Blog Archives - gdpr-eu.sk
SSL certifikát – zabezpečte si komunikáciu s klientom

SSL certifikát – zabezpečte si komunikáciu s klientom


SSL certifikát – zabezpečte si komunikáciu s klientom

SSL certifikát sa všeobecne považuje za základný stupeň bezpečnosti webových stránok. Vďaka nemu si zabezpečíte dátovú komunikáciu medzi Vašou stránkou a návštevníkmi, ktorí na ňu prichádzajú. SSL certifikát Vás jasne identifikuje ako bezpečný web a klienti sa nebudú musieť obávať o svoje dáta. Prečo sme však začali článok s touto témou? Samozrejme, ide o systém ochrany a bezpečnosti, ktoré by mal mať každý web, ale skutočnou príčinou je nariadenie GDPR, ktoré čochvíľa vstúpi do platnosti. Každý čoskoro zistí, že si svoje stránky bude musieť zabezpečiť, aby neprišlo k úniku dát a zároveň bude musieť spĺňať prísne bezpečnostné kritéria.

Presná špecifikácia

SSL certifikát je šifrovací kľúč, ktorý zabezpečí ochranu dát pred zneužitím treťou osobou. Výmena dát má teda po správnosti prebiehať iba medzi návštevníkom webu a samotnou webovou stránkou. SSL šifrovací kľúč zabezpečí, aby sa nikto “zvonka” nemohol neoprávnene zmocniť dát, informácie alebo svojvoľne pozmeniť vlastnosti dát. Môže ísť napríklad o prihlasovacie mená, heslá, čísla platobných kariet a pod. Prepojenie medzi webom a návštevníkom funguje na princípe asymetrickej šifry. Každá z komunikujúcich strán má k dispozícii dvojicu šifrovacích kľúčov – a to verejný a súkromný. Verejný kľúč sa musí zverejniť a poskytnúť tým, ktorí ho budú chieť použiť. Pomocou tohto kľúča potom môže ktokoľvek, kto ním disponuje, zašifrovať správu. Tú potom bude môcť rozšifrovať iba majiteľ použíteho verejného kľúča – a to svojím špecifickým súkromným kľúčom.

Kto má SSL certifikát?

Každá stránka zabezpečená SSL certifikátom začínajú na https:// . Prehliadač taktú zabezpečenú stránku označuje aj ikonou zámku na stavovej lište. Novšie prehliadače zobrazujú ikonu zámku aj v riadku adresy a ešte jej prideľujú rôzne farby. Zelená pre úplne vyhovujúcu, oranžová pre čiastočne vyhovujúcu, červenú pre nevyhovujúci certifikát. Takže neváhajte a investujte do bezpečnosti svojich dát.

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Príprava na GDPR. Radšej začať skôr. (VI. diel)

Ako sme už spomínali, nové nariadenie GDPR upravujú povinnosť pre podniky, akým spôsobom a akou formou má byť pre zákazníka (v rámci elektronického obchodu) poskytnutý dodatok so súhlasom na spracovanie osobitných údajov. Ten je potrebné získať od každého človeka pri zbieraní týchto údajov. Súhlas so spracovaním údajov musí byť pre zákazníka jasný, zrozumiteľný a má právo ho kedykoľvek odvolať. Pokiaľ má zákazník záujem na tom, aby ich údaje prevádzkovateľ (u ktorého napr. uskutočnia nákup) zmazal alebo poskytol ich výpis, podnik má povinnosť to urobiť.

Veľmi citlivou záležitosťou sa stane otázka, akým spôsobom firmy zhodnotia, aké informácie a dáta majú k dispozícii a ako s nimi pracujú. Preto budú musieť vykonať hĺbkovú analýzu údajov. Aký je ich pohyb, kde sa nachádzajú, kto sa k nim môže reálne dostať a spôsob, akým sa s nimi nakladá. Jednoducho sa musí minimalizovať riziko ich úniku za každých okolností. Ďalej sa firmy musia zamerať na revízie zmlúv, interných smerníc a dokumentov – všetko pre súlad s novou legislatívou.

Čo zahŕňa príprava

Zákony na ochranu osobných údajov zostávajú stále v platnosti. Firmy si možno myslia, že majú dosť času na vykonanie všetkých zmien, ale keď GDPR nadobudne platnosť, všetko sa zmení. Odporúčame každému, aby toto medziobdobie využil na tvrdú prípravu. Neskôr sa tak môžete vyhnúť nepríjemným prekvapeniam. Čím skôr začnete, tým skôr budete mať po starostiach.

