GDPR a technologie: jak vše zvládnout?
14.8.2018O tom, že dne 25. 5. 2018 nabylo účinnosti nové Evropské obecné nařízení o ochraně osobních údajů (GDPR), snad dnes všichni vědí. Podnikatelé, společnosti a ostatní správci již dnes musí být schopni prokázat svůj „Soulad“ s tímto Nařízením.
Z toho, co Úřad na ochranu osobních údajů v posledních týdnech zveřejnil, vyplývá, že ještě zbývá nějaký čas, než bude Soulad vymáhat se vší důsledností. Avšak bez ohledu na to – pokud jste GDPR ještě nezačali řešit, rozhodně není dobré dále váhat! Pokuty za porušení Souladu mají být podle vyjádření úřadu nikoliv likvidační, ale odrazující. To je jistě zpráva, kterou není dobré přehlédnout. Úřad je malý a nemá kapacitu na bezdůvodné kontroly. Proto považujeme za prvořadé provést taková technická bezpečnostní opatření, která zabrání úniku osobních dat a přivolání si kontroly vlastní nedbalostí.
Podívejme se však trochu konkrétně, co to bude znamenat v praxi. Není možné postihnout v článku všechny typy a velikosti organizací a firem. Zaměřme se tedy na střední firmu – výrobní či obchodní, o velikosti 50–200 zaměstnanců, kde nedochází k rozsáhlému zpracování osobních údajů – jinými slovy, její hlavní business netkví ve zpracování osobních údajů, ale v jiné činnosti – ať už výrobní či obchodní. Právníci mají tendenci zdůrazňovat ochranu osobních údajů z hlediska právního titulu zpracování, jeho oprávněnosti, rozsahu a rizika vyplývajícího z těchto aspektů. Najdeme ale také mnoho zdrojů zdůrazňujících ochranu technického charakteru, tedy ve smyslu: co udělat pro to, abychom omezili riziko porušení integrity a důvěrnosti zpracovávaných osobních údajů. Jak už to bývá, důležité jsou oba pohledy, jeden bez druhého nestačí k naplnění Souladu jako celku. Osobou, která za dosažení a udržení Souladu odpovídá, je vždy statutární zástupce společnosti. Ten v zásadě nepotřebuje právní teorie ani technické detaily. Pro něj je důležité dosáhnout Souladu, Soulad udržet, a to za přiměřených nákladů odpovídajících rozsahu zpracování osobních údajů.
Oba výše uvedené pohledy si můžeme vysvětlit na zjednodušeném příkladu řízení přístupu do budovy. Chceme-li mít budovu zabezpečenou, vybavíme ji technickými prostředky (zámky), ale také nastavíme procesy (jak se má kdo v prostorách pohybovat) a definujeme vnitřní předpisy (kam kdo smí a kam ne). Riziko tedy kryjeme třemi možnými způsoby nebo jejich kombinací: právně – procesně – technicky.
Vznikne celá škála možných řešení, ze které budeme vybírat a pro kterou nastavíme priority a vývoj v čase. Co tedy doporučuji na základě zkušeností se zaváděním a po prvním měsíci ostrého provozu GDPR z hlediska technologií?
V prvním kroku bych se zaměřil na oblasti, kde se dá s minimálními náklady dosáhnout významného posílení bezpečnosti.
Pokud máme jakékoliv prostředky, které nesou osobní údaje mimo firemní infrastrukturu, bude vhodné zvážit zapnutí funkce šifrování. Operační systémy laptopů a mobilních telefonů tuto možnost obvykle nabízejí bez nutnosti cokoliv dokupovat. Dojde-li ke ztrátě zařízení, nedojde tak zároveň k úniku osobních údajů.
