Víte, jak se správně připravit na GDPR (angl. General Data Protection Regulation)? Pokud ne, měli byste raději zbystřit. Již jen rok zbývá na přípravu souladu s jeho pravidly a taková příprava není nic jednoduchého. Dopady nového nařízení jsou dalekosáhlé, zejména díky hrozící pokutě až 20 000 000 eur nebo 4 % ročního firemního obratu. Cílem nařízení je zejména zlepšit ochranu dat fyzických osob a také snaha zvýšit důvěru občanů EU ve firmy a instituce právě tím, že budou vědět, jak je s jejich informacemi nakládáno. EU si také slibuje snížení dalších překážek volného obchodu a díky tomu lepší konkurenceschopnost států EU. Je jasné, že GDPR výrazně změní dosavadní přístup k osobním údajům.
Jak se tedy dostatečně připravit? Situace se nedá vyřešit tak jednoduše, že se prostě koupí nějaký ten „firewall“ a tím máme hotovo. Samotnému technickému řešení předcházejí analýzy a audit. Na jejich základě se pak může vypracovat časový plán implementace bezpečnostního řešení firmě přímo na míru. Celý tento proces však není na týdny, ale na měsíce. Zbývající rok je tedy tak akorát na to, aby se stihlo splnění podmínek nařízení v termínu.
Osobní data jsou cenná komodita
Proč přišla Evropská unie s dalšími pravidly? Není současná právní úprava ochrany osobních dat dostatečně účinná? Bohužel není. Tímto činem se Evropská unie snaží držet krok s moderními technologiemi. Původní úprava nepočítala s tím, že se budou rozvíjet tak rychle. Tehdy si málokdo dokázal představit, jak velikou součástí našich životů se stanou, ani fakt, že osobní informace sdílíme prakticky neustále.
Dávno je pryč doba, kdy se data uchovávala jen na papírech a v kartotékách a jejich krádež tak byla výrazně náročnější. Dnes je to až příliš jednoduché – stačí během pár vteřin překopírovat tisíce kontaktů na flash disk a je to. Vaše osobní i firemní data se ocitnou v nepovolaných rukách velice snadno. Ti vynalézavější si umí najít i složitější způsoby, jak se dostat k cenným informacím, a snaží se vaše servery a počítače nakazit neřádem, který jim vše vyzradí. Vrátit věci do původního stavu je pak mnohdy nákladnější než samotná příprava, protože nejde jen o obnovu dat, ale také o finanční náhrady poškozeným či dobrou pověst firmy. Technologický rozvoj pokračuje rychleji, než stačí legislativa reagovat. Před lety nikdo nemohl vědět, jak dalece moderní technologie ovlivní náš každodenní život, jaké přinese možnosti a s tím spojenou kyberkriminalitu. Jako vše i tato oblast by měla být dostatečně právně ošetřena. Žijeme v konkurenční době a naše kroky jsou sledovány, zejména pokud jsme online. Firmy sledují chování uživatele a sbírají osobní data občanů (tj. subjektů údajů), aby mohly nabízet své služby či produkty. GDPR od května 2018 vrací právo na osobní data do rukou občanů EU.
5 kroků k úspěchu
Jak by tedy měla vypadat správná příprava? Cesta ke splnění podmínek GDPR je sice dlouhá, ale poví vám o vaší firmě či instituci kompletní informace ohledně zabezpečení dat a rizik. Budete tak mít celkový přehled o bezpečnosti dat, s nimiž pracujete.
Vstupní analýza
1. Nejprve je dobré mít přehled, kde a jaká data uchováváte a k jakému účelu jsou sbírána. Od tohoto se pak odvíjejí další kroky. Na základě vstupní analýzy se zjistí aktuální stav ukládání dat, jejich ochrana a doporučí se další postup. Tento první krok sice zabere jen několik hodin, ale je zásadním uvedením do problematiky.
Interní audit
2. Následuje interní audit zpracování a uchování dat, který je tou nejsložitější částí a může trvat až několik týdnů. Do auditu jsou zahrnuty jak elektronické, tak papírové osobní údaje. Na jeho základě je možné posoudit míru shody s GDPR a také se zjistí nedostatky, jež je potřeba vyřešit. Tak se vypracuje plán pro úspěšnou implementaci potřebných technických a procesních řešení k dosažení souladu s GDPR. Interní audit je vhodné pravidelně opakovat jednou ročně a aktualizovat revizi rizik.
Posouzení rizik, DPIA
3. Interní audit vám poskytne dostatek potřebných informací k tomu, aby bylo možné zhodnotit aktuální rizika zpracování a uchování dat a vypracovat posouzení vlivu na ochranu osobních údajů DPIA. Tím se rozumí nejen rizika úniku dat interně i externě, ale také rizika pro občany EU, která vznikají při nakládání s jejich osobními daty. Jde především o zachování principu proporcionality – tedy aby prováděná opatření byla adekvátní jak vůči pravděpodobnosti rizika, tak vůči potenciální škodě, která by vznikla subjektu údajů v případě ztráty či úniku dat. Nově bude také zaveden princip minimalizace, což znamená, že firmy by měly sbírat a uchovávat pouze data nutná k danému účelu a účel musí být definován před sběrem dat. Pokud účel pomine, data by měla být smazána.
Implementace ICT řešení
4. Nyní je již možné navrhnout určitá technická ICT řešení vhodná pro implementaci ve vaší firmě. Správně implementované technické řešení dokáže efektivně eliminovat rizika selhání lidského faktoru uvnitř firmy a ochránit před útoky z vnějšku. Ochrání nejen osobní data, ale celkově veškerá firemní data. Mezi nejčastěji zmiňovanými opatřeními je zavedení šifrování a pseudonymizace dat. Pseudonymizací se rozumí přiřazení anonymního údaje k osobním údajům, což ztěžuje jejich propojení s konkrétní osobou.
Procesní změny
5. Připadá vám, že už je těch kroků nějak moc? Tím ale příprava na GDPR nekončí. Dále je třeba navrhnout procesní změny pro zpracování a uchování dat a aktualizovat interní směrnice, aby odpovídaly novému nařízení. Stejně důležité je proškolit zaměstnance, jak nově s daty nakládat, případně je nechat proškolit v celé problematice GDPR. Bude také nutné zrevidovat smlouvy a přijmout aktualizované souhlasy se zpracováním osobních údajů. Tyto souhlasy byste měli mít uschované a připravené k prokázání souladu s GDPR.
DPO – Nový kolega do týmu
Jednou z povinností uložených nařízením je jmenování DPO. Data Protection Officer neboli pověřenec pro ochranu údajů je osoba, jejímž úkolem je dohlížet na celou tuto agendu a komunikovat s dozorovým úřadem, kterým je Úřad na ochranu osobních údajů. DPO je jmenován vedením firmy a měl by to být člověk znalý IT, interních auditů a také trochu práva. Pověřence budou potřebovat všechny veřejné orgány a ostatní firmy či instituce, jejichž činnost spočívá v rozsáhlém zpracování a uchování dat. Obecně by DPO měly jmenovat firmy s více než 250 zaměstnanci. Nicméně tento limit nakonec nebyl do normy zahrnut a je spíše orientační. Povinnost jmenovat DPO se vás tedy týká, pokud ve velkém zpracováváte osobní data, jste veřejný subjekt, či zpracováváte data zvláštních kategorií. To, zda potřebujete DPO, se nejlépe stanoví na základě interního auditu. Nemáte-li dostatečně kvalifikovaného odborníka, je možné roli DPO outsourcovat nebