Nařízení GDPR: Koho se týká a jak se připravit?

O GDPR se začalo hodně mluvit a to je dobře, jelikož je to směrnice EU, která dost výrazně mění pravidla pro zpracovávání a uchovávání osobních dat.

1. Co je ve stručnosti GDPR?

GDPR neboli General Data Protection Regulation je (r)evolucí, která byla ovšem více než nutná. Kromě samotného zpracovávání a uchovávání dat GDPR řeší i povinnost přijmout taková bezpečnostní opatření, aby byla naše data chráněna proti jejich odcizení a zneužití. Je to také povinnost o bezpečnostních incidentech informovat autority a v některých případech i samotné postižené jedince.

Poměrně běžnou praxí je, že když dojde k úniku osobních dat, tak o tom dotčená organizace mlčí do poslední chvíle. To proto, aby nebylo zasaženo její dobré jméno a neutrpěla tím ještě větší finanční ztráty.

Nemluvě o tom, že se často v praxi setkáváme s tím, že subjekty, které data zpracovávají, nepoužívají ochrany proti moderním typům hrozeb. Útočník, v jejich sítích zamaskován, krade data dlouhou dobu a o incidentu se dozvíme až když útočník data prodá a dojde k jejich zneužití.

2. Koho se nařízení GDPR dotkne a kdy nabývá účinnosti?

Mnoho firem, zejména těch menších a středních, se domnívá, že GDPR se týká jen velkých enterprise společností, nemocnic, bankovních domů apod., ale to je samozřejmě velká chyba a podcenění této skutečnosti může od 25. května 2018 tyto firmy stát až 4% z celkového obratu a to ani u menších firem není vůbec zanedbatelná částka, ba právě naopak.

Toto datum se zdá zatím daleko, ale je potřeba si uvědomit, že během roku 2017 by si všechny firmy, které zpracovávají jakákoliv osobní data, měly nechat udělat audit nebo kontrolu procesů tak, aby od roku 2018 byly plně v souladu s novou směrnicí, která v platnost přechází automaticky a bez nutnosti legislativních změn v jednotlivých členských státech EU. Díky takto vysokým pokutám se z počítačové bezpečnosti stává téma pro vrcholové orgány firem a nikoliv „jen“ pro IT.

3. Jaké změny GDPR přináší, jak moc se zpřísňují dosavadní pravidla pro zpracovávání osobních údajů?

Novými povinnostmi je například změna se souhlasem pro zpracování osobních údajů, anonymizace dat, oznamovací povinnost při narušení, přenos dat mimo a do EU nebo jmenování data protection officerů.

Osobní data jsou popsána jako data vedoucí k identifikaci nebo přímo indetifikující konkrétní osobu. Narušení bezpečnosti osobních údajů je pak popsáno jako narušení bezpečnosti, jež vedlo k náhodnému či protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných či jinak zpracovávaných.

Narušení bezpečnosti osobních údajů pak musí být hlášeno národní autoritě, kde má daný subjekt své hlavní místo podnikání. Oznámení musí být provedeno „bez zbytečného odkladu“ nejdéle však 72 hodin od zjištění bezpečnostního incidentu.

4. Mění GDPR také pojetí souhlasu ke zpracování osobních údajů? Jak?

Dle GDPR musí souhlas být dán samostatným prohlášením nebo jinou kladnou akcí. Souhlas musí být samostatný a oddělený od obchodních podmínek. Dále GDPR zpřísňuje podmínky, za kterých je souhlas považován za svobodný. Za děti maldší 16 let bude moci dát souhlas jejich zákonný zástupce, jednotlivé členské státy pak mohou tuto hranici snížit až na 13 let.

5. Hodně se hovoří také o tzv. právu být zapomenut, jak s tím GDPR nakládá?

Na rozdíl od lidí internet nezapomíná a je nově naším právem, aby naše osobní údaje byly vymazány nebo přeneseny jinam. Zároveň zpracovatel dat nesmí měnit způsob využití dat z účelu, pro který byly původně shromážděny.

