Close

GDPR – Požadavky dle evropského nařízení na malé a střední průmyslové firmy

Následující text o GDPR je vhodný pro:

Průmyslové výrobní  podniky především na bázi B2B, které nemají vlastní IT oddělení nebo právní oddělení, které by GDPR intenzivně řešilo. Na svých provozovnách mají umístěné kamery, které sledují pracoviště, dále vedou docházku pomocí docházkového systému. Jejich uživatelé využívají ERP prorgramy (např: POHODA, ABRA Gen, SAP, CÉZAR), pro emaily využívají MS Outlook.

O GDPR

Nové evropské nařízení neboli GDPR přináší některé nové prvky, především však uceluje současné požadavky na ochranu osobních dat a dozorovým orgánům dává pravomoci nedodržování těchto pravidel sankcionovat.  Dle vyjádření ÚOOÚ lze předpokládat, že z počátku nebudou sankce závratně vysoké, ovšem budou při nejmenším „odstrašující“ ( teoreticky lze uložit sankci až 20 000 000 € – horní limit je tedy opravdu vysoký).

 

 Rychlá definice pojmů

  • – Nařízení / (GDPR) se týká všech subjektů včetně orgánů veřejné správy, které zpracovávají osobní údaj
  • – Osobní údaj – tím je myšleno veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osob

 

 

Povinnosti pro malé a střední průmyslové firmy

GDPR zavádí několik povinností, ale pro průmyslové firmy do velikosti 250 zaměstnanců po většinou postačí následující:

  1. 1. Implementace záměrné a nezbytné ochrany dat ( v některých případech pseudonymizace osobních dat)
  2. 2. Jejich pravidelná kontrola a audit
  3. 3. Posouzení vlivu na osobní údaje

 

1) Implementace a ochranna dat

Začneme tím nejdůležitějším: Ochranna a dostupnost dat zvlašť v době ransomwarů je velmi důležitým tématem. Naříení se tomu věnuje především z pohledu Osobních údajů, ovšem vzhledem každoměsíčním útokům ranosmwarů je dostatek záloh a jejich dostupnost často otázkou téměř přežití firem. V případě uniku dat,  byste měli náhlasit událost dozorovému orgánu do 72 hodin. Povinnost ochranny dat definuje GDPR takto:

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.

včetně:

a) pseudonymizace a šifrování osobních údajů; 4.5.2016 CS Úřední věstník Evropské unie L 119/51
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
e) omezený přístup zaměstnanců

Firmy tak musejí zajistit několik důležitých bodů:

  • –  CHRÁNIT DATA – Ochrana citlivých dat Vašich zákazníků, partnerů, zaměstnanců. Samozřejmostí je jejich ochrana před vnějšími hrozbami. Ať už bezpečným nastavením routeru, užitím anti-malware, anti-spyware a antivirových programů. Ovšem neměla by se podceňovat i možnost úniku dat z vnitřního prostředí.
  • –  ZÁLOHOVAT DATA –  Zálohovat data dle osvědčeného pravidla 3-2-1 je podle nás naprosté minimum. Uvedené pravidlo říká, že mají existovat minimálně tři kopie zálohovaných dat uložené na dvou typech médií, kdy jedna z těchto kopií je umístěna v geograficky oddělené lokalitě. Jde o ověřený přístup, který umožňuje řešit prakticky jakýkoli typ havárie a nevyžaduje přitom žádnou speciální technologii. Nicméně v tomto případě platí, že více je více, a tudíž víc druhů kopií Vám dá větší jistotu, zvlášť pokud využíváte i vnitřní disky.
  • –  URČIT OPRÁVNĚNÉ ZAMĚSTNANCE – Určit zaměstnance, kteří mají oprávnění zpracovávat osobní údaje. Jejich počet bystě měli zredukovat na minimum, ostatním omezit přístupová práva do souborů, kde jsou osobní údaje.
  • –  PSEUDONYMIZACE  Pseudonymizací nařízení rozumí „zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací“. Tímto je myšleno, že je vhodné používat ID identifikátory, přičemž převodní klíč  s běžnými údaji těchto jednotlivců (jméno, datum narození, adresa apod.) je nutné uchovávat odděleně

(Možnosti a rozsah služeb, které poskytujeme naleznete zde, nebo se na nás neváhejte obrátit)

2) Kontrola a audit

  • –  KONTROLOVAT OPATŘENÍ – Za předpokladu, že firma nemá kapacity na to, aby si sama dokázala pravidelně kontrolovat, testovat a hodnotit dostupnost dat a technická bezpečnostní opatření, měla by si najmout dodavatele na tuto činnost, tzv. zpracovatele. Tento dodavatel nemá oprávnění provádět jakoukoliv činnost bez vědomí správce (majitele dat). Vždy jedná na příkaz správce.
    • – Kontroluje se dostupnost dat, dostupnost záložních dat, jejich integrita a schopnost obnovy
    • – Měl by být zmapován výskyt osobních dat – tj. kde se data uchovávají, proč se tam uchovávají a kdo k ním má přístup
    • – Odebrání osobních dat z ostatních míst
  • – Vztah Správce a Zprostředkovatele musí upravovat písemná smlouva.

 

Povinnosti zpracovatele

Zpracování dat zpracovatelem se řídí písemnou smlouvou, která zavazuje zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva zejména stanoví, že zpracovatel:

a) zpracovává osobní údaje pouze na základě doložených pokynů správce,
b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
c) přijme všechna opatření požadovaná podle Článek 32;
e) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;
f) je správci nápomocen při zajišťování souladu s povinnostmi maximalizace technických a bezpečnostích opatření a při konzultacích se dohledových orgánem;
g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

 

3) Posouzení vlivu na osobní údaje

Vzhledem přítomnosti kamer, tj. stáleho monitorování přístupných míst, fyzických osob, se na takovéto případy vztahuje povinnost vytvořit Posouzení vlivu na osobní údaje. TO by mělo mimo jiné obsahovat:

  1.  1. systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
  2.  2. posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  3.  3. posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1;
  4. 4. plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

 

Pro více informací nás neváhejte kontaktovat!