Generální partner Další partneři
ptáme se prosinec 2017 14. prosince 2017

Chraňte svá data aneb 7 kroků, jak přežít GDPR

OdNovodvorsky_print-e1464954456925-150x150 května 2018 budou muset firmy i veřejné instituce umět doložit, že zpracovávají údaje podle nového nařízení Evropské unie známého pod zkratkou GDPR. GDPR je dosud nejucelenějším souborem pravidel na ochranu osobních údajů na světě a dotkne se každého, kdo shromažďuje nebo jinak zpracovává osobní údaje občanů EU. Společnost Microsoft připravila 7 kroků, jak vám cloudové technologie mohou pomoci dosáhnout souladu s tímto nařízením.

Krok 1: Zmapujte si terén

Mnoho organizací se nyní potýká s problémem, že netuší, jaké druhy dat, na jakých zařízeních vůbec mají. Týká se to především těch firem, kde mají zaměstnanci mnoho osobních počítačů či dokonce notebooků, které si mohou nosit domů. Jak tedy vůbec zjistit, kde a na jakých úložištích se osobní data v naší organizaci nacházejí a takzvaně si zmapovat terén? Naštěstí existují řešení, která vám v tom pomohou.

Krok 2.: Jak uřídit data? Ta nepotřebná vyhoďte

Jakmile si zjistíme, jaké osobní údaje ve firmě máme a kde jsou uložené, dostaneme se k samotné správě dat, tedy k tomu, jak data řídit, klasifikovat a celkově s nimi nakládat. Pro tyto účely je třeba vytvořit takzvaný plán řízení dat. Plán firmě usnadní definování procesů, rolí a odpovědností za přístup k osobním údajům, ale i jejich samotnou správu, používání a v neposlední řadě také soulad s nařízením GDPR.

Krok 3: Rozlišujte, jak jsou údaje citlivé a kdo k nim může

I třetí krok se týká správy dat. Cloudové nástroje nám pomůžou označit různé typy osobních údajů podle stupňů jejich citlivosti tak, aby jejich zabezpečení bylo co nejefektivnější. Jinými slovy, v rámci správy se pustíme do kategorizace dat. Stupeň citlivosti osobních údajů je důležitým vstupem k posouzení rizik, ze kterých se pak bude odvíjet požadovaná úroveň zabezpečení pro aktiva v dané kategorii.

Krok 4: Jak data zabezpečit? Prevence je základ

Poté, co jsme data kategorizovali, dostáváme se k samotné ochraně dat. Podle předpisu GDPR je třeba zavést přiměřená a vývoji techniky odpovídající opatření pro zajištění důvěrnosti, integrity, dostupnosti a odolnosti. Zároveň je potřeba zavést mechanismy testování účinnosti těchto opatření. To znamená, že osobní údaje musíme chránit podle úrovně jejich citlivosti a také mít otestováno, že ochrana funguje.

Krok 5: Jak detekovat útok a zvládat bezpečnostní incidenty

Sofistikovanost kyberútoků a počty úniků dat včetně osobních údajů z velkých společností v posledních letech velmi rostou. Proto se nedá spoléhat jen na prevenci a předpokládat, že k úniku či zneužití dat nikdy nedojde.  V Česku je navíc nedostatek specialistů na ICT bezpečnost, kteří by měli kvalifikaci a praktické zkušenosti s detekcí, zvládáním a vyšetřováním bezpečnostních incidentů. Proto je výhodné zpracovávat osobní údaje u poskytovatelů cloudu, kteří nabízejí smluvní záruky.

Krok 6: Provozní záznamy veďte efektivně

Každá firma musí podle GPDR vést o zpracování osobních údajů provozní záznamy. Jak? To záleží na několika okolnostech. Zejména na velikosti organizace, typu údajů, které zpracovává, a způsobu zpracování. Pro organizaci, která zaměstnává více než 250 lidí nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Ostatní firmy se musí samy zamyslet, jak provozní záznamy povedou. Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy informaci, jakým způsobem a po jakou dobu zpracování údajů probíhalo.

Krok 7: Jsou bezpečnostní opatření účinná? Napoví audit

Správce osobních údajů není podle GDPR povinen pouze zavést vhodná technická a organizační opatření. Musí také zároveň prokázat, že jsou zavedená opatření účinná, a to na základě pravidelných testů a posudků. Zde opět pomohou poskytovatelé cloudových služeb, jejichž nástroje jsou pravidelně testovány a auditovány.

Celý seriál najdete zde

Videomedailonky

vítězek 10. ročníku OCP

Eva Hronová

REVATECH

1. MÍSTO

Malá společnost

Zdenka Homolová

NEREZ CIDLINA

1. MÍSTO

Střední společnost

Lucie Tomášková

LT Sezam

1. MÍSTO

Velká společnost

Darina Vodrážková

DAQUAS

CENA ČSOB

VÝJIMEČNÁ PODNIKATELKA

Eva Dokoupilová

MEDICAL PLUS

CENA ZA INOVATIVNÍ ŘEŠENÍ

pod patronací České pojišťovny

Michaela Povýšilová

TECHNOAQUA

CENA ZA DIGITÁLNÍ TRANSFORMACI

pod patronací Microsoft,

Sylva Jílková

TERMSTAV

VÝJIMEČNÝ RŮST FIRMY