digmia-fuska

Digmia raňajky – jar 2018 v duchu GDPR

Tohtoročné Digmia raňajky sa konali tradične v našich priestoroch na Lazaretskej 12 v Bratislave. Témy prednášok sa niesli v duchu GDPR. Ako prvý prednášal Peter Fuska, riaditeľ spoločnosti Digmia o praktických skúsenostiach s prípravou na GDPR. Ďalšími prednášajúcimi boli hostia z Binary Confidence (Peter Kleinert) a zo spoločnosti Safetica (Ľuboš Urbančok), ktorí predstavili podporné IT nástroje pre dodržiavanie nového nariadenia. GDPR sa netýka len veľkých firiem, ak si nie ste istý, či sa týka aj vás, skúste vyplniť tento dotazník: https://ready4gdpr.sk/.

Ako na nové nariadenie?

Reálne skúsenosti s prípravou na ochranu osobných údajov po novom

Na prvej prednáške porozprával Peter Fuska o ochrane osobných údajov v podmienkach Slovenskej Republiky. Predstavil aj reálne skúsenosti z analýzy súladu firiem s nariadením a najčastejšie zistenia nesúladu s nariadením podľa funkčných oblastí (ľudské zdroje, marketing, predaj, financie a IT). Nariadenie GDPR patrí asi k najväčším, ktoré EU schválila a aplikuje celoplošne. Pripravovalo sa 4 roky a nadobúda účinnosť 25.05.2018. Nariadenie prináša zvýšenú ochranu fyzických osôb v oblasti spracovávania osobných údajov a rozširuje rozsah práv pre fyzické osoby.

Čo robiť v prípade úniku osobných údajov?

Po novom, ak dôjde k incidentu, napríklad k strate alebo krádeži osobných údajov, je zodpovedná osoba povinná nahlásiť bezpečnostný incident do 72 hodín. Je dôležité vyhodnotiť závažnosť incidentu – napríklad ak ukradnú notebook zamestnancovi, ktorý má šifrovaný disk, je malá pravdepodobnosť, že údaje budú zneužité. Ak však ukradnú notebook lekárovi, ktorý nemal šifrovaný disk a má na notebooku údaje pacientov, je riziko zneužitia vysoké. Rovnako ako aj notebooky personálnych agentúr, ktoré robia posudky. Incident sa nahlasuje v prípade, že riziko zneužitia osobných údajov môže byť vysoké.

Rozširuje sa rozsah práv pre fyzické osoby Zároveň sa rozširuje rozsah práv, ktoré si môžu fyzické osoby uplatniť pri spracúvaní osobných údajov. Medzi ne patrí napríklad právo na vymazanie. Je to nové právo, ktoré hovorí o tom, že osoba, ktorá vám dala právo na spracúvanie osobných údajov, vám ho môže aj vziať. Ďalej môže požiadať aj o obmedzenie spracovania. Zároveň môžete napríklad namietať na profilovanie. Ďalej máte právo na prístup k osobným údajom.

Najčastejšie zistenia v jednotlivých funkčných oblastiach

Digmia pri implementácii GDPR pre firmy štandardne postupuje tak, že prvým krokom je audit všetkých uchovávaných a spracúvaných dát. Najčastejšie zistenia z analýz: • Ľudské zdroje • Retencia osobných údajov neúspešných kandidátov/bývalých pracovníkov (pominutie účelu) – CV a motivačné listy boli vo firmách niekoľko rokov po tom, ako bol už iný kandidát vybratý. • Zber osobných údajov nad rámec účelu, nezabezpečená mailová komunikácia s obsahom osobných údajov – napríklad preposielanie životopisov mailom tretím stranám alebo na súkromný email • Predaj a marketing • Chýbajúci explicitný súhlas klientov na spracovanie osobných údajov (nie ako súčasť VOP) - doteraz sa to riešilo iba v rámci všeobecných obchodných podmienok, čo už dnes nie je prípustné • Dodávateľsko-odberateľské vzťahy • Nedostatočný zmluvný podklad s obchodnými partnermi pre spracúvanie osobných údajov • Informačné systémy a technológie • Chýbajúce šifrovanie (na úrovni disku, na úrovni prenosu dát v sieti) • Overenie prístupu: 2-faktorová autentifikácia pri prístupe k citlivým osobným údajom • Jednoznačné oddelenie súkromných a firemných osobných údajov na zariadeniach (notebook, mobilný telefón)

Celú prednášku si môžete pozrieť na videu:

Skenery zraniteľností

Na druhej prednáške porozprával Peter Kleinert, technický riaditeľ spoločnosti Binary Confidence, o možnosti využiť skenery zraniteľností pri plnení nariadenia GDPR. O čo sa jedná?

Sken zraniteľnosti je plne automatizovaný audit, ktorý môže okamžite odhaliť zraniteľnosti, ktoré môžu viesť aj k únikom osobných dát. Slúžia ako prevencia pred možnými únikmi firemných dát.

Celú prednášku si môžete pozrieť na videu:

Prečo chrániť firemné dáta s DLP?

V poslednej prednáške Ľuboš Urbančok, Country manager spoločnosti safetica, predstavil produkt, ktorý vás ochráni pred interným únikom firemných dát. DLP, data loss prevention, chráni zamestnancov pred vlastnými chybami a firmy pred únikom dát.

Na čo je dobré DLP?

Použitie DLP znižuje napríklad riziko straty reputácie, konkurenčných výhod a peňazí. Udržuje vaše dáta v bezpečí a pomáha plniť GDPR. Na to, aby ste mohli aplikovať bezpečnostnú politiku na dáta, musíte mať prehľad, čo sa s dátami deje na koncových staniciach (notebooky, mobilné telefóny, tablety).

DLP v praxi

Predstavte si napríklad, že na koncovej stanici sa nachádza životopis. Vďaka DLP užívateľ nemôže poslať toto CV.

Pomocou tohto nástroja viete vytvoriť pravidlá – napríklad, že užívateľ nebude môcť uploadnúť zmluvy alebo životopisy na verejné úložisko, akým je napríklad zoznam.sk alebo uloz.to.

DLP udáva hranice, v ktorých sa môžu užívatelia pohybovať. Vynucuje dodržiavanie bezpečnostných smerníc GDPR. Ďalším príkladom môže byť zákaz tlačenia niektorých dokumentov alebo print screen obrazovky napríklad keď sa jedná o technické nákresy.

Celú prednášku si môžete pozrieť tu:

Podobné blogy