Více o GDPR

Více o GDPR

Co je vlastně ve stručnosti GDPR?

Více o GDPR

1.     Co je vlastně ve stručnosti GDPR?

O GDPR se začalo hodně mluvit a je to dobře, jelikož se jedná o směrnici EU, která výrazně mění pravidla pro zpracovávání a uchovávání osobních dat. GDPR neboli General Data Protection Regulation nahradí Směrnici Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů z roku 1995. Od tohoto roku se toho mnoho změnilo, především co se týká formy uchovávání osobních údajů. Ty jsou dnes v drtivé většině v digitální podobě a směrnice reaguje právě na tuto změnu. Dlouhá diskuze o podobě nařízení vyústila ve směrnici GDPR, která sjednocuje pravidla pro ochranu osobních údajů jednotlivců uvnitř Evropské unie a zjednodušuje tak právní prostředí pro mezinárodní obchod. Kromě samotného zpracovávání a uchovávání dat řeší GDPR i povinnost přijmout taková bezpečnostní opatření, která zajistí ochranu osobních údajů před jejich odcizením a zneužitím. Dále nařizuje hlásit závažné bezpečnostní incidenty.

 

2.     Proč se zavádí povinnost hlásit bezpečnostní incidenty?

Důvod je prostý - v případě úniku osobních dat je poměrně běžnou praxí, že jej dotyčná organizace až do poslední chvíle tají, aby nebylo zasaženo její dobré jméno a ona tím neutrpěla ještě větší finanční ztráty. V praxi se navíc často setkáváme se subjekty, které data zpracovávají, ale nepoužívají ochranu proti moderním typům hrozeb. Zamaskovaný útočník pak v jejich sítích odcizuje data po dlouhou dobu a o incidentu se dozvíme, až když data prodá nebo dojde k jiné formě jejich zneužití.

 

3.     Kdo bude dohlížet na dodržování této směrnice?

Každý stát si zřídí vlastní nezávislý kontrolní orgán, který bude na dodržování směrnice dohlížet. V případě mezinárodních společností, které působí ve více zemích, bude určen jeden orgán dohledu v té zemi, kde má firma hlavní sídlo. Jednotlivé národní regulátory bude koordinovat zastřešující Evropský sbor pro ochranu osobních údajů. Ten by měl v budoucnu poskytovat i poradenství a sdílení nejlepších metod k ochraně osobních údajů.

 

4.     Koho se nařízení GDPR dotkne?

Mnoho firem, zejména těch menších a středních, se domnívá, že GDPR se týká pouze velkých korporací, jako jsou nemocnice, bankovní domy, státní instituce apod. To je ale zásadní omyl. Nařízení se týká jakékoli firmy, která disponuje, zpracovává a nakládá s osobními údaji občanů Evropské unie. Z toho vyplývá, že se nemusí jednat pouze o firmy z EU, ale o všechny firmy, které ukládají data o evropských občanech.

 

5.     Kdy nabyde směrnice účinnosti?

Nařízení nabyde účinnosti 25. května 2018 a začne platit automaticky a bez nutnosti legislativních změn v jednotlivých členských státech EU. Od této chvíle mohou být firmy pokutovány až do výše 4 % jejich celosvětového ročního obratu nebo 20 milionů eur, podle toho, co je vyšší. Taková pokuta může být právě pro menší firmy kritická. Ještě jednou bych zdůraznil, že jde o celosvětový obrat. Toto datum se zdá být zatím vzdálené, ale je potřeba si uvědomit, že do května 2018 by si všechny firmy, které zpracovávají osobní data, měly nechat udělat audit nebo kontrolu procesů a v případě nedostatečného zabezpečení vybrat a implementovat vhodná řešení. Tento proces trvá často déle než rok. Kvůli vysokým pokutám se z počítačové bezpečnosti stává téma nejen pro oddělení IT, ale i pro nejvyšší vedení každé společnosti.  

 

 

6.     Jaké změny GDPR přináší, jak moc se zpřísňují dosavadní pravidla pro zpracovávání osobních údajů?

V České republice nahradí směrnice GDPR zákon č. 101/2000 Sb. o ochraně osobních údajů, který chrání jednotlivce před neoprávněným zasahováním do soukromí a upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států. Jednoduše řečeno tento zákon až na specifické výjimky nařizoval, že správce osobních údajů může zpracovávat tyto údaje pouze s výslovným souhlasem, může data získávat pouze ke stanovenému účelu, je povinen dbát na ochranu soukromí a podobně.