Dalším citlivým místem bývá připojení do internetu firewallem. Aby bylo toto přístupové místo dostatečně vybaveno a chránilo nás mimo jiné před únikem osobních údajů, rozhodně doporučujeme vybrat renomovanou značku, která se na tento typ ochrany specializuje. Firewall by měl mít cloudovou ochranu včetně zaplacené podpůrné a doplňkové služby. To ale bývá větší investice, kterou není vhodné dělat narychlo bez patřičné projektové přípravy a implementace. Existují však technologie, které firewally nové generace obsahují, ale které lze pořídit také jako službu – tedy bez nutnosti zakupovat nové zařízení. Mají na starost ochranu přístupu na internet (říká se tomu ochrana DNS), antimalware a antispam (ochrana před malwarem a ochrana elektronické pošty). Sledují provoz a když se například uživatel pokusí o přístup na závadnou nebo napadenou webovou stránku, zamezí mu přístup a informují správce. Stejně tak zachytí virus či jiný malware nebo podvrženou e-mailovou zprávu. Tímto opatřením významným způsobem zvýšíme úroveň bezpečnosti, včetně ochrany proti napadení formou phishingu, sociálnímu inženýrství a dalším hrozbám úniku dat včetně těch osobních. Služba je účtována na bázi měsíční, či roční fakturace bez nutnosti investovat do licencí. Nasazení je potom rychlé, snadné a poměrně levné.
Doporučujeme zavést také řízení zranitelností systémů, obvykle označované jako vulnerability management. Všichni víme, že je důležité mít všechna zařízení obsahující jakýkoliv operační systém aktualizovaná a správně nastavená. Víme také, že nestačí samotná aktualizace systému: ve Windows například musíme mít aktuální také Acrobat Reader, Internet Explorer, Flash Player, Microsoft Office a další software. Podobně je tomu se servery a dalšími prvky síťové infrastruktury. Větší infrastruktura obvykle obsahuje velké množství prvků, které mají násobné nároky na aktualizace jednotlivých částí. Každá z nich obsahuje zranitelnosti, které se bez patřičné aktualizace stávají bezpečnostní hrozbou pro celý systém. Zranitelnosti se navíc vyvíjejí v čase. Je velmi obtížné udržet větší systém v bezpečném stavu ručně, bez další podpory. Pro management je navíc obtížné mít kontrolu nad stavem infrastruktury a tím pádem i jistotu, že Soulad, který takovéto řízení zranitelností vyžaduje, skutečně stále trvá. I toto je možné získat formou služby, ať už jednorázové, nebo – lépe – pravidelné, popřípadě produkt zakoupit a vyškolit své odborníky pro jeho používání.
Výše uvedené technologie nebo jakékoliv další, hodící se pro nasazení u konkrétní organizace, je dobré zavádět nikoliv naslepo, ale na základě stanovené komplexní politiky informační bezpečnosti. Jedině tak budou přinášet bezpečnost, kterou očekává management a která odpovídá Souladu s GDPR dané firmy.
Závěrem je nutno uvést, že každá firma má jiné specifické potřeby a záměr, spravuje v informační infrastruktuře jiná aktiva (nejen tedy osobní údaje), každá firma se nachází v jiné aktuální situaci, a proto je potřeba individuálního přístupu, nutného ke správnému pochopení a nastavení všech procesů ve firmě. A s tím souvisí individuální přístup k investicím do technologií a také jejich řízení.
Autoři: Roman Kytlica, Partner Moore Stephens, Josef Javora, Zakladatel a předseda představenstva společnosti AGORA DMT, a.s. a Partner GlobalSequr A/S pro Českou republiku.
Roman Kytlica
_________________________________________________________________________________
Roman je od roku 2007 partner společnosti Tax Consulting Brno, která se v září 2017 spojila se společností Moore Stephens. Od roku 1996 je certifikovaným daňovým poradcem a zaměřuje se na daňové poradenství se zaměřením na daň z příjmu právnických osob a daň z příjmu fyzických osob včetně souvisejícího sociálního a zdravotního pojištění. Vede také tým účetních a mzdových účetních. Roman vystudoval Stingovu akademii v Brně ve studijním programu Podniková ekonomika a management. Od roku 2008 působí v disciplinárním výboru Komory daňových poradců. Kromě českého jazyka má také dobrou znalost angličtiny.