Ste povinní vo svojej spoločnosti zo zákona vymenovať zodpovednú osobu podľa GDPR či manažéra kybernetickej bezpečnosti? Chcete ich vymenovať len preto, aby ste splnili zákonné požiadavky? Ich vymenovanie môže byť pre vašu bezpečnosť veľmi prínosné. Každé zariadenie má návod na použitie, podľa ktorého ho treba používať, aby fungovalo správne. Je potrebné predchádzať tomu, aby sa stroj zasekol a nebola známa príčina. Na tento účel je potrebné vykonávať kontroly a revízie, ktorými vieme predísť neočakávaným poruchám, alebo ich negatívne dopady na zariadenie minimalizovať. Obdobne by mal platiť kontrolný a preventívny prístup aj vo vzťahu k prevereniu nastavených pravidiel bezpečnosti a spracúvania osobných údajov. Pravidelné a kontrolované preverovanie nastavených pravidiel odhalí nedostatky, ktoré zatiaľ neviedli ku žiadnym škodám a pomôže zlepšiť všetky kontrolované oblasti tak, aby záverom takejto činnosti bolo zlepšenie odolnosti systémov a prípadné prepracovanie riadenia prístupov, ktoré sa ukázali ako nedostatočné alebo zastarané.
Kto určuje pravidlá v oblasti bezpečnosti?
Pravidlá a postupy v oblasti bezpečnosti sú ustanovené jednak legislatívou, no v podstatnejšej miere technickými normami. Pre oblasť kybernetickej bezpečnosti je základným predpisom zákon o kybernetickej bezpečnosti a naň nadväzujúce vyhlášky a technické normy. V oblasti ochrany a spracúvania osobných údajov je základom GDPR a naň nadväzujúce usmernenia Európskeho výboru pre ochranu údajov, ktoré majú záväzný charakter a do určitej miery vysvetľujú a konfrontujú články Nariadenia s realitou prevádzkovateľa.
Ak viete podľa čoho postupovať, poznáte legislatívu a technické normy, aplikujete ich, je potrebné, aby ste zamestnávali, alebo mali externe zazmluvnené osoby, ktoré majú kompetencie a kvalifikáciu na to, aby legislatívne a technické požiadavky uvádzali do praxe priamo vo vašom prostredí. Pre takéto osoby sa zväčša vyžaduje vzdelanie v konkrétnej špecifickej oblasti, pričom je niekedy priamo vyžadovaná aj certifikácia akreditovaným orgánom posudzovania zhody. Skúsenosti z praxe a predpísaný typ vzdelania je bežná požiadavka, zahrnutá aj v certifikačných schémach.
Zodpovedná osoba, ako interný kontrolór správneho nastavenia spracúvania osobných údajov
Osobou dozerajúcou na spracúvanie osobných údajov v prostredí konkrétneho prevádzkovateľa, či sprostredkovateľa je zodpovedná osoba, alebo DPO (z angl. Data Protection Officer). GDPR stanovuje, ktorý prevádzkovateľ má povinnosť zodpovednú osobu určiť vždy. Inak platí, že prevádzkovateľ si ju určiť nemusí, ale môže, pokiaľ to vníma ako benefit. Je dôležité poznamenať, že zodpovedné osoby nenesú osobnú zodpovednosť za nesplnenie povinností vyplývajúcich z GDPR, túto znáša prevádzkovateľ alebo sprostredkovateľ, ktorý ju musí zabezpečiť a byť schopný preukázať, že spracúvanie sa vykonáva v súlade s GDPR.
Podstatným z hľadiska postavenia zodpovednej osoby je, že procesy spracúvania by nemala nastavovať, ale sa k ich nastavovaniu vyjadrovať, usmerňovať prevádzkovateľa a radiť mu. A čo je veľmi dôležité, mala by mať „prepojenie priamo“ na vedenie organizácie. Zodpovedná osoba by nemala byť „stratená v preklade“ organizačnej štruktúry, z ktorej hlbín sa jej rady a odporúčania smerom k vedeniu organizácie nedostanú.
Prevádzkovateľ alebo sprostredkovateľ má takisto kľúčovú úlohu, a to umožniť zodpovednej osobe účinne plniť jej úlohy. Vypočuť si jej rady a pripomienky, a v čo najväčšej miere ich zapracovať a zohľadniť.
