gdpr-eu, Author at gdpr-eu.sk
SSL certifikát – zabezpečte si komunikáciu s klientom

SSL certifikát – zabezpečte si komunikáciu s klientom


SSL certifikát – zabezpečte si komunikáciu s klientom

SSL certifikát sa všeobecne považuje za základný stupeň bezpečnosti webových stránok. Vďaka nemu si zabezpečíte dátovú komunikáciu medzi Vašou stránkou a návštevníkmi, ktorí na ňu prichádzajú. SSL certifikát Vás jasne identifikuje ako bezpečný web a klienti sa nebudú musieť obávať o svoje dáta. Prečo sme však začali článok s touto témou? Samozrejme, ide o systém ochrany a bezpečnosti, ktoré by mal mať každý web, ale skutočnou príčinou je nariadenie GDPR, ktoré čochvíľa vstúpi do platnosti. Každý čoskoro zistí, že si svoje stránky bude musieť zabezpečiť, aby neprišlo k úniku dát a zároveň bude musieť spĺňať prísne bezpečnostné kritéria.

Presná špecifikácia

SSL certifikát je šifrovací kľúč, ktorý zabezpečí ochranu dát pred zneužitím treťou osobou. Výmena dát má teda po správnosti prebiehať iba medzi návštevníkom webu a samotnou webovou stránkou. SSL šifrovací kľúč zabezpečí, aby sa nikto “zvonka” nemohol neoprávnene zmocniť dát, informácie alebo svojvoľne pozmeniť vlastnosti dát. Môže ísť napríklad o prihlasovacie mená, heslá, čísla platobných kariet a pod. Prepojenie medzi webom a návštevníkom funguje na princípe asymetrickej šifry. Každá z komunikujúcich strán má k dispozícii dvojicu šifrovacích kľúčov – a to verejný a súkromný. Verejný kľúč sa musí zverejniť a poskytnúť tým, ktorí ho budú chieť použiť. Pomocou tohto kľúča potom môže ktokoľvek, kto ním disponuje, zašifrovať správu. Tú potom bude môcť rozšifrovať iba majiteľ použíteho verejného kľúča – a to svojím špecifickým súkromným kľúčom.

Kto má SSL certifikát?

Každá stránka zabezpečená SSL certifikátom začínajú na https:// . Prehliadač taktú zabezpečenú stránku označuje aj ikonou zámku na stavovej lište. Novšie prehliadače zobrazujú ikonu zámku aj v riadku adresy a ešte jej prideľujú rôzne farby. Zelená pre úplne vyhovujúcu, oranžová pre čiastočne vyhovujúcu, červenú pre nevyhovujúci certifikát. Takže neváhajte a investujte do bezpečnosti svojich dát.

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Ako sme už spomínali, nové nariadenie GDPR upravujú povinnosť pre podniky, akým spôsobom a akou formou má byť pre zákazníka (v rámci elektronického obchodu) poskytnutý dodatok so súhlasom na spracovanie osobitných údajov. Ten je potrebné získať od každého človeka pri zbieraní týchto údajov. Súhlas so spracovaním údajov musí byť pre zákazníka jasný, zrozumiteľný a má právo ho kedykoľvek odvolať. Pokiaľ má zákazník záujem na tom, aby ich údaje prevádzkovateľ (u ktorého napr. uskutočnia nákup) zmazal alebo poskytol ich výpis, podnik má povinnosť to urobiť.

Veľmi citlivou záležitosťou sa stane otázka, akým spôsobom firmy zhodnotia, aké informácie a dáta majú k dispozícii a ako s nimi pracujú. Preto budú musieť vykonať hĺbkovú analýzu údajov. Aký je ich pohyb, kde sa nachádzajú, kto sa k nim môže reálne dostať a spôsob, akým sa s nimi nakladá. Jednoducho sa musí minimalizovať riziko ich úniku za každých okolností. Ďalej sa firmy musia zamerať na revízie zmlúv, interných smerníc a dokumentov – všetko pre súlad s novou legislatívou.

Čo zahŕňa príprava

Zákony na ochranu osobných údajov zostávajú stále v platnosti. Firmy si možno myslia, že majú dosť času na vykonanie všetkých zmien, ale keď GDPR nadobudne platnosť, všetko sa zmení. Odporúčame každému, aby toto medziobdobie využil na tvrdú prípravu. Neskôr sa tak môžete vyhnúť nepríjemným prekvapeniam. Čím skôr začnete, tým skôr budete mať po starostiach.