Na aké zmeny sa treba pripraviť:

  • interný audit práce so všetkými dátami
  • stanovenie pravidiel pre spravovanie osobných údajov a dát
  • školenie zamestnancov pre správnu manipuláciu s dátami
  • spôsob šifrovania citlivých dát
  • špecifikovanie určitých spôsobov, ako bude možné dáta prenášať
  • implementácia DLP riešení aby sa minimalizovala chyba zlyhania ľudského faktora
  • záloha dát
  • ochrana proti kybernetickým útokom
  • využitie kvalitného antivírového programu, firewallu a iných nástrojov, ktoré zaistia čo najvyššiu ochranu súkromných dát
Nezabudnite na certifikáciu. GDPR (VI. diel)

Nezabudnite na certifikáciu. GDPR (VI. diel)

Nezabudnite na certifikáciu. GDPR (VI. diel)

Nechávať si veci na poslednú chvíľu je pre nás, Slovákov, typické. Možno sa čudujete, prečo v každom diely naliehavo pripomíname nutnosť prípravy na nariadenie GDPR, ktoré čoskoro vstúpi v platnosť, ale je to nevyhnutné. Vybudovať efektívny systém na ochranu osobných údajov sa nedá stihnúť za posledný mesiac. Musí fungovať bezchybne, v technicky vyhovujúcom stave a zároveň musí byť právne zabezpečený. To dá zabrať väčšine organizácii. Pokiaľ máte firmu, v ktorej spravujete nesmierne veľké množstvá klientských údajov, mali by ste prehodnotiť svoje povinnosti a určiť si nové priority. Okrem technického zabezpečenia sa sústreďte aj na výkon agendy nových práv dotknutých osôb (týka sa to práva na prenosnosť údajov).

GDPR celé stojí na viacerých pilieroch. V prvom rade sa jedná o enormný nárast finančných sankcií za porušenie právnej regulácie ochrany osobných údajov. Po druhé, čo je rovnako dôležité, ide o celkové posilnenie a vynucovanie dodržovania práv dotknutých osôb. Začnú sa efektívne využívať zahraničné dozorné orgány. Uveďme si zaujímavý príklad. Zahraničná osoba nakúpi u nás tovar a príde k neoprávnenej manipulácii s jeho súkromnými dátami. Potom dotknutá osoba podá sťažnosť na svojom tuzemskom dozornom orgáne a ten sa obráti na náš dozorný orgán. Vzápätí nám môžu vyrubiť takú sankčnú sumu, že nás môže úplne pochovať.

GDPR týmto posiňuje práva dotknutých osôb. Zaujímavosťou je, že sa môžu obracať so žalobou aj na všeobecné, teda národné súdy, ak príde k porušeniu nariadenia GDPR. Môže napríklad prísť k úniku klientských údajov. Vtedy nastane situácia, kedy nedostaneme iba pokutu a naša reputácia sa drasticky zníži. Môže to znamenať aj hromadné žaloby. Vtedy už rozhodne nemôžeme hovoriť o “malom” probléme.

Čo spraviť

Vybudovať efektívny a správne fungujúci GDPR Compliance systém. Pokiaľ si ním budete istý, môžete Vám byť udelená dobrovoľná certifikácia (v zmysle článku 42 GDPR), ktorú budú poskytovať certifikačné subjekty na Slovensku (zatiaľ žiadny nemáme). Certifikácia Vám poslúži vo vzťahu k zákazníkom, partnerom a všetkým, ktorý s Vami prídu do styku. Budú do Vás vkladať vyššiu mieru dôvery, keďže budete spĺňať kritéria naprísnejšej právnej regulácie osobných údajov na svete. Certifikácia je objektívnym ukazovateľom vo vzťahu k bezpečnosti a zodpovednosti Vášho biznisu k získaným dátam.

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

OZNÁMENIE PORUŠENIA OSOBNÝCH ÚDAJOV GDPR

Každá organizácia, ktorá spracováva osobné údaje musí zabezpečiť, aby tieto údaje boli riadne chránené pred stratou, krádežou, neoprávneným prístupom atď. Inými slovami, bezpečnosť osobných údajov je veľmi dôležitá. Dôležitá je do takej miery, že samotné GDPR obsahuje pravidlo o oznámení narušenia osobných údajov. Toto pravidlo konkrétne hovorí o tom, že ak dôjde k porušeniu osobných údajov, prevádzkovatelia musia toto porušenie oznámiť kompetentným orgánom. Takýmto orgánom je s najväčšou pravdepodobnosťou ten, v ktorom má prevádzkovateľ hlavnú prevádzku alebo len príslušné zriadenie. Oznámenie sa musí poskytnúť bez zbytočného odkladu a ak je to možné, najneskôr do 72 hodín od jeho zistenia. Ak sa oznámenie nevykoná do 72 hodín, prevádzkovateľ je povinný poskytnúť riadne odôvodnenie.

