Jak zajistit ochranu dat v souvislosti se změnou zákona o ochraně osobních údajů reflektující evropskou směrnici GDPR
Problematika ochrany osobních údajů v souvislosti s evropskou směrnicí "GDPR" je docela široká a bude vyžadovat změny v každé organizaci, která nějakým způsobem zpracovává osobní údaje.
Je třeba řešit tyto oblasti:
- Dostatečné informování fyzických osob o zpracovateli dat a nakládání s osobními údaji.
- Zabezpečení uložení dat.
- Nastavení pravidel přístupu k údajům
- Zamezení uložení údajů mimo zabezpečená úložiště (zálohy dat nebo ukládání sestav na přenosná úložiště (externí disky, flash disky), nebo přenosná zařízení (notebooky))
- Dokládání správně nastaveného souhlasu se zpracováním.
- Záznamy o tom, kdo s údaji nakládá a jakým způsobem.
- Správně nastavené smlouvy mezi zpracovatelem dat a případnou třetí stranou (třeba marketingovou agenturou, která vede databáze, nebo poskytovatelem cloudu)
- Splnění oznamovací povinnosti vůči ÚOOÚ
Řada věcí je organizačního charakteru, některé si vyžádají změny v IT infrastruktuře firmy.
Z hlediska softwaru je potřeba zajistit minimálně to, aby data byla uložena v dostatečně chráněných úložištích a aby bylo možné ošetřit přístup k programům i k jejich datům pouze pověřeným osobám.
Všechny naše programy FORM studio, Stereo i ENTER pokladna umožňují chránit přístup do programu jednotlivým uživatelům pomocí hesla a přidělovat jim pouze taková práva, která odpovídají jejich funkci. Programy neukládají data šifrovaně (z důvodu rychlosti), proto je potřeba zajistit zabezpečení datových úložišť s daty programů proti neoprávněnému přístupu mimo program nebo proti jejich odcizení.
To lze zajistit takto:
- U programů používaných na jednotlivých počítačích (tedy ne se sdílením dat v síti) umístit data programu, případně i program na šifrovaný disk. Šifrování disku je možné v systémech Windows v licencích pro profesionální použití (Windows 7 Enterprise a Ultimate, Windows 10 Pro) nebo pomocí programů třetích stran.
- Při sdílení dat v síti nastavením práv přístupu k síťovým složkám a fyickým zabezpečením přístupu k serverům, případně šifrováním dísků v síťových úložištích.
Pro další informace můžeme odkázat na články, které se podrobně zabývají touto problematikou:
7 kroků, jak se vyrovnat s tajemným GDPR
Seriál článků na téma ochrany osobních údajů
Specializovaný web na téma GDPR