Na aké zmeny sa treba pripraviť:

  • interný audit práce so všetkými dátami
  • stanovenie pravidiel pre spravovanie osobných údajov a dát
  • školenie zamestnancov pre správnu manipuláciu s dátami
  • spôsob šifrovania citlivých dát
  • špecifikovanie určitých spôsobov, ako bude možné dáta prenášať
  • implementácia DLP riešení aby sa minimalizovala chyba zlyhania ľudského faktora
  • záloha dát
  • ochrana proti kybernetickým útokom
  • využitie kvalitného antivírového programu, firewallu a iných nástrojov, ktoré zaistia čo najvyššiu ochranu súkromných dát
Nezabudnite na certifikáciu. GDPR (VI. diel)

Nezabudnite na certifikáciu. GDPR (VI. diel)

Nezabudnite na certifikáciu. GDPR (VI. diel)

Nechávať si veci na poslednú chvíľu je pre nás, Slovákov, typické. Možno sa čudujete, prečo v každom diely naliehavo pripomíname nutnosť prípravy na nariadenie GDPR, ktoré čoskoro vstúpi v platnosť, ale je to nevyhnutné. Vybudovať efektívny systém na ochranu osobných údajov sa nedá stihnúť za posledný mesiac. Musí fungovať bezchybne, v technicky vyhovujúcom stave a zároveň musí byť právne zabezpečený. To dá zabrať väčšine organizácii. Pokiaľ máte firmu, v ktorej spravujete nesmierne veľké množstvá klientských údajov, mali by ste prehodnotiť svoje povinnosti a určiť si nové priority. Okrem technického zabezpečenia sa sústreďte aj na výkon agendy nových práv dotknutých osôb (týka sa to práva na prenosnosť údajov).

GDPR celé stojí na viacerých pilieroch. V prvom rade sa jedná o enormný nárast finančných sankcií za porušenie právnej regulácie ochrany osobných údajov. Po druhé, čo je rovnako dôležité, ide o celkové posilnenie a vynucovanie dodržovania práv dotknutých osôb. Začnú sa efektívne využívať zahraničné dozorné orgány. Uveďme si zaujímavý príklad. Zahraničná osoba nakúpi u nás tovar a príde k neoprávnenej manipulácii s jeho súkromnými dátami. Potom dotknutá osoba podá sťažnosť na svojom tuzemskom dozornom orgáne a ten sa obráti na náš dozorný orgán. Vzápätí nám môžu vyrubiť takú sankčnú sumu, že nás môže úplne pochovať.

GDPR týmto posiňuje práva dotknutých osôb. Zaujímavosťou je, že sa môžu obracať so žalobou aj na všeobecné, teda národné súdy, ak príde k porušeniu nariadenia GDPR. Môže napríklad prísť k úniku klientských údajov. Vtedy nastane situácia, kedy nedostaneme iba pokutu a naša reputácia sa drasticky zníži. Môže to znamenať aj hromadné žaloby. Vtedy už rozhodne nemôžeme hovoriť o “malom” probléme.

Čo spraviť

Vybudovať efektívny a správne fungujúci GDPR Compliance systém. Pokiaľ si ním budete istý, môžete Vám byť udelená dobrovoľná certifikácia (v zmysle článku 42 GDPR), ktorú budú poskytovať certifikačné subjekty na Slovensku (zatiaľ žiadny nemáme). Certifikácia Vám poslúži vo vzťahu k zákazníkom, partnerom a všetkým, ktorý s Vami prídu do styku. Budú do Vás vkladať vyššiu mieru dôvery, keďže budete spĺňať kritéria naprísnejšej právnej regulácie osobných údajov na svete. Certifikácia je objektívnym ukazovateľom vo vzťahu k bezpečnosti a zodpovednosti Vášho biznisu k získaným dátam.