Takéto narušenie bezpečnosti tiež pravdepodobne povedie k zvýšenému riziku súkromia jednotlivcov, a preto by poškodené osoby mali byť o porušení informované. Toto pravidlo obsahuje kľúčovú výnimku a to v tom prípade, že oznámenie sa nevyžaduje, ak je nepravdepodobné, že by porušenie osobných údajov viedlo k ohrozeniu práv a slobôd fyzických osôb.

„Osobné údaje“ sú v smernici a v GDPR definované ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. V rámci GDPR je porušenie osobných údajov definované ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo neoprávnenému zničeniu, strate, zmenám, neoprávnenému sprístupneniu alebo prístupu k osobným údajom, ktoré sú akýmkoľvek spôsobom spracovávané.

Takéto oznámenie príslušným orgánom musí obsahovať opis povahy porušenia osobných údajov, vrátane počtu dotknutých osôb a záznamov o osobných údajoch, kontaktné informácie o osobe zodpovednej za osobné údaje a dôsledky, ktoré môžu nastať počas porušenia osobných údajov.

NOMINÁCIA ZODPOVEDNEJ OSOBY

NOMINÁCIA ZODPOVEDNEJ OSOBY

NOMINÁCIA ZODPOVEDNEJ OSOBY

Jednou z kľúčových požiadaviek ku GDPR patrí Nominácia zodpovednej osoby alebo Data Protection Officer. Zodpovedná osoba by mala byť súčasťou každého podnikania alebo firmy, ktorá zamestnáva viac ako 250 ľudí. Touto osobou sa myslí právnická alebo externá osoba, ktorú musíte spolu so všetkými verejnými orgánmi alebo orgánmi vymenovať, ako osobu zodpovednú za ochranu údajov.

Máte na výber prenájom osoby zodpovednej za ochranu údajov alebo prácu na zmluvnom základe. Ak sa jedná o skupinu podnikov, tie majú možnosť vymenovať len jednu zodpovednú osobu. V takomto prípade sa očakáva, že zodpovedná osoba zotrvá v pozícii najmenej dva roky a môže byť odvolaná len vtedy, ak nemôže vykonávať svoju funkciu.

Zodpovedná osoba musí mať odborné skúsenosti a znalosti v oblasti ochrany údajov a poučená o nariadeniach EÚ týkajúcich sa ochrany údajov. Požadovaná úroveň odbornosti nie je striktne definovaná, ale musí byť úmerná citlivosti a množstvu údajov, ktoré daná organizácia spracováva. Aj keď to nie je uvedené priamo v nariadeniach, zodpovedná osoba by mala efektívne zdieľať svoje vedomosti a uplatňovať konkrétne postupy.

Od organizácie, s ktorou zodpovedná osoba pracuje sa očakáva, že poskytne potrebné zdroje, ktoré zodpovedná osoba vyžaduje na vykonávanie svojej práce, ako sú kancelárske priestory, zamestnanci, vybavenie a akékoľvek ďalšie potrebné zdroje.

Zodpovedná osoba musí byť včas informovaná o potrebných otázkach a záležitostiach, ktoré sa týkajú spracovania a ochrany údajov. Taktiež vypracováva postupy, ktoré sú v súlade s nariadením, zabezpečuje, aby všetci zamestnanci boli riadne vyškolení v oblasti ochrany údajov a riešili požiadavky verejnosti týkajúce sa ich osobných údajov. Takáto osoba je zodpovedná za monitorovanie a oznamovanie informácií o narušení bezpečnosti osobných údajov a dokumentovanie požiadaviek verejnosti a regulačných orgánov týkajúcich sa odstránenia, zničenia a prístupnosti údajov.

GDPR – treba mať obavy?

GDPR – treba mať obavy?

GDPR – treba mať obavy?

Aj Vás z každej stránky strašia, že potrebujete sa pripraviť na GDPR, lebo inak môžete dostať pokutu 20.000.000 eur alebo 4% z minuloročného obratu? Ale kde je pravda? Sú tieto strašiaky opodstatnené? Či iba niekto chce zarobiť na Vašom strachu a draho Vám predať konzultačné služby, ktoré sú viac menej zbytočné?

Prikladám zopár faktov i otázok na diskusiu ohľadom GDPR.

Q: 25. Mája 2018 bude platné nariadenie GDPR. Čo to pre mňa znamená? 

A: Podľa nariadenia by mali byť všetky systémy podnikom, ktoré spracúvavajú osobné údaje, náležite chránené alebo šifrované, osobné údaje možno spracúvať len v nevyhnutnej miere, možno ich spracúvavať len so súhlasom dotknutých fyzických osôb alebo na základe zákonných podmienok, vymazané v prípade nepotrebnosti alebo na požiadaní dotknutej osoby, do 72 hodín informovať, ak došlo k porušeniu ochrany osobných údajov a mnoho ďalšieho…

Q: Čo je osobný údaj? 