 

Toto všechno nová směrnice zachovává, ale její největší změnou je, že nyní budou muset správci zajišťovat tzv. „privacy by design“, který zatím nemá ustálený český ekvivalent. Tento termín vyjadřuje, že firmy musí zajistit plánované a zabezpečené zpracování dat. Musí zavést opatření, která jsou organizačně i technologicky schopná zaručit dostatečnou ochranu osobních údajů a zabezpečit, že budou použita pouze pro daný účel. Jinými slovy, předpokládá se proaktivní přístup včetně posuzování možných dopadů na osobní údaje.

 

7.     Co to bude pro společnosti znamenat v praxi?

V praxi budou muset firmy disponovat vhodným bezpečnostním řešením, které bude schopné ochránit informační systém společnosti a potažmo i osobní data zákazníků nebo uživatelů před jejich narušením. Jde tedy o způsobilost předejít bezpečnostním incidentům, které by vedly k náhodnému či protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných či jinak zpracovávaných.

 

Bude potřeba implementovat řešení, která upozorní na podezřelé chování, ať už zvenčí při krádeži dat, infiltrování systému a podobně nebo vnitřní při neopatrném nakládání s daty, například při nešifrovaném sdílení na cloudová úložiště. Firmy budou muset veškeré bezpečnostní incidenty hlásit bez zbytečného odkladu, nejpozději však do 72 hodin, dohledovému orgánu a v některých případech i samotným postiženým. To klade nároky na správu bezpečnostních řešení a schopnosti incidenty reportovat. Kromě technologických řešení bude stejně nutná i edukace zaměstnanců a všech ostatních uživatelů, kteří přicházejí s osobními údaji do styku.

 

 

6.     Mění GDPR také pojetí souhlasu ke zpracování osobních údajů? Jak?

GDPR zpřísňuje podmínky, za jakých může být souhlas ke zpracování osobních údajů udělen. Zvýhodňuje ty, kdo souhlas udílejí a lépe je chrání před nechtěným udělením souhlasu. Ten musí být stejně jako nyní svobodný a vědomý, ale od května 2018 bude muset být také oddělený od jiných informací, například od obchodních podmínek. Udělení souhlasu musí být dáno buď samostatným prohlášením, nebo jinou kladnou akcí. Dále GDPR zpřísňuje podmínky, za kterých je souhlas považován za svobodný. Za děti mladší 16 let bude moci dát souhlas jejich zákonný zástupce, jednotlivé členské státy pak mohou tuto hranici snížit až na 13 let.

 

7.     Hodně se hovoří také o tzv. právu být zapomenut, jak s tím GDPR nakládá?

Na rozdíl od lidí internet nikdy nezapomíná a díky rozhodnutí Evropského Soudního dvora z roku 2014 mají jednotlivci právo žít svůj život bez toho, aby byly jejich dřívější činy navždy zachovány a připomínány na internetu. Soud tehdy rozhodl, že provozovatelé internetových vyhledávačů jsou správci osobních údajů a podléhají tak evropské směrnici o ochraně osobních údajů. Toto bylo označeno jako „právo být zapomenut“ a od té doby mohou lidé žádat o vymazání svých osobních údajů z výsledků internetového vyhledávače.

 

GDPR nahrazuje „právo být zapomenut“ tzv. „právem na vymazání“ (right to erasure), které je podstatně konkrétnější. Toto právo lidem umožňuje, aby byly jejich osobní údaje na vyžádání vymazány nebo přeneseny na jiné místo. Zároveň zpracovatel dat nesmí data využít jiným způsobem a k jinému účelu, než ke kterému byla původně shromážděna. Pokud by takovou změnu chtěla organizace učinit, tak je potřeba mít opět informovaný souhlas. S tím souvisí i právo na přenositelnost údajů, které správci zakládají povinnost na vyžádání kopii osobních údajů vydat, aby je subjekt mohl dále přenést do jiného systému k dalšímu použití.

 

Z hlediska splnění povinností uložených směrnicí GDPR je tedy pro organizace a firmy podstatné, aby disponovaly technologiemi, které budou schopné všechna požadovaná data najít a zajistit jejich výmaz nebo portaci.

