1. Osobné údaje, resp. nakladanie s osobnými údajmi sa od mája sprísni. Čo presne bude ťažšie resp. bude mať prísnejšie pravidlá? (Spravodajstvo RTVS)

    GDPR neznamená úpravu, ale je to úplne nový koncept pre ochranu osobných údajov, ktorý sa pripravoval v Nemecku dlhé 4 roky.

    Zásadným spôsobom posilňuje práva dotknutých osôb, nastavuje prísnejšie pravidlá, zavádza nové funkčné požiadavky a miesto formálneho riadenia informačnej bezpečnosti vyžaduje reálne preukázanie ochrany osobných údajov. 

    Napríklad Sankcie dosahujú 20 Miliónov € alebo 4% z obratu skupiny. Stretneme sa s termínom „Interoperabilita“ čo znamená rovnaké požiadavky, ale aj sankcie v rámci celej Európy. Napríklad za rovnaký delikt, bude sankcia na Slovensku rovnaká, ako v Nemecku.

     

    2. Pre našu predstavu, niekedy ani netušíme - kde napríklad majú naše osobné údaje a môžu odtiaľ uniknúť? (Spravodajstvo RTVS)

    informačné technológie sú integrované do každej oblasti nášho života. Osobné údaje sa zbierajú, udržiavajú, ale nemažú. To znamená, že objem údajov stále rastie a údaje môžu byť mimo kontroly, nechránené a je možný ich únik.

    GDPR má úplne inú filozofiu, striktne požaduje obmedzenie spracovania, čo sa týka rozsahu osobných údajov ale aj dĺžky uchovania. Keď pominie dôvod spracovania, údaje sa musia vymazať.

     

    3. Čaká nás ešte zmena zákona o ochrane osobných údajov, čo môžu firmy a všetci, ktorí spracúvajú osobné údaje, čakať? S čím musia rátať? (Spravodajstvo RTVS)

    Je dosť zavádzajúca informácia, že treba čakať na vydanie príslušného zákona. Dôležité je štvrté písmenko GDPR. To je R ako „Regulation“ teda nariadenie. Európske nariadenie je Nadradené lokálnemu zákonu, teda nedá sa očakávať zásadný rozdiel medzi nariadením a lokálnym zákonom.

    Myslím, že čakanie na prijatie zákona je tá najhoršia stratégia. Treba konať bezodkladne.

     

    4. Mali by sa firmy a spoločnosti na spomínané zmeny pripravovať? Ide o náročnejší proces, alebo sa dá stihnúť za kratšiu dobu, teda treba počkať, keď zmeny v zákone schvália? (Spravodajstvo RTVS)

    GDPR je komplikovaná regulácia so zásadnými dopadmi pre spoločnosti.

    • Vyžaduje riadiť informačnú bezpečnosť
    • Zavádza nové funkčné požiadavky, z čoho vyplýva zmena obchodných procesov a v špecifických prípadoch úpravu informačných systémov

    Pokiaľ spoločnosť riadi informačnú bezpečnosť, napríklad zavedením ISO 27001, je skutočne na najlepšej ceste dosiahnuť súlad s GDPR. Kto ešte nezačal, musí najskôr splatiť tento dlh a prijať konkrétne opatrenia.

     

    5. Aj pri najväčšej opatrnosti sa môže stať, že osobné údaje uniknú, ako sa to už stalo viackrát vo svete. Čo môžu, respektíve by mali firmy urobiť? Ako postupovať? (Spravodajstvo RTVS)

    Uvediem najskôr záporný príklad. Americká spoločnosť EquiFax spracúva úverovú históriu Američanov. Táto spoločnosť zaznamenala masívny únik osobných údajov viac ako 143 miliónov Američanov. Boli kompromitované mená, adresy, čísla sociálneho poistenia a v niektorých prípadoch prihlasovacie údaje a čísla kreditných kariet.

    Aj keď spoločnosť o úniku vedela, skutočnosť nenahlásili federálnym úradom ani neinformovali poškodené osoby, aby ich chránili voči individuálnym útokom.

    A práve stupeň ochrany, a postupy, v prípade kompromitácie osobných údajov presne popisuje nariadenie GDPR.

    Bezpečnosť podľa GDPR musí byť komplexná. Napríklad, keď uniknú osobné údaje, ale sú kryptované, nedôjde k poškodeniu dotknutých osôb.