Pokud by takovou změnu chtěla organizace učinit, tak je potřeba mít opět informovaný souhlas. Z pohledu organizace nebo firmy to znamená, že musí mít k dispozici technologie, které takový výmaz nebo portaci dat dokáží zajistit.

6. Jak je to s povinností jmenování tzv. „data protection officerů“, týká se všech?

Povinnost najmout Data Protection Officera se týká všech organizací, které zpracovávají větší počet osobních záznámů nebo zpracovávají speciální kategorie dat (např. informace o rase, náboženství, etnickém původu, politické orientaci apod.) Tito officeři musí být automaticky ve všech veřejných institucích.

Opět něco málo čísel z Anglie – pouze 22 % společností si je vědomo povinnosti takového člověka mít. V původním návrhu byla tato povinnost stanovena pro všechny organizace s větším počtem zaměstnanců než 250. Z nového znění však tato informace vypadla. V souvislosti s touto potřebou se mluví o databázích s 5 000 a více záznamy.

7. Proč si myslíte, že bylo vůbec nařízení GDPR zapotřebí?

Musíme si uvědomit, že aktuálně platná evropská legislativa je z roku 1995 resp. z roku 2000 v našem českém případě. Od té doby se díky technologickému pokroku změnil způsob nakládání s osobními údaji způsobem, který v té době předvídat dokázal jen málokdo.

Několik vizionářů se samozřejmě našlo, ale ti se věnovali spíše rozvoji svých vlastních firem a jakákoliv legislativa podobného typu byla a je pro ně spíše kontraproduktivní.

Jinými slovy pro nás jako uživatele internetu, sociálních sítí a veškerých nových aplikací, které z jejich podstaty zpracovávají a uchovávají informace o našem chování v jejich prostředí. Tyto informace jsou pro majitele aplikací neocenitelné z marketingového pohledu. Uživatele tak někdo musí chránit proti tomu, aby mohly být informace zneužity, ukradeny nebo prodány.

Takže nutnost zavést nová pravidla vychází z prostého faktu, že svět okolo nás se změnil a je potřeba těmto změnám přizpůsobit i veškerou legislativu.

Určitě se můžeme do budoucna těšit na velký nárůst novinových titulků, které budou informovat o únicích dat. Ani ne tak proto, že by těch incidentů do budoucna tolik přibylo (i když i to se dá s velkou jistotou předpokládat), ale hlavně proto, že dotčené organizace už nebudou moci tyto bezpečnostní incidenty zatajovat.

8. Jak se lze na GDPR nejlépe připravit?

Základní věcí je si vůbec uvědomit, že se nějaká změna vůbec chystá. Naše průzkumy v Anglii ukazují, že 20 % IT manažerů o GDPR vůbec neví. Pro český a slovenský trh přesný průzkum momentálně neexistuje, ale nedělal bych si velké iluze, že by toto číslo bylo u nás nějak lepší.

  • První věcí je uvědomit si, jaká data máte, kde jsou uložena a kdo k nim má přístup.
  • Za druhé je potřeba mít nastaveny notifikační procesy, které jsou spuštěny při narušení.
  • Za třetí zjistit jestli bezpečnostní technolgie, které používáte umí odhalit nejnovější typy útoků. Doporučuji vám bezpečnostní audit, který veškeré nedostatky odhalí.

Z technologií, které bych určitě doporučil nasadit je to zejména šifrování dat, DLP, kontrola používaných aplikací, virtual patching, kontrolu integrity souborů, analýzu síťového chování nebo sandboxing.

Autor článku:
Václav Petrželka
Regional Account Manager, Czech Republic & Slovakia
Trend Micro

Máte k GDPR otázky?

Napište nám do naší GDPR poradny, inspirujte se už zodpovězenými dotazy nebo nás kontaktujte.

Regional Account Manager, Czech Republic & Slovakia Trend Micro
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů