Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Reagujte na rizika – bezpečnost dat nesmí zastarat!

Reagujte na rizika – bezpečnost dat nesmí zastarat!

  • Datum: 13.12.2024
  • Autor: František Nonnemann

Implementovali jste bezpečnostní politiky pro ochranu osobních údajů? Výborně. A kdy jste systém naposledy revidovali? Už je to dlouho? Asi je na místě se tak trochu bát úniku dat a pokuty za porušení GDPR.

Jedním z požadavků, hlavních principů, obecného nařízení o ochraně osobních údajů (GDPR), je povinnost zabezpečit osobní údaje. Jinými slovy, zajistit integritu a důvěrnost zpracovávaných dat.

Co to znamená?

Správce i zpracovatel osobních údajů jsou povinni přijmout dostatečná technická a organizační opatření, aby zajistili osobní údaje proti neoprávněné změně, přístupu, zneužití či nedostupnosti. GDPR zdůrazňuje přístup založený na riziku. V čl. 32, kde jsou požadavky na bezpečnost dat formulovány, je výslovně uvedeno, že bezpečnostní opatření mají zohlednit stav techniky, náklady na provedení, povahu, rozsah, kontext a účel zpracování i také rizik, které zpracování může přinést pro práva a svobody dotčených fyzických osob.

Nefunkční nebo zastaralé bezpečnostní politiky vás neochrání

Stejně jako v jiných oblastech, ať už zabezpečení informací (ISMS) nebo kontrolních procesech (např. compliance), i v případě zabezpečení osobních údajů platí, že nastavený systém musí být „živý“. Správce i zpracovatel musejí průběžně reagovat na relevantní podněty a impulsy k aktualizaci bezpečnostních prvků, ať už tyto podněty přicházejí z interního prostředí (např. incidenty) nebo externích okolností a změn (nové hrozby, nová regulace).

Zdá se to jako zřejmá věc. V praxi ale vidíme, že organizace na skutečně efektivní, funkční a aktualizovaný systém bezpečnostních opatření často rezignují. Jak ukazují nedávné případy, správce údajů sice třeba formálně přijme robustní bezpečnostní politiky, ale pak je sám ani nedodržuje. Jindy zase organizace na zjištěné hrozby a zranitelnosti nereagují buď vůbecnebo až po úniku dat. Samostatnou kategorií je zavedení skutečně slabých bezpečnostních opatření spojené s nedostatečným dokumentování incidentů a pozdním informováním dozorového úřadu o incidentu s dopadem na osobní údaje, jako nám to nedávno předvedla společnost Meta.

Zabezpečení osobních údajů je proces!

Chcete se vyhnout pokutě?  Nezapomeňte, že i systém pro zabezpečení osobních údajů by měl probíhat podle klasického Demingova cyklu.

  • Plánuj - Správce či zpracovatel by měl analyzovat rizika a hrozby pro zpracovávané osobní údaje a po jejich vyhodnocení (pravděpodobnost, dopad, závažnost) zavést odpovídající bezpečnostní opatření a kontroly.
  • Dělej - Opatření a kontroly definované v předchozím bodu je nutné zavést do praxe. A to včetně určení konkrétních rolí, povinností a odpovědností za to, kdo bude které opatření či kontrolu fakticky provádět, dokumentovat a evidovat.
  • Kontroluj - V pravidelných intervalech, nebo v případě závažného incidentu či jiné důležité události i ad hoc, je nutné celý systém bezpečnosti osobních údajů zrevidovat. Jsou stejné účely, rozsah a prostředky zpracování? Rozšířilo se zpracování na nové kategorie subjektů údajů nebo osobní data? Fungují zavedená opatření a kontroly, nebo správci osobních údajů něco uniká, nefunguje? Pokud organizace najde nesrovnalost nebo slepé místo, je nutné celý systém aktualizovat a doplnit. Posílit stávající bezpečnostní opatření nebo zavést další, změnit zaměření či frekvenci monitoringu, zavést nové školení, zjednodušit procesy atd.
  • Jednej - To, co bylo zrevidováno, je nutné opět zavést do praxe. Potvrdit či upřesnit role, povinnosti a odpovědnosti a začít. A tak pořád dokola.

Zní to jako zbytečná zátěž? Možná, ale jen do prvního skutečného problému, výpadku či úniku dat. Nebo první kontroly úřadu pro ochranu osobních údajů.

Článek je publikovaný také na GDPR.cz.

Štítky
GDPRKybernetická bezpečnostPokutaOsobní údaje

Nejčtenější články

Štítky
Simulation (1)AI Act (13)Management (47)Data (20)BPMN (1)Program Manager (4)Compliance (70)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (22)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (31)Axelos (6)AI (19)ISO (15)IT Security (5)Marketing (11)ESG (5)Identifikace (1)Lean (3)MoP (7)CMS (1)GDPR (114)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (1)EU (1)HR (4)Agile (6)Risk Manager (1)korporace (7)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (12)Whistleblowing Officer (9)DORA (12)AI (1)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (18)Tisková zpráva (3)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (1)DPO (11)AgileSHIFT (3)PMI (1)ISMS (26)NIS2 (16)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (58)IT Service (4)ISO42001 (1)Soukromí (5)Grab@Pizza (1)Media (1)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (34)Pokuta (13)Hospodářská soutěž (1)eGovernment (1)Regulace (23)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play