A: Môže to byť akýkoľvek údaj, ktorý jednoznačne vie identifikovať fyzickú osobu priamo i nepriamo, napríklad: Meno, priezvisko, rodné číslo alebo iné ID číslo, email, telefónne číslo, dokonca v niektorých prípadoch aj IP adresa, cookies…

Q: Mám sa obávať GDPR? Môžu ma skontrolovať?

A: Napísanie nariadenia je jedna vec. Úplne iná vec je zavedenie nariadenia do praxe. Toto nariadenie sa má týkať väčšiny podnikov na Slovensku. Týka sa IT systémov, procesov, interných politík v mnohých oblastiach firiem. Firiem sú na Slovensku desaťtisíce. Všetkých ich má skontrolovať jeden Úrad na ochranu osobných údajov. Je takmer isté, že úrad bude zo začiatku personálne poddimenzovaný. To znamená: Firma má čas na úpravu systémov aj po „deadline“ 25. Mája 2018. Hlavne musí začať.

Q: Môžu mi prísť likvidačné pokuty vo výške aj 20.000.000€?

Cieľom EÚ nie je zlikvidovať podnikateľov. Ak by EÚ dala mnoho pokút v maximálnej výške, aký to bude mať dopad? Získa peniaze na pokutách, ale stratí na hospodárskom raste skrachovaných firiem. Inými slovami strata. Aj s tým počítali v regulácii.

Príklad výňatkov z GDPR:

„Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v
rámci vnútorného trhu a ku prospechu fyzických osôb.“

„Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu.“

„ …zabezpečiť voľný tok osobných údajov medzi členskými štátmi.“

Zopár výňatkov z tlačovej správy nášho Úradu na ochranu osobných údajov (link: https://dataprotection.gov.sk/uoou/sk/content/tlacova-sprava-k-pokutam-v-navrhovanom-zakone-o-ochrane-osobnych-udajov-reakcia-na),

  • „… pokuta je vždy uložená subjektu až po dôkladnom posúdení konkrétneho prípadu a zohľadnení všetkých okolností…“
  • „Nie je cieľom uloženia pokuty úradom…  aby bola likvidačná, mala by však mať preventívny a odstrašujúci charakter.“

Uloženie pokuty má byť až posledná možnosť. Úrad má možnosť i napomenúť spoločnosti, aby si dali do poriadku svoje firemné politiky ohľadom ochrany osobných údajov.

Je jasné, že mnoho „konzultačných“ spoločností chce vyťažiť z GDPR, využiť strach majiteľov a manažérov firiem, a predať im predražené služby aj nevhodné riešenia. Odporúčam si ich ponuky premyslieť bez strachu a s chladnou hlavou.

Môžem GDPR aj odignorovať?

Spoločnosť má viacero možností. Môže vyčleniť rozpočet na ochranu osobných údajov, ale môže aj ísť do rizika a túto službu aj odignorovať.

Pripomína to jazdu na diaľnici: Buď jazdíš podľa pravidiel, alebo výrazne prekročíš rýchlosť. Uvedomuješ si, že ťa môžu chytiť a zaplatíš pokutu. O koľko prekročíš rýchlosť? Je ti jasné, že policajných kontrol bude v budúcnosti iba viac.

Aj keď Vás Úrad po 25. Máji 2018 navštíviť nemusí, rozhodne neodporúčam GDPR odignorovať. Treba sa naň postupne pripravovať a uplatňovať ochranu osobných údajov v takej miere, v akej je to finančne, ekonomicky, technicky aj personálne možné. Kontrola môže prísť aj o dva roky. Rozhodne bude mať inú pozíciu firma, ktorá sa o ochranu osobných údajov aspoň snaží, oproti ignorantovi celej regulácie.

Koho sa najviac dotýka GDPR?

Najviac sa na reguláciu musia pripraviť veľké a stredné firmy, ako aj menšie spoločnosti ktoré pracujú s osobnými údajmi (eshopy, emailoví provideri, callcentrá).

Môže niekto nahlásiť, že nemám systém kompatibilný s GDPR? 

Dotknutá osoba (teda fyzická osoba, ktorej údaje spracúvavam) môže požiadať o informácie, akým spôsobom sú údaje o nej spracované. Firma má lehotu jeden, maximálne tri mesiace na odpoveď (čl. 12 GDPR).

V prípade nesplnenia týchto práv, dotknutá osoba má právo podať sťažnosť dozornému orgánu.

Určite sa nájdu hateri, ktorí budú písať mnoho sťažností. Je pravdepodobné, že sťažnosti môže účelovo písať aj konkurencia. Treba sa na to pripraviť a odstrániť nedostatky na najviac viditeľných miestach, napríklad oslovovanie zákazníkov mailom bez súhlasu s marketingovými účelmi v súlade s GDPR.

Zdieľajte nás :)