Nařízení GDPR: Koho se týká a jak se připravit?

  1. Co je vlastně ve stručnosti GDPR?

O GDPR se začalo hodně mluvit a to je dobře, jelikož je to směrnice EU, která dost výrazně mění pravidla pro zpracovávání a uchovávání osobních dat. GDPR neboli General Data Protection Regulation je (r)evolucí, která byla ovšem více než nutná. Kromě samotného zpracovávání a uchovávání dat GDPR řeší i povinnost přijmout taková bezpečnostní opatření, aby byla naše data chráněna proti jejich odcizení a zneužití a také povinnost o bezpečnostních incidentech informovat autority a v některých případech i samotné postižené jedince. Poměrně běžnou praxí je, že když dojde k úniku osobních dat, tak o tom dotčená organizace mlčí do poslední chvíle, aby nebylo zasaženo její dobré jméno a v neutrpěla tím ještě větší finanční ztráty. Nemluvě o tom, že se často v praxi setkáváme s tím, že subjekty, které data zpracovávají, nepoužívají ochrany proti moderním typům hrozeb a útočník v jejich sítích zamaskován, odcizuje data dlouhou dobu a o incidentu se dozvíme až když útočník data prodá a dojde k jejich zneužití.

  1. Koho se nařízení GDPR dotkne a kdy nabývá účinnosti?

Mnoho firem, zejména z menších a středních, se domnívá, že GDPR se týká jen velkých enterprise společností, nemocnic, bankovních domů apod., ale to je samozřejmě velká chyba a podcenění této skutečnosti může od 25. května 2018 tyto firmy stát až 4% z celkového obratu a to ani u menších firem není vůbec zanedbatelná částka, ba právě naopak. Toto datum se zdá zatím daleko, ale je potřeba si uvědomit, že během roku 2017 by si všechny firmy, které zpracovávají jakákoliv osobní data, měly nechat udělat audit nebo kontrolu procesů tak, aby od roku 2018 byly plně v souladu s novou směrnicí, která v platnost přechází automaticky a bez nutnosti legislativních změn v jednotlivých členských státech EU. Díky takto vysokým pokutám se z počítačové bezpečnosti stává téma pro vrcholové orgány firem a nikoliv „jen“ pro IT.

  1. Jaké změny GDPR přináší, jak moc se zpřísňují dosavadní pravidla pro zpracovávání osobních údajů?

Novými povinnostmi je například změna se souhlasem pro zpracování osobních údajů, anonymizace dat, oznamovací povinnost při narušení, přenos dat mimo a do EU nebo jmenování data protection officerů. Osobní data jsou popsána jako data vedoucí k identifikaci nebo přímo indetifikující konkrétní osobu. Narušení bezpečnosti osobních údajů je pak popsáno jako narušení bezpečnosti, jež vedlo k náhodnému či protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných či jinak zpracovávaných. Narušení bezpečnosti osobních údajů pak musí být hlášeno národní autoritě, kde má daný subjekt své hlavní místo podnikání. Oznámení musí být provedeno „bez zbytečného odkladu“ nejdéle však 72 hodin od zjištění bezpečnostního incidentu.

  1. Mění  GDPR také pojetí souhlasu ke zpracování osobních údajů? Jak?

Dle GDPR musí souhlas být dán samostatným prohlášením nebo jinou kladnou akcí. Souhlas musí být samostatný a oddělený od obchodních podmínek. Dále GDPR zpřísňuje podmínky, za kterých je souhlas považován za svobodný. Za děti maldší 16 let bude moci dát souhlas jejich zákonný zástupce, jednotlivé členské státy pak mohou tuto hranici snížit až na 13 let.

  1. Hodně se hovoří také o tzv. právu být zapomenut, jak s tím GDPR nakládá?

Na rozdíl od lidí internet nezapomíná a je nově naším právem, aby naše osobní údaje byly vymazány nebo přeneseny jinam. Zároveň zpracovatel dat nesmí měnit způsob využití dat z účelu, pro který byly původně shromážděny. Pokud by takovou změnu chtěla organizace učinit, tak je potřeba mít opět informovaný souhlas.Z pohledu organizace nebo firmy to znamená, že musí mít k dispozici technologie, které takový výmaz nebo portaci dat dokáží zajistit.

  1. Jak je to s povinností jmenování tzv. „data protection officerů“, týká se všech?

Povinnost najmout Data Protection Officera se týká všech organizací, které zpracovávají větší počet osobních záznámů nebo zpracovávají speciální kategorie dat (např. informace o rase, náboženství, etnickém původu, politické orientaci apod.) Tito officeři musí být automaticky ve všech veřejných institucích. Opět něco málo čísel z Anglie – pouze 22% společností si je vědomo povinnosti takového člověka mít. V původním návrhu byla tato povinnost stanovena pro všechny organizace s větším počtem zaměstnanců než 250. Z nového znění však tato informace vypadla. V souvislosti s touto potřebou se mluví o databázích s 5000 a více záznamy.