     

    6. Myslíte si, že sa nájde firma, ktorá dobrovoľne prizná, že nejaké dáta unikli? Prečo by to robila? Nie je skôr tendencia niečo utajiť? (Spravodajstvo RTVS)

    Je to veľmi frekventovaná otázka. Sankcie sú známe. 20 Miliónov alebo 4% obratu. Povedali sme A, treba povedať aj B. Sankcia sa vypočítava aj podľa prístupu spoločnosti. Je to hlavne podmienka nahlásenie úniku, a okamžité prijatie krokov na zníženie dopadu.

    V prípade, keď údaje uniknú, vy preukážete primerané riadenie informačnej bezpečnosti, incident nahlásite a proaktívne vykonáte kroky na zníženie dopadu, pravdepodobne sankcia bude malá, takmer nulová.

    Pokiaľ však budete postupovať ako spoločnosť EquiFax, únik údajov zámerne utajíte, domnievam sa, že výška sankcia bude na hornej hranici. 

     

    7. Ako vlastne vyzerá ochrana aby údaje firmám neunikli? (Spravodajstvo RTVS)

    Súčasťou Implementácia GDPR  je riadenia informačnej bezpečnosti. V EU sa informačná bezpečnosť riadi podľa frameworku ISO 27001, ktorý  je asi to najlepšie čo máme. Poskytuje komplexnú bezpečnosť pre ochranu osobných údajov. Kto ešte nezačal, vrele odporúčam začať práve tu.

     

    8. Prísnejšia ochrana osobných údajov známa pod skratkou GDPR začne platiť až od mája budúceho roka. No odborníci nabádajú firmy, aby sa začali pripravovať už teraz. Prečo? (Spravodajstvo RTVS)

    GDPR prináša požiadavku na riadenie informačnej bezpečnosti, zmenu procesov pri spracovávaní osobných údajov a úpravu informačných systémov. Takéto požiadavky sa nedajú zabezpečiť zo dňa na deň. Odporúčam čo najskôr vykonať analýzu dopadu požiadaviek GDPR na konkrétnu spoločnosť. Výsledky analýzy dajú odpoveď, ako sa regulácia dotkne spoločnosti a aký bude časový a finančný dopad na spoločnosť. Implementácia môže vyžadovať 3 mesiace ale aj rok a viac.

     

    9. Ktoré z nových povinností budú firmám robiť najväčší problém? Prečo? Aké ďalšie novinky ich čakajú? (Spravodajstvo RTVS)

    Nariadenie prináša nové práva dotknutých osôb ako právo na informovanosť, sprístupnenie, prenositeľnosť, právo namietať, právo na výmaz. Aby spoločnosti dokázali zabezpečiť tieto práva, musia nastaviť nové procesy a doplniť funkcionality informačných systémov. Informačné systémy, ktoré dnes spoločnosti používajú pri spracovaní osobných údajov neboli navrhnuté na požiadavky GDPR, preto treba analyzovať a úpravou softwaru umožniť zabezpečenie práv dotknutých osôb. 

    Ďalšia novinka je povinnosť v niektorých príkladoch vykonať analýzu dopadu na dotknutú osobu v prípade porušenia bezpečnosti. Doposiaľ sa skúmal dopad na spoločnosti, teraz sa orientujeme na dotknute osoby. V neposlednom rade je to povinnosť nahlasovania bezpečnostných incidentov. Výška sankcií a nahlasovanie bezpečnostných incidentov je tou najčastejšou témou na diskusiu.

    Existujú dva prípady. Prvý , keď spoločnosť neriadi informačnú bezpečnosť a nemá vybudované mechanizmy na monitorovanie porušenia informačnej bezpečnosti. Jednoducho o incidente ani netušia.  Druhý prípad, keď o tom spoločnosť vie a váha , čí nahlásiť porušenie na úrad. Odpoveď je práve v metodike výpočtu sankcie, kde sa posudzuje práve proaktívny prístup spoločnosti, kde incident vznikol. Teda nahlásenie a proaktívne kroky na zníženie dopadu na dotknutú osobu.

     

    10. V čom robia dnes firmy najčastejšie chyby pri ochrane osobných údajov? Považujú ju dnes za dôležitú alebo si plnia úlohy skôr len formálne? (Spravodajstvo RTVS)

    Základom ochrany osobných údajov je riadenie bezpečnosti informačných systémov. Zo svojej audítorskej praxe, viem potvrdiť, že úroveň zabezpečenia treba zvýšiť zásadným spôsobom, lebo riadenie informačnej bezpečnosti je len formálne. Obyčajne pozostáva z bezpečnostného projektu, ktorý však osobné údaje neochráni. Treba nastaviť reálne bezpečnostné procesy.  Napríklad Spoločnosti uchovávajú množstvo osobných údajov nezákonne, čo sa týka rozsahu alebo dĺžky uchovania. Ďalší problém je v tom, že spoločnosti sami netušia, kde všade sa osobné údaje nachádzajú. Okrem databáz to môžu byť rôzne lokálne alebo sieťové úložiská, cloudy, maily, papierová dokumentácia. Treba začať revíziou, čo všetko máme a čo spracovávane legálne, ostatné treba zmazať.  

