Technické a organizačné opatrenia sa v spoločnosti zavádzajú v závislosti od určených rizikách pre spracovanie osobných údajov. Opatrenia musia znížiť:
- pravdepodobnosť vzniku rizika
- negatívne dopady súvisiace so vznikom rizika
V rámci voľby opatrení a cieľovej úrovne rizika po ich aplikácii je vždy nevyhnutné merať náklady na opatrenia a prípadné náklady za prijatie opatrení k náprave škôd, ktoré súvisia s možným vznikom rizika.
Správca musí prihliadať na povahu, rozsah, kontext a účel spracovania aj k pravdepodobným a rôzne závažným rizikám a zaviesť vhodné technické a organizačné opatrenia, aby zaistil a bol schopný doložiť, že je spracovanie vykonané v súlade s Nariadením GDPR. Opatrenia musia byť podľa potreby revidované a aktualizované.
Aby správca mohol doložiť súlad s Nariadením GDPR, mal by prijať vnútornú koncepciu a zaviesť opatrenia, ktoré budú spočívať v :
- minimalizácii spracovaných osobných údajov
- rýchla pseudonymizácia osobných údajov
- transparentnosť s ohľadom na funkcie a spracovanie osobných údajov
- umožnenie subjektom monitorovať spracovanie osobných údajov
- umožnenie správcom vytvárať a zlepšovať bezpečnostné prvky
Technické a organizačné opatrenia v Nariadení GDPR
- pseudonymizácia a šifrovanie osobných údajov (nie je povinné)
- schopnosť zaistiť neustálu dôvernosť, integritu, dostupnosť a odolnosť systému a služieb spracovania
- schopnosť obnoviť dostupnosť osobných údajov a prístup k ním včas v prípade fyzických alebo technických problémov
- proces pravidelného testovania, posudzovania, a hodnotenia účinnosti zavedených technických a organizačných opatrení pre zaistenie bezpečnosti spracovania
Za technické a organizačné opatrenia sa všeobecne považujú:
- integrita
- dôvernosť
- transparentnosť
- izolovanosť
- súčinnosť
- zodpovednosť
Technické a organizačné opatrenia sa zavádzajú s ohľadom na:
- veľkosť firmy
- množstvo spracovaných osobných údajov
- povahu spracovávaných osobných údajov
- rizika spracovávaných osobných údajov
- účel spracovania
- dobu spracovania osobných údajov
U každého správcu alebo spracovateľa môžu byť zavedené rôzne technické a organizačné opatrenia. Pre možnosť kontroly i preukázanie dozornému orgánu je vhodné vytvoriť zoznam zavedených technických a organizačných opatrení.
Základné technické opatrenia
- zabezpečenie prístupu k dátam
- nastavenie možností výmazu dát na diaľku pri mobilných zariadeniach
- identifikácia a autentifikácia osôb
- úprava systémov pre výkon práv subjektov údajov
- register súhlasov a ich odvolaní
- register spracovateľských zmlúv
- úprava systému pre evidenciu narušení bezpečností
- antivírus
- firewall
- logovanie
- PIN
- heslo
- monitorovanie sietí
- dvojfázové overenia
- šifrovanie
- pseudonymizácia
- anonymizácia
- kódovanie zariadení
- alarm
- kamery
- uzamykateľné priestory, skrine, stoly
- skartovačky
- zálohovanie dát
- archivácia dát
- likvidácia dát a dátových nosičov
Organizačné opatrenia
Organizačné opatrenia sa venujú predovšetkým tvorbe procesov a nastavení kompetencii a zodpovednosti, ktoré vedú k minimalizácii, spravovaných údajov, minimalizácii oprávnení konkrétnych osôb narábať s údajmi.
Medzi základné organizačné opatrenia patrí:
- smernice
- dokumentácie opatrení na ochranu osobných údajov
- záznamy o činnostiach spracovaní osobných údajov
- informačné dokumenty o spracovaní a ochrane osobných údajov
- školenie zamestnancov
- obmedzené prístupy k osobným údajov
- zaistenie bezpečnej práce s osobnými údajmi
- analýza rizík
- posúdenie vplyvu na ochranu osobných údajov
- zásada čistého stolu
- opakované kontroly a aktualizácie zavedených opatrení pre ochranu osobných údajov
- spolupráca s dozorným úradom
Technické opatrenia
- fyzická bezpečnosť
- nástroj na ochranu integrity komunikačných sietí
- nástroj pre overovanie identity užívateľov
- nástroj pre riadenie prístupových oprávnení
- ochrana pred škodlivým kódom
- zaznamenávanie činností kritickej informačnej infraštruktúry
- nástroj pre detekciu kybernetických útokov
- zber a vyhodnocovanie kybernetických bezpečnostných udalostí
- kryptografické prostriedky
- bezpečnosť priemyselných riadiacich systémov