  1. Proč si myslíte, že bylo vůbec nařízení GDPR zapotřebí?

Musíme si uvědomit, že aktuálně platná evropská legislativa je z roku 1995 resp. z roku 2000 v našem českém případě. Od té doby se díky technologickému pokroku změnil způsob nakládání s osobními údaji způsobem, který v té době předvídat dokázal jen málokdo. Několik vizionářů se samozřejmě našlo, ale ti se věnovali spíše rozvoji svých vlastních firem a jakákoliv legislativa podobného typu byla a je pro ně spíše kontraproduktivní. Jinými slovy pro nás jako uživatele internetu, sociálních sítí a veškerých nových aplikací, které z jejich podstaty zpracovávají a uchovávají informace o našem chování v jejich prostředí a které jsou pro ně neocenitelné z marketingového pohledu musí někdo chránit proti tomu, aby mohly být zneužity, ukradeny nebo prodány. Takže nutnost zavést nová pravidla vychází z prostého faktu, že svět okolo nás se změnil a je potřeba těmto změnám přizpůsobit i veškerou legislativu. Určitě se můžeme do budoucna těšit na velký nárůst novinových titulků, které budou informovat o únicích dat. Ani ne tak proto, že by těch incidentů do budoucna tolik přibylo (i když i to se dá s velkou jistotou předpokládat), ale hlavně proto, že dotčené organizace už nebudou moci tyto bezpečnostní incidenty zatajovat.

  1. Jak se lze na GDPR nejlépe připravit?

Základní věcí je si vůbec uvědomit, že se nějaká změna vůbec chystá. Naše průzkumy v Anglii ukazují, že 20% IT manažerů o GDPR vůbec neví. Pro český a slovenský trh přesný průzkum momentálně neexistuje, ale nedělal bych si velké iluze, že by toto číslo bylo u nás nějak lepší. První věcí je uvědomit si, jaká data máme, kde jsou uložena a kdo k nim má přístup. Za druhé je potřeba mít nastaveny notifikační procesy, které jsou spuštěny při narušení a za třetí zjistit jestli bezpečnostní technolgie, které používáme umí odhalit nejnovější typy útoků. Doporučil bych bezpečnostní audit, který veškeré nedostatky odhalí. Z technologií, které bych určitě doporučil nasadit je to zejména šifrování dat, DLP, kontrola používaných aplikací, virtual patching, kontrolu integrity souborů, analýzu síťového chování nebo sandboxing.

Václav Petrželka
Regional Account Manager, Czech Republic & Slovakia
Trend Micro

email: vaclav_petrzelka@trendmicro.com

Máte k GDPR otázky? Napište nám do naší GDPR poradny nebo se inspirujte už zodpovězenými dotazy. 

Regional Account Manager, Czech Republic & Slovakia Trend Micro
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů

  • Co se tu dočtu?

    CyberCafé představuje místo, kde se dozvíte pravdu a realitu o IT bezpečnosti. Zabýváme se aktuální problematikou, tím, co společnosti/naše zákazníky nejvíce trápí a co řeší. Rádi s vámi budeme diskutovat o všem, co vás v oblasti IT bezpečnosti zajímá. Nechte se inspirovat našimi články. Přejeme příjemné čtení...

  • Nejčtenější příspěvky
  • MENZO, a.s.

    „Pojďme dělat securitu společně“ není pouze naše motto, je to každodenní výzva pro nás i naše zákazníky. Naším cílem je nejenom dodat řešení problému, ale především s vámi vše projít a vysvětlit. Bezpečnost se nedá koupit, bezpečnost se musí dělat, proto je pro nás důležité, abyste porozuměli, co a proč jsme udělali!
    Pracovníci MENZA mají více než 10 let zkušeností v oblasti IT bezpečnosti. Pomáháme vám řešit otázky moderní informační bezpečnosti.

  • 17 KROKŮ K OVĚŘENÍ BEZPEČNOSTI VAŠEHO WEBU

    Stáhněte si ZDARMA - 17 kroků, jak dramaticky zvýšit bezpečnost vaší webové stránky a nenechte hackery hatit vaše úsilí a vydělávat na vašich webových stránkách.

    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů
  • CHCI DOSTÁVAT INFORMACI O NOVÉM ČLÁNKU NA BLOGU
    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů Zásady zpracování osobních údajů