GDPR

GDPR

Obecné nařízení o ochraně údajů (GDPR) je právní akt Evropského parlamentu a Rady (nařízení (EU) 2016/679), který byl přijat v dubnu 2016 a vstoupil v platnost dne 25. května 2018. GDPR se především snaží poskytovat jednotná a jasná pravidla pro silnější ochranu údajů, která jsou v digitálním věku již nutností, poskytují jednotlivcům větší kontrolu nad jejich osobními údaji zpracovávanými společnostmi a usnadňují vymáhání práva. GDPR zruší stávající právní akt (směrnice 95/46 / ES) přijatý v roce 1995, který byl členskými státy Evropské unie různě interpretován.

Kromě harmonizace právních předpisů o ochraně údajů v celé EU, se nové nařízení bude dotýkat i neevropských společností, které nabízejí zboží nebo služby, nebo sledují chování rezidentů Evropské unie, a proto zpracovávají jejich osobní údaje. A to vede k extrateritoriální aplikaci zákona. Jinými slovy, firmy všech typů a ze všech odvětví, která jsou usazeny mimo Evropskou unii, ale které v ní podnikají, budou od 25. května 2018 podléhat dodržování GDPR.

Rozšířená pravomoc GDPR je pravděpodobně největší změna směrnice z roku 1995. Dalšími důležitými zásadami stanovenými v GDPR jsou:

Rozšířené práva datových subjektů – Mezi ně patří mimo jiné právo na přístup, právo na přenos údajů a právo na vymazání údajů.
72hodinové oznámení o narušení dat – V případě porušení osobních údajů musí organizace informovat dozorčí orgán nejpozději do 72 hodin poté, co se o tom dozví.
Soukromí podle standardů – organizace musí zajistit, aby jak ve fázi plánování činností zpracování, tak ve fázi provádění jakéhokoli nového produktu nebo služby byly řešeny a prováděny zásady ochrany údajů GDPR a příslušné záruky.
Zodpovědnost – organizace musí zajistit a prokázat soulad se zásadami ochrany údajů v GDPR.

Pokuty za nedodržení GDPR závisí na porušení. V případě porušení osobních údajů (definovaného jako narušení bezpečnosti vedoucího k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému vyzrazení nebo přístupu k osobním údajům přenášeným, uloženým nebo jinak zpracovávaným) je pokuta až 4% ročního celosvětového obratu společnosti nebo 20 milionů EUR, podle toho, která hodnota je vyšší. U jiných porušení ustanovení GDPR je výše pokuty až 2% ročního celosvětového obratu nebo 10 milionů EUR, podle toho, která hodnota je vyšší.

GDPR a Netwrix
Následující seznam obsahuje některé z klíčových ustanovení GDPR, které Netwrix Auditor může pomoci vaší organizaci. Upozorňujeme, že úsilí a postupy potřebné pro splnění požadavků GDPR se mohou lišit v závislosti na konfiguraci systémů organizace, interních postupech, povaze podnikání a dalších faktorech. Provádění níže popsaných postupů nezaručuje shodu se standardem GDPR a nejsou uvedeny všechny ovládací prvky, které může Netwrix Auditor případně podporovat. Toto mapování by mělo sloužit jako referenční příručka, která vám pomůže implementovat zásady a postupy přizpůsobené jedinečné situaci a potřebám vaší organizace.

Netwrix Auditor může pomoci s následujícími ustanoveními článků GDPR:

KAPITOLA II. Zásady

Článek 5. Zásady týkající se zpracování osobních údajů

1. Osobní údaje jsou:
F. Zpracované způsobem, který zajistí přiměřenou bezpečnost osobních údajů, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením za použití vhodných technických nebo organizačních opatření (“integrity a důvěrnosti”).
2. Ředitel odpovídá za odstavec 1 (“odpovědnost”) a je schopen prokázat jeho dodržování.

KAPITOLA IV. Kontrola a zpracování

Článek 24. Odpovědnost správce

1. Při zohlednění povahy, rozsahu, kontextu a účelů zpracování, jakož i rizik různého nebezpečí a závažnosti práv a svobod fyzických osob provádí správce vhodná technická a organizační opatření, aby zajistil a byl schopendoložit, že zpracování probíhá v souladu s tímto nařízením. Tato opatření se v případě potřeby přezkoumají a aktualizují. Ředitel je odpovědný za odstavec 1 (“odpovědnost”) a je schopen prokázat jeho soulad.

Článek 25. Ochrana údajů po návrhu a v selhání

1. S přihlédnutím k nejnovějšímu stavu techniky, nákladů na realizaci a povaze, rozsahu, kontextu a účelu zpracování, jakož i rizika různého nebezpečí a závažnosti práv a svobod fyzických osob, které jsou způsobeny zpracováním, správce by měl, nejen v okamžiku určení prostředků pro zpracování, ale i v době samotného zpracování, provádět příslušná technická a organizační opatření, jako je pseudonémace nebo minimalizace dat;měl by začlenit do procesu zpracování takové záruky a nastavení, aby splňovaly požadavky tohoto nařízení a chránily práva subjektů.

2. Správce provede příslušná technická a organizační opatření tak, aby zajistil, že budou zpracovány pouze ty osobní údaje, které jsou nezbytné pro každý konkrétní účel zpracování. Tato povinnost se vztahuje na všechna shromážděná osobní data, na celý rozsah jejich zpracování, dobu jejich uchovávání a přístupnost. Taková opatření zejména zajistí, aby nebyly osobní údaje zpřístupněny neomezenému počtu fyzických osob bez nutnosti zásahu jednotlivce.

Článek 32. Bezpečnost zpracování

1. S přihlédnutím k nejnovějšímu stavu techniky, nákladů na provádění a povahy, rozsahu, kontextu a účelu zpracování, jakož i riziko rozdílné pravděpodobnosti a závažnosti práv a svobod fyzických osob, provádí kontrolor a zpracovatel příslušná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající rizikům, mimo jiné podle vhodnosti:

b. Schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

c.Schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu;

d. Proces pravidelného testování, hodnocení a vyhodnocování účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.

2. Při posuzování příslušné úrovně zabezpečení účtu se berou v úvahu zejména rizika, která vznikají zpracováním, zejména pak náhodným nebo protiprávním jednáním, ztrátou, změnou, neoprávněným zpřístupněním nebo přístupem k osobním údajům přenášeným, uloženým nebo jinak zpracovávaným.

4. Kontrolor a zpracovatel podniknou takové kroky, aby zajistily, že každá fyzická osoba jednající pod dohledem správce nebo zpracovatele, která má přístup k osobním údajům, je nezpracovává, s výjimkou pokynů od správce, anebo případů, kdy je toto nařízeno státní mocí.

Článek 33. Oznámení o narušení osobních údajů orgánu dozoru

1. V případě porušení osobních údajů musí správce bez zbytečného odkladu a případně nejpozději do 72 hodin poté, co se o něm dozvěděl, oznámit porušení osobních údajů příslušnému orgánu dozoru v souladu s článkem 55, Je nepravděpodobné, že narušení osobních údajů bude mít za následek ohrožení práv a svobod fyzických osob. Není-li oznámení orgánu dozoru učiněno do 72 hodin, musí být uvedeny důvody prodlení.