     

    11. Nové pravidlá majú zabezpečiť ľuďom vyššiu ochranu ich osobných údajov. V čom sa to prejaví? (Spravodajstvo RTVS)

    Zásadne sa zníži objem spracovaných osobných údajov len na zákonnú úroveň.

    Zavedením riadenia informačnej bezpečnosti sa zníži riziko zneužitia osobných údajov. Malo by sa predísť prípadu z USA, kde boli kompromitované údaje takmer polovice Američanov.

     

    12. Bude nariadenie napríklad viesť k tomu, že ľuďom bude volať menej obchodníkov a budú dostávať menej nevyžiadanej pošty? (Spravodajstvo RTVS)

    Posielané maily a SMS budú zákonné len v prípade ak dotknutá osoba udelí súhlas. Základné pravidlá definuje nariadenie GDPR a rozširuje ho ďalšia smernica EU „ePrivacy“. Takže menej SPAMu, menej reklám, menej obťažovania. 

     

    13. Ako by v tejto chvíli mala postupovať firma, ktorá sa ešte s GDPR vôbec nezoznámila? (Spravodajstvo RTVS)

    Dôležité je budovanie povedomia. V prvom rade manažmenty spoločností by mali pochopiť čo je GDPR, aké z toho plynú povinnosti, termíny, sankcie. Následne vzdelávanie ľudí, ktorí budú implementáciu realizovať. Takže vrele odporúčam školenia, zamerané pre manažérov a koordinátorov.  Ďalší postup je analýza dopadu implementácie GDPR pre spoločnosť. Výsledok analýzy Vám dodá podklad na akčný plán vrátane časového a finančného. Pokiaľ spoločnosť neriadi Informačnú bezpečnosť, tam by som začal ešte pred samotnou implementáciou GDPR , lebo je to nutná podmienka implementácie GDPR.    

     

    14. Čo je ISO 27001: 2013?

    ISO 27001 je  štandard pre implementáciu riadenia informačnej bezpečnosti  (ISMS). Je vhodný  pre organizácie všetkých veľkostí, v akomkoľvek odvetví, aby ich informačné aktíva boli primerane zabezpečené. 

    Je to štandard, ktorý je potvrdený externými audítormi a nasleduje najlepšie praktický prístup k informačnej bezpečnosti. Je to riešenie ako v spoločnostiach splniť povinnosti v súlade s rôznymi regulačnými požiadavkami napríklad GDPR.

     

    15. Ako ovplyvní zavedenie ISO27001 naše podnikanie?

    • Schopnosť spoločnosti preukázať, že je v súlade s platnými medzinárodnými osvedčenými postupmi vo vzťahu k bezpečnosti informačných aktív a riadenie rizík.
    • Implementácia ISO27001 ukazuje, že organizácia prijala praktické kroky, aby splnili svoje zákonné a regulačné záväzky vrátane GDPR.
    • Implementácia ISMS môže organizáciu systematicky chrániť pred potenciálnymi nákladmi na odstránenie škôd kybernetických útokov, straty informačných aktív, dostupnosti služieb alebo straty reputácie
    • Organizácia si zvýši dôveryhodnosť a to ako interne so zamestnancami aj externe so zákazníkmi a obchodnými partnermi.

     

    16. Je vhodné zapojiť externého konzultanta pre úspešnú implementáciu  ISO27001?

    Určite áno, konzultant vedie a usmerňuje jednotlivé kroky, aby boli systémové a vytvárala sa synergia činností k rýchlej a efektívnej implementácií. Nie je vhodné, aby prebral zodpovednosť za implementáciu, tým by sa činnosť Vášho tímu degradovala. S konzultantom máte šancu skrátiť implementačný proces o polovicu a máte garanciu dokončenia projektu. Implementácia vlastnými zdrojmi zoberie veľa zdrojov a času a výsledok nie je garantovaný.

