady, žiadnu pridanú hodnotu

    • Nové pravidlá majú zabezpečiť ľuďom vyššiu ochranu ich osobných údajov. Ľudia si začínajú uvedomovať svoje práva ohľadom ochrany ich osobných údajov a tieto práva si budú uplatňovať čoraz častejšie u prevádzkovateľov. Spoločnosti, ktoré preukážu súlad s GDPR deklarujú ochotu chrániť klientske údaje a tým môžu získať konkurenčnú výhodu.
    • Aplikovaním GDPR sa zásadne zníži objem spracovaných osobných údajov, čo znamená nižšie náklady na zabezpečenie spracovania osobných údajov.
    • Zavedením riadenia informačnej bezpečnosti sa zníži riziko zneužitia osobných údajov.
    © Copyright 2017. All Rights Reserved, gdpr-2018.sk Webdesign by Initpro.sk

    Táto web stránka používa k poskytovaniu služieb, personalizácii reklám a analýze návštevnosti súbory cookie. Používaním tejto webstránky s tým súhlasíte. Ďakujeme.

    Súhlasím