Aktuality

GDPR: Technické a organizačné opatrenia

Technické a organizačné opatrenia sa v spoločnosti zavádzajú v závislosti od určených rizikách pre spracovanie osobných údajov. Opatrenia musia znížiť:

  • pravdepodobnosť vzniku rizika
  • negatívne dopady súvisiace so vznikom rizika

V rámci voľby opatrení a cieľovej úrovne rizika po ich aplikácii je vždy nevyhnutné merať náklady na opatrenia a prípadné náklady za prijatie opatrení k náprave škôd, ktoré súvisia s možným vznikom rizika.

Správca musí prihliadať na povahu, rozsah, kontext a účel spracovania aj k pravdepodobným a rôzne závažným rizikám a zaviesť vhodné technické a organizačné opatrenia, aby zaistil a bol schopný doložiť, že je spracovanie vykonané v súlade s Nariadením GDPR. Opatrenia musia byť podľa potreby revidované a aktualizované.

Aby správca mohol doložiť súlad s Nariadením GDPR, mal by prijať vnútornú koncepciu a zaviesť opatrenia, ktoré budú spočívať v :

  • minimalizácii spracovaných osobných údajov
  • rýchla pseudonymizácia osobných údajov
  • transparentnosť s ohľadom na funkcie a spracovanie osobných údajov
  • umožnenie subjektom monitorovať spracovanie osobných údajov
  • umožnenie správcom vytvárať a zlepšovať bezpečnostné prvky

Technické a organizačné opatrenia v Nariadení GDPR

  • pseudonymizácia a šifrovanie osobných údajov (nie je povinné)
  • schopnosť zaistiť neustálu dôvernosť, integritu, dostupnosť a odolnosť systému a služieb spracovania
  • schopnosť obnoviť dostupnosť osobných údajov a prístup k ním včas v prípade fyzických alebo technických problémov
  • proces pravidelného testovania, posudzovania, a hodnotenia účinnosti zavedených technických a organizačných opatrení pre zaistenie bezpečnosti spracovania

Za technické a organizačné opatrenia sa všeobecne považujú:

  • integrita
  • dôvernosť
  • transparentnosť
  • izolovanosť
  • súčinnosť
  • zodpovednosť

Technické a organizačné opatrenia sa zavádzajú s ohľadom na:

  • veľkosť firmy
  • množstvo spracovaných osobných údajov
  • povahu spracovávaných osobných údajov
  • rizika spracovávaných osobných údajov
  • účel spracovania
  • dobu spracovania osobných údajov

U každého správcu alebo spracovateľa môžu byť zavedené rôzne technické a organizačné opatrenia. Pre možnosť kontroly i preukázanie dozornému orgánu je vhodné vytvoriť zoznam zavedených technických a organizačných opatrení.

Základné technické opatrenia

  • zabezpečenie prístupu k dátam
  • nastavenie možností výmazu dát na diaľku pri mobilných zariadeniach
  • identifikácia a autentifikácia osôb
  • úprava systémov pre výkon práv subjektov údajov
  • register súhlasov a ich odvolaní
  • register spracovateľských zmlúv
  • úprava systému pre evidenciu narušení bezpečností
  • antivírus
  • firewall
  • logovanie
  • PIN
  • heslo
  • monitorovanie sietí
  • dvojfázové overenia
  • šifrovanie
  • pseudonymizácia
  • anonymizácia
  • kódovanie zariadení
  • alarm
  • kamery
  • uzamykateľné priestory, skrine, stoly
  • skartovačky
  • zálohovanie dát
  • archivácia dát
  • likvidácia dát a dátových nosičov

Organizačné opatrenia

Organizačné opatrenia sa venujú predovšetkým tvorbe procesov a nastavení kompetencii a zodpovednosti, ktoré vedú k minimalizácii, spravovaných údajov, minimalizácii oprávnení konkrétnych osôb narábať s údajmi.

Medzi základné organizačné opatrenia patrí:

  • smernice
  • dokumentácie opatrení na ochranu osobných údajov
  • záznamy o činnostiach spracovaní osobných údajov
  • informačné dokumenty o spracovaní a ochrane osobných údajov
  • školenie zamestnancov
  • obmedzené prístupy k osobným údajov
  • zaistenie bezpečnej práce s osobnými údajmi
  • analýza rizík
  • posúdenie vplyvu na ochranu osobných údajov
  • zásada čistého stolu
  • opakované kontroly a aktualizácie zavedených opatrení pre ochranu osobných údajov
  • spolupráca s dozorným úradom

Technické opatrenia

  • fyzická bezpečnosť
  • nástroj na ochranu integrity komunikačných sietí
  • nástroj pre overovanie identity užívateľov
  • nástroj pre riadenie prístupových oprávnení
  • ochrana pred škodlivým kódom
  • zaznamenávanie činností kritickej informačnej infraštruktúry
  • nástroj pre detekciu kybernetických útokov
  • zber a vyhodnocovanie kybernetických bezpečnostných udalostí
  • kryptografické prostriedky
  • bezpečnosť priemyselných riadiacich systémov

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *