General Data Protection Regulation

check

GDPR, neboli General Data Protection Regulation, je nové nařízení EU, které začne platit v celé Evropské unii včetně ČR od 25. května 2018.
Stručně řečeno jde o revoluční změnu v oblasti ochrany osobních údajů každého člověka, kdy bude povinné zabezpečit proti úniku osobní údaje zákazníků, zaměstnanců apod. pro jakýkoliv subjekt shromažďující takového údaje.

ing_19061_146836a

To vše pod extrémními pokutami, které mohou být pro danou společnost až likvidační. Zároveň došlo k rozšíření specifikace, co vlastně „osobní údaj“ přesně znamená, jde o údaje počínaje jménem, fotografií, e-mailovou adresou, ale patří sem i údaje týkající se bankovního spojení, lékařské informace, emailovou adresu nebo IP adresu počítače aj.

 

check

GDPR má tak výrazný dopad na správu identit. Regulační nařízení GDPR se vztahuje na všechny organizace zpracovávající data zákazníků i svých zaměstnanců.

ing_19064_02168b

Řešením, jak zajistit soulad s požadavky bezpečného zacházení s osobními údaji, je vybudování souborných opatření v oblasti právní, procesní a technologické. Z technologického pohledu je primárním způsobem ochrany bezpečné uložení dat, bezpečná manipulace s daty a zároveň zabezpečení přístupů k těmto datům pouze oprávněným osobám. Proto GDPR zásadním způsobem ovlivňuje oblast správy identit. Nutné je evidovat, kdo má přístup k osobním údajům, jakým způsobem a na základě jakého pravidla je mu tento přístup umožněn.

check

Prvním z těchto kroků je vytvoření uceleného obrazu o tom, kde jsou citlivé údaje uloženy, tedy v jakých systémech a jakým způsobem mají být data chráněna. Ještě před několika lety to bylo poměrně jednoduché, většina informací byla uložena ve strukturovaných databázích nebo aplikacích, které mohly být uzamčeny. Dnes jsou tato data rozmístěna v aplikacích jako jsou crm, dokumenty na sharepointu, v ekonomických systémech a mnoha dalších.

business-1012761_1920

Informatici dnes mají těžkou situaci v tom smyslu, že musí správně kombinovat bezpečnost a uživatelskou přívětivost. Firemní uživatelé chtějí pohodlí, ale zároveň je nutné, aby data byla zabezpečená. Nutností se tedy stává zajištění bezpečnosti přístupů v rámci celého životního cyklu zaměstnance, tedy od jeho nástupu, přes změnu pracovního zařazení až po jeho odchod ze společnosti, což je klíčový okamžik pro zamezení ztráty osobních dat.

 

Organizace by proto měly realizovat kroky, které tato pravidla naplní a zabezpečí tak ochranu citlivých osobních údajů, které jsou zpracovávány v rámci činnosti společnosti.

GDPR má významný dopad na ty společnosti, které doposud nezavedly řízení přístupů na základě business rolí, tedy podle pracovní činnosti uživatele. Naši specialisté se dlouhodobě věnují poradenství v oblasti definice business rolí, definice správy uživatelských účtů a přístupů k informacím na základě pracovní náplně uživatelů. Poradenství v této oblasti můžeme nabídnout i organizacím, které již Identity Management zavedený mají, ale zatím bez definovaných procesů správy business rolí.

 

 

Organizace, které nebudou schopné zabezpečit ochranu osobních údajů, budou čelit vysokým pokutám ve výši až 550 miliónů korun. Společnosti se tak musí zaměřit na zajištění přístupů k citlivým datům pouze na základě nutných oprávnění a řídit přístup k informacím uloženým jednak v aplikacích, v datových souborech např. na sdílených úložištích, a to bez ohledu na to, zda jsou data umístěná v cloudu nebo na serverech přímo u zákazníka.

Tato úroveň správy zamezuje možnosti úniku informací a naprosto minimalizuje riziko vystavení extrémní pokuty za nedodržování pravidel ochrany zákaznických osobních údajů.

Spolupracujeme s certifikovanými odborníky na GDPR, můžeme zajistit odborné konzultace, doporučit odborné garanty a poskytnout zaškolení na GDPR.

ing_33594_66341a