IT a zabezpečení

GDPR se týká nejen samotného zpracování osobních údajů, ale také zabezpečení těchto dat a práce s nimi. Na co vše si při přípravě v oblasti IT máte dát pozor, se dozvíte v dalších kapitolách.

GDPR se do velké míry dotkne ukládání elektronických i listinných dat. Správce nebo případný zpracovatel bude muset tato data zabezpečit a přijmout další opatření, kterými omezí možnosti úniku těchto dat.

Doporučujeme si zhodnotit současný stav přístupových oprávnění k datům a osobním údajů potřebných k jednotlivým činnostem zpracování. V případě zjištění, že některá skupina uživatelů nepotřebuje přístup k některým datům, omezte jejich přístup a toto rozhodnutí zdokumentujte (nejlépe i v záznamech o činnostech zpracování). V případě potenciálního úniku dat pak dozorovému úřadu můžete doložit seznam opatření, kterými jste se únik snažili minimalizovat. Podobná opatření by měla být dle vyjádření Úřadu pro ochranu osobních údajů polehčující okolností při stanovení výše sankce za únik osobních údajů.

Tato kapitola se pojí ještě s kapitolou 18 o směrnicích, které vydává vedení organizace a jsou platné pro zaměstnance organizace. Obsahem těchto směrnic můžete po právní stránce zaměstnancům zakázat některé činnosti při zpracování osobních údajů. Např. nahrávat si firemní data do soukromých mobilních telefonů, nefotografovat smlouvy obsahující osobní údaje a další.

 

V případě, že dojde k doupřesnění požadavků na IT zabezpečení ze strany Pracovní skupiny WP29 nebo ÚOOÚ, budeme tuto kapitolu aktualizovat.

V plné verzi naleznete kapitoly, které se podrobně věnuji šifrování, bezpečnému zasílání osobních údajů emailem, levnému řešení šifrovaných flash disků, ukládání a zobrazování dat na mobilních telefonech, tabletech a počítačích a to včetně doporučení jak lze využít soukromé zařízení zaměstnanců v souladu s GDPR a mít neustálou kontrolu nad firemními daty i při ztrátě zařízení nebo odcizení.