Poverenie zodpovednej osoby „len aby bola“ je síce naplnením legislatívnych požiadaviek, ale nie je prínosom pre prevádzkovateľa. Určenie zodpovednej osoby „zodpovedne“ je prvým krokom, ktorý ruka v ruke s dostatočnou nezávislosťou a zdrojmi na účinné vykonávanie úloh DPO má zabezpečiť, že jej funkcia bude efektívna a pre prevádzkovateľa prínosná.
Pokiaľ ide o činnosti a fungovanie zodpovednej osoby táto by mala byť dostupná a mala by skutočne vykonávať svoje kompetencie. Pozíciu zodpovednej osoby by mal zastávať človek určený na základe odborných kvalít, znalostí práva a postupov v oblasti ochrany údajov, teda vybraný na základe spôsobilosti plniť úlohy uvedené v článku 39 GDPR.
V súhrne základných faktov o zodpovednej osobe platí, že je možné, aby ňou bol interný zamestnanec prevádzkovateľa, či sprostredkovateľa, alebo aby si prevádzkovateľ zodpovednú osobu určil zvonka. V takom prípade spolupráca bude prebiehať na základe zmluvy, či dohody o vykonaní práce.
Manažér kybernetickej bezpečnosti, osoba zaisťujúca odolnosť organizácie voči kybernetickým bezpečnostným hrozbám
Tak, ako v oblasti osobných údajov pôsobí v priamom spojení s vedením organizácie zodpovedná osoba, tak v oblasti kybernetickej bezpečnosti má zákonom o kybernetickej bezpečnosti ustanovené postavenia a úlohy manažér kybernetickej bezpečnosti.
V zmysle zákona o kybernetickej bezpečnosti bezpečnostné opatrenia musia zahŕňať najmenej určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti. Teda obdobne, ako zodpovedná osoba, aj manažér kybernetickej bezpečnosti má byť nezávislý od štruktúry riadenia prevádzky, teda od štruktúry organizácie a má mať priame spojenie s vedením, so štatutárom spoločnosti, či iným riadiacim orgánom.
Obdobne, ako zodpovedná osoba, ani manažér kybernetickej bezpečnosti by nemal priamo riadiť alebo sa podieľať na prevádzke IT, práve naopak, mal by byť bezpečnostným protipólom útvarov vývoja alebo prevádzky IT.
Platí tiež, že to musí byť osoba, ktorá spĺňa zákonom ustanovené znalostné štandardy a tiež má zákonom predpísanú prax v oblasti riadenia IT služieb, informačnej bezpečnosti, riadenia rizík alebo architektúry IT; teda osoba s ustanoveným vzdelaním v tejto oblasti.
Manažér kybernetickej bezpečnosti má zodpovednosť a preto na výkon takejto riadiacej pozície musí mať aj osobnostné predpoklady, akými sú samostatné myslenie, rýchle a zodpovedné rozhodovanie v krízových situáciách, poskytovanie spätnej väzby a v každom prípade má mať schopnosť viesť pracovný tím.
Obdobne, ako pri zodpovednej osobe je možné, vhodné a žiaduce, aby sa postavenie manažéra kybernetickej bezpečnosti v organizačnej štruktúre zakotvilo a zákonné požiadavky sa spresnili v internom riadiacom akte organizácie.
Byť manažérom kybernetickej bezpečnosti je zodpovednosť, na ktorú je potrebné sa pripraviť a spĺňať predpoklady. Na to, aby si manažér kybernetickej bezpečnosti plnil zákonom ustanovené úlohy, je potrebné adekvátne predpísané vzdelanie.
Vyberte zodpovednú osobu a manažéra kybernetickej osoby, na ktoré sa dá spoľahnúť
Záverom zostáva len zdôrazniť, aby ste výberu manažéra kybernetickej bezpečnosti, ako aj zodpovednej osoby venovali pozornosť. Správnym a zodpovedným výberom máte možnosť do vašej organizácie získať profesionálov, ktorých práca bude hovoriť za seba. Venujte pozornosť ich vzdelaniu a predpokladom.
Naša spoločnosť vykonáva externe funkciu zodpovednej osoby podľa GDPR, ako aj manažéra kybernetickej bezpečnosti. Obráťte sa na nás! Píšte na info@isecure.sk