Nariadenie GDPR po 25. máji ovplyvní prakticky každú spoločnosť, ktorá podniká marketingové alebo podnikateľské aktivity na území Európy. Pozrite sa na prehľad šiestich základných krokov, ktoré je potrebné urobiť pre dosiahnutie súladu s týmto nariadením.

Krok 1 – Porozumenie legislatívnemu základu GDPR

Prvým krokom k dosiahnutiu súladu s nariadením GDPR je pochopenie jeho legislatívneho základu a porozumenie jeho elementárnym princípom. Kompletné znenie nariadenia GDPR v slovenskom jazyku nájdete na stránke Úradu pre ochranu osobných údajov Slovenskej republiky.

V prípade, že patríte do niektorej zo skupín subjektov, ktoré sú povinné vymenovať úradníka pre ochranu osobných údajov, urobte to v úvodnej fáze procesu.

Krok 2 – Vytvorenie Dátového registra – inventáru

Druhý krok v dosiahnutí súladu s nariadením GDPR je identifikácia toho, aké údaje a na aké účely ich v spoločnosti archivujete a kde presne sa nachádzajú. Absolvovaním tejto časti vytvoríte tzv. dátový register/inventár, ktorý je nevyhnutný pre realizáciu ďalších krokov.

Spoločnosť exe, a.s. využíva na analytickú časť procesu dosiahnutia súladu s nariadením GDPR partnerskú organizáciu Bereau Veritas.

Krok 3 – Klasifikácia dát

V treťom kroku je potrebné porozumieť tomu, aké údaje je potrebné chrániť a akým spôsobom. Následne dochádza k identifikácii umiestnenia Osobných údajov (osobný údaj je akýkoľvek údaj, ktorý priamo alebo nepriamo identifikuje osobu v EÚ) a tiež toho, kto k nim má prístup a s kým sú údaje zdieľané.

Na základe vykonania týchto úkonov je možné dáta klasifikovať podľa úrovne ich citlivosti a identifikovať osoby, ktoré sú zodpovedné za kontrolu a spracovanie týchto údajov.

Krok 4 – Prioritizácia dát

Pri práci s údajmi alebo aplikáciami by mala byť vždy najvyššou prioritou ochrana súkromia používateľa. Pri pohľade na najcitlivejšie ​​údaje alebo aplikácie by sa firmy mali vždy pýtať, či dané informácie skutočne potrebujú a prečo. Tieto údaje majú totiž najväčšiu hodnotu pre hackerov a teda i najväčšie riziko odcudzenia či zneužitia. Firmy by preto mali vytvoriť Privacy Impact Assessment (PIA) a Data Protection Impact Assessment (DPIA) všetkých bezpečnostných politík a vyhodnotiť životné cykly údajov od ich vzniku, až po ich zničenie. Výsledky analýz slúžia ako vstupy pre implementáciu riešení v procesnej aj technologickej oblasti, ktoré v primeranej miere zabezpečia ochranu osobných údajov.

Krok 5 – Zabezpečenie sekundárnych údajov

Okrem zabezpečenia najcitlivejších údajov je v piatom kroku dôležité aj posúdenie a dokumentácia sekundárnych rizík, čoho cieľom je zistiť v akých aspektoch je firma zraniteľná. V priebehu tohto procesu je potrebné uchovávať Road Mapu procesu a identifikovať, ako a kedy sa firma chystá zabezpečiť zatiaľ nevyriešené riziká. Táto činnosť, okrem iného, poukazuje na to, že firma berie súlad s nariadením GDPR skutočne vážne.

Krok 6 – Opakovanie procesu

Posledným krokom je posúdenie výsledkov predchádzajúcich aktivít a odstránenie akýchkoľvek nedostatkov, realizácia úprav a aktualizácia dát, či postupov. Po dokončení tohto procesu je potrebné určiť ďalšie priority a zopakovať štvrtý krok.

 

Zdroje:

https://blog.gemalto.com/security/2017/05/25/6-steps-to-gdpr-compliance/
http://www.information-age.com/6-steps-gdpr-compliance-123466406/
https://www.csoonline.com/article/3239786/regulation/6-steps-for-gdpr-compliance.html
http://www.mega.com/en/use-case/gdpr

 


Aktuálne novinky nielen z diania vo firme