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

Každá organizácia, ktorá spracováva osobné údaje musí zabezpečiť, aby tieto údaje boli riadne chránené pred stratou, krádežou, neoprávneným prístupom atď. Inými slovami, bezpečnosť osobných údajov je veľmi dôležitá. Dôležitá je do takej miery, že samotné GDPR obsahuje pravidlo o oznámení narušenia osobných údajov. Toto pravidlo konkrétne hovorí o tom, že ak dôjde k porušeniu osobných údajov, prevádzkovatelia musia toto porušenie oznámiť kompetentným orgánom. Takýmto orgánom je s najväčšou pravdepodobnosťou ten, v ktorom má prevádzkovateľ hlavnú prevádzku alebo len príslušné zriadenie. Oznámenie sa musí poskytnúť bez zbytočného odkladu a ak je to možné, najneskôr do 72 hodín od jeho zistenia. Ak sa oznámenie nevykoná do 72 hodín, prevádzkovateľ je povinný poskytnúť riadne odôvodnenie.

Takéto narušenie bezpečnosti tiež pravdepodobne povedie k zvýšenému riziku súkromia jednotlivcov, a preto by poškodené osoby mali byť o porušení informované. Toto pravidlo obsahuje kľúčovú výnimku a to v tom prípade, že oznámenie sa nevyžaduje, ak je nepravdepodobné, že by porušenie osobných údajov viedlo k ohrozeniu práv a slobôd fyzických osôb.

„Osobné údaje“ sú v smernici a v GDPR definované ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. V rámci GDPR je porušenie osobných údajov definované ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo neoprávnenému zničeniu, strate, zmenám, neoprávnenému sprístupneniu alebo prístupu k osobným údajom, ktoré sú akýmkoľvek spôsobom spracovávané.

Takéto oznámenie príslušným orgánom musí obsahovať opis povahy porušenia osobných údajov, vrátane počtu dotknutých osôb a záznamov o osobných údajoch, kontaktné informácie o osobe zodpovednej za osobné údaje a dôsledky, ktoré môžu nastať počas porušenia osobných údajov.

NOMINÁCIA ZODPOVEDNEJ OSOBY

NOMINÁCIA ZODPOVEDNEJ OSOBY

NOMINÁCIA ZODPOVEDNEJ OSOBY

Jednou z kľúčových požiadaviek ku GDPR patrí Nominácia zodpovednej osoby alebo Data Protection Officer. Zodpovedná osoba by mala byť súčasťou každého podnikania alebo firmy, ktorá zamestnáva viac ako 250 ľudí. Touto osobou sa myslí právnická alebo externá osoba, ktorú musíte spolu so všetkými verejnými orgánmi alebo orgánmi vymenovať, ako osobu zodpovednú za ochranu údajov.

Máte na výber prenájom osoby zodpovednej za ochranu údajov alebo prácu na zmluvnom základe. Ak sa jedná o skupinu podnikov, tie majú možnosť vymenovať len jednu zodpovednú osobu. V takomto prípade sa očakáva, že zodpovedná osoba zotrvá v pozícii najmenej dva roky a môže byť odvolaná len vtedy, ak nemôže vykonávať svoju funkciu.

Zodpovedná osoba musí mať odborné skúsenosti a znalosti v oblasti ochrany údajov a poučená o nariadeniach EÚ týkajúcich sa ochrany údajov. Požadovaná úroveň odbornosti nie je striktne definovaná, ale musí byť úmerná citlivosti a množstvu údajov, ktoré daná organizácia spracováva. Aj keď to nie je uvedené priamo v nariadeniach, zodpovedná osoba by mala efektívne zdieľať svoje vedomosti a uplatňovať konkrétne postupy.

Od organizácie, s ktorou zodpovedná osoba pracuje sa očakáva, že poskytne potrebné zdroje, ktoré zodpovedná osoba vyžaduje na vykonávanie svojej práce, ako sú kancelárske priestory, zamestnanci, vybavenie a akékoľvek ďalšie potrebné zdroje.

Zodpovedná osoba musí byť včas informovaná o potrebných otázkach a záležitostiach, ktoré sa týkajú spracovania a ochrany údajov. Taktiež vypracováva postupy, ktoré sú v súlade s nariadením, zabezpečuje, aby všetci zamestnanci boli riadne vyškolení v oblasti ochrany údajov a riešili požiadavky verejnosti týkajúce sa ich osobných údajov. Takáto osoba je zodpovedná za monitorovanie a oznamovanie informácií o narušení bezpečnosti osobných údajov a dokumentovanie požiadaviek verejnosti a regulačných orgánov týkajúcich sa odstránenia, zničenia a prístupnosti údajov.

Zdieľajte nás :)