 

8.     Jak je to s povinností jmenování tzv. „data protection officerů“, týká se všech?

Povinnost najmout Data protection officera (DPO) se týká všech veřejných institucí a dále organizací a firem, které pravidelně a systematicky zpracovávají větší počet osobních záznamů nebo zpracovávají speciální kategorie dat, například informace o rase, náboženství, etnickém původu, politické orientaci a podobné. V původním návrhu byla tato povinnost stanovena pro všechny organizace s více než 250 zaměstnanci. Z nového znění však tato informace vypadla. Nyní se diskutuje o společnostech s databázemi s 5000 a více záznamy. V praxi se jedná o nemocnice, banky, pojišťovny, HR firmy, ale také o některé eshopy.

 

Podle průzkumu Trend Micro z Velké Británie si je pouze 22 % dotčených společností vědomo této povinnosti a osobně se obávám, že v České republice nebude toto číslo vyšší. Evropská směrnice přesně nedefinuje, jakou kvalifikaci by osoba pověřená funkcí DPO měla splňovat, nicméně by se mělo jednat o experta v zabezpečení a právu, který bude dohlížet na dodržování souladu se směrnicí GDPR ve firmě. Náplní jejich práce bude informování, vzdělávání a kontrola zaměstnanců při zpracování a nakládání s daty, monitorování procesů a podezřelých aktivit a spolupráce s kontrolními orgány. Očekává se, že v České republice bude od začátku roku 2018, tedy ještě před nabytím účinnosti GDPR, po těchto odbornících vysoká poptávka. Odhaduje se až 30 000 volných pozic, které bude nutné obsadit.

 

9.     Proč si myslíte, že bylo vůbec nařízení GDPR zapotřebí?

Jak jsem již zmínil na začátku, aktuálně platná evropská legislativa je z roku 1995 resp. z roku 2000 v případě české legislativy. Od té doby se kvůli technologickému pokroku změnil způsob nakládání s osobními údaji způsobem, který v té době dokázal  předvídat jen málokdo. Několik vizionářů se samozřejmě našlo, ale ti se věnovali spíše rozvoji svých vlastních firem a jakákoli legislativa podobného typu byla spíše kontraproduktivní. Jinými slovy pro nás jako uživatele internetu, sociálních sítí a veškerých nových aplikací, které z  podstaty zpracovávají a uchovávají pro marketing cenné informace o našem chování, musí někdo chránit, aby nemohly být ukradeny, zneužity nebo prodány. Takže nutnost zavést nová pravidla vychází z prostého faktu, že svět okolo nás se změnil a je potřeba těmto změnám přizpůsobit i veškerou legislativu. Určitě můžeme v budoucnu očekávat velký nárůst počtu novinových titulků, které budou informovat o únicích dat. Ani ne tak proto, že by incidentů do budoucna výrazně přibylo, i když i to se dá s velkou jistotou předpokládat, ale hlavně proto, že dotčené organizace už nebudou moci tyto bezpečnostní incidenty tajit.

 

10.  Jak se lze na GDPR nejlépe připravit?

Prvním krokem je vůbec si uvědomit, že se nějaká změna vůbec chystá a zjistit si k ní potřebné informace. Z výše zmíněného průzkumu z Velké Británie i z osobní zkušenosti z České republiky a Slovenska pozoruju, že velká část IT manažerů o GDPR vůbec neví, nebo netuší, jestli se dotýká i jejich společnosti a v jakém rozsahu. Druhým krokem je zanalyzovat, jaká data společnost má, kde jsou uložena a kdo k nim má přístup. Dále je potřeba mít nastaveny notifikační procesy, které jsou spuštěny při narušení bezpečnosti. A za čtvrté je nutné zjistit, jestli používané bezpečnostní technologie umí odhalit nejnovější typy útoků. Všem firmám s pochybnostmi bych doporučil provést bezpečnostní audit, který veškeré nedostatky odhalí.

 

Základními technologickými kameny každé firmy, která chce splňovat podmínky GDPR, by měly být 1. šifrování souborů, které umožní sdílet soubory bez obav, že by je třetí strana mohla zneužít, 2. DLP (Data Loss Prevention), které brání únikům dat do veřejných cloudových úložišť, emailem nebo komunikačních aplikací typu Skype, 3. kontrola aplikací, která blokuje škodlivý kód, 4. virtual patching, který dokáže zacelit zranitelnost dříve, než samotní výrobci děravého softwaru. Dále bych jmenoval ještě kontrolu integrity souborů, analýzu síťového chování a sandboxing. Firmy si musí uvědomit, že GDPR není zbytečné byrokratické nařízení Evropské unie. Tato směrnice pouze legislativně ustanovuje to, co by již všechny firmy měly dávno splňovat kvůli ochraně firemních i zákaznických dat a tudíž i své dobré pověsti.

 

Zdroj: Reseller Magazine