     

    17. GDPR hovorí o zodpovednej osobe, kto to má byť a čo musí spĺňať (Seminár GDPR – Jasná)

    Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu (DPO) v prípade, keď:

    • spracúvanie vykonáva orgán verejnej moci;
    • hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov.
    • Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov.
    • Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.
    • Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

    Poznámka. Samozrejme, aj spoločnosť, ktorá nespĺňa horeuvedené požiadavky bude mať určenú osobu, ktorá bude zodpovedná za GDPR agendu, aj keď to nebude „Zodpovedná osoba“ v zmysle nariadenia, ktorá by mala mať adekvátne znalosti na úrovni DPO. Vrele odporúčam školenie pre DPO.

     

    18. Naša spoločnosť zavádza systém informačnej bezpečnosti podľa ISO 27001, budeme ak my potrebovať implementáciu GDPR samostatne? (Seminár GDPR – Jasná)

    GDPR je zákonná požiadavka definovaná EU nariadením a Zákonom SR. Je záväzná pre každého a má definované špecifické požiadavky, ktoré treba splniť. Jedna z nich je riadenie informačnej bezpečnosti, čo sa napĺňa najvhodnejšie implementáciou ISO 27001.

    Takže potrebujete implementovať GDPR a dostať sa do súladu do 25.05.2018.

     

    19. Ktorú oblasť považujete pri zavádzaní GDPR za najkritickejšiu? (Seminár GDPR – Jasná)

    Po pochopení manažmentu, čo GDPR prináša by mala byť definovaná v spoločnosti stratégia.

    Ako prvý krok by mala byť vykonaná tzv. GAP analýza (rozdielová analýza) z pohľadu riadenia informačnej bezpečnosti a plnenia funkčných požiadaviek GDPR, plynúcich z nových práv dotknutých osôb. (zmena procesov a v niektorých prípadoch úprava informačných systémov).

    Výsledky GAP Vám ukážu oblasti, s ktorými sa musíte vysporiadať do 25.05.2018.

     

    20. Ako dlho by podľa Vás malo optimálne trvať zavedenie GDPR v slovenskom podniku? Skúste odhad smerovať podľa veľkosti podniku, respektíve priemyselného odvetvia. (Seminár GDPR – Jasná)

    Treba si uvedomiť, že implementácia GDPR vyžaduje postupné kroky vykonané vo vnútri spoločnosti. Je veľa atribútov, ktoré môžu ovplyvniť dĺžku implementácie, ktorá môže vyžadovať 3 – 12 mesiacov závislých hlavne od:

    • Počtu informačných systémov, ktoré spoločnosť využíva na spracovanie osobných údajov
    • Kategória osobných údajov
    • Doterajšia úroveň riadenia informačnej bezpečnosti
    • Podpora manažmentu
    • Zapojenie externých zdrojov

    Najkomplikovanejšie budú implementácie v spoločnostiach, v ktorých sa osobné údaje spracovávajú vo veľkom rozsahu, napr. banky , poisťovne, TELCO, relatívne kratšia implementácia čaká výrobné spoločnosti, ktoré majú zamestnancov ale ich procesy si nevyžadujú spracovanie údajov fyzických osôb. (Dodávatelia, odberatelia...)  

     

    21. Kto rozhodne, či sme GDPR zaviedli správne? (Seminár GDPR – Jasná)

    Po implementácií by ste mali byť schopní preukázať splnenie požiadaviek GDPR. Preferovaná voľba je požiadať  akreditovanú spoločnosť (TUV SUD) o vykonanie auditu podľa GDPR, na základe preukázania zhody dostanete certifikát zhody. Výsledok auditu sa bude oznamovať úradu, tak teoreticky by ste mali mať pokoj 3 roky až po ďalší certifikačný audit.

     

    22. Aké sú alebo budú sankcie (aj očakávané) v prípade, že zavedieme GDPR a napriek tomu dôjde k úniku, respektíve k útoku? (Seminár GDPR – Jasná)

    Dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút účinné, primerané a odrádzajúce. Pri rozhodovaní o uložení správnej pokuty a jej výške sa zohľadnia presne definované skutočnosti preukazujúce mieru porušenia, dopad na DO a proaktívny prístup k zmierneniu dopadov porušenia

    Poznámka. Pokiaľ preukážete primerané riadenie bezpečnosti (napríklad platným certifikátom o zhode s GDPR) a dôjde k úniku, Vy incident bezodkladne nahlásite a prijmete opatrenia na zníženie dopadu na dotknuté osoby, sankcia bude minimálna.

    V prípade otázky prosím použite diskusné fórum

    © Copyright 2017. All Rights Reserved, gdpr-2018.sk Webdesign by Initpro.sk

    Táto web stránka používa k poskytovaniu služieb, personalizácii reklám a analýze návštevnosti súbory cookie. Používaním tejto webstránky s tým súhlasíte. Ďakujeme.

    Súhlasím