Jak v souladu s GDPR zajistit povinnost ohlášení incidentu do 72 hodin od zjištění?

8. 2. 2018. (redaktor: František Doupal, zdroj: GFI)
Společnost GFI Software upozorňuje, že mezi zpřísněnými požadavky vyplývajícími z GDPR je povinnost oznámit příslušným orgánům dozoru narušení bezpečnosti osobních údajů a vést záznamy o prováděném zpracovávání. To zvyšuje nároky na IT infrastrukturu podniků a organizací v oblasti bezpečnostního monitoringu a dokumentace incidentů.

Kromě z toho vyplývající nutnosti upozornit na narušení do 72 hodin od prvního zjištění, ukládá povinnost GDPR správcům
a zpracovatelům udržovat detailní dokumentaci (audit trail) o incidentu, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření. Pro organizace zaměstnávající méně než 250 osob sice existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria, ale mnoho organizací na ni nedosáhne.

„Prevence a minimalizace škod z narušení osobních údajů jsou sice nejvyšší prioritou, ale pokud jde o soulad s GDPR, zásadní je také dokumentace – zákazníci musejí být nejen schopni reagovat, ale také později přesně prokázat, kdy a jak reagovali,“ řekl Zdeněk Bínek z distribuční společnosti Zebra systems.„Ačkoliv se řada organizací domnívá, že jejich současná bezpečnostní infrastruktura požadavky GDPR pokrývá, ve skutečnosti neřeší některé nové povinnosti včetně právě ohlašování a dokumentace incidentů. To odpovídá i našim aktuálním zjištěním, kdy je na GDPR plně připravena méně než pětina českých a slovenských podniků.“

Na trhu je dostupná řada vhodných řešení. Operační systém Windows Server sice poskytuje záznamy o bezpečnostních událostech, ale bez dedikovaného nástroje, který by dokázalo snadno rozpoznat podezřelou aktivitu v reálném čase pro co nejrychlejší reakci, může být hledání v záznamech složité. S monitoringem bezpečnostních událostí a s nastavením upozornění k detekci hrozeb v cloudu může pomoci Microsoft Azure Security Center.

Nejefektivnější přehled o bezpečnosti – včetně zásad, mechanismů, činností a aplikací – dodávají specializovaná řešení, jako je například software pro správu událostí GFI EventsManager umožňující rychlejší reakci na incidenty. Nástroj poskytuje třívrstvou konsolidaci dat ze záznamů připravenou pro oznamování nadřízeným autoritám v souladu s GDPR, navíc chráněnou dvoufaktorovou autentizací. Tyto informace mohou být nápomocné již ve fázi posuzování vlivu implementovaných opatření na ochranu osobních údajů (DPIA).

Štítky: 
GDPR, GFI Software

Podobné články

Účtování aneb co přinesly tři roky s GDPR pro e-mailový marketing?

28. 5. 2021. (redaktor: František Doupal, zdroj: Webkomplet)
Den, po kterém již nebude nic jako dřív – tak byl mnohdy z pohledu e-mailingu vnímán 25. květen 2018. Na scéně se objevilo GDPR, jež zásadně promluvilo do možností fungování (nejen) tohoto marketingového nástroje. Čtěte více

Co přinesly dva roky s GDPR?

27. 5. 2020. (redaktor: František Doupal, zdroj: dTest)
Obecné nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), nabylo účinnosti 25. května 2018. Kolem tohoto data se zdálo, že nastává naprostá právní revoluce a „nezůstane kámen na kameni“. Dva roky účinnosti nařízení však ukázaly klidnější vývoj, i když rozhodně nelze tvrdit, že se nedělo nic zajímavého. Čtěte více

Spotřebitelé volají po důslednější ochraně osobních údajů

6. 12. 2019. (redaktor: František Doupal, zdroj: EY)
Devět 9 z 10 Čechů je velmi opatrných při zveřejňování osobních a finančních údajů na internetu, i když jde o web značky, kterou zná. Skoro třetina z nás (31 %) souhlasí s tvrzením, že nabídka komunikačních služeb je velmi složitá. Mimo televizi sleduje filmy přes jiná zařízení 62 % Čechů, v zahraničí je to třetina domácností. Čtěte více

GDPR: Zažíváme klid před bouří?

22. 7. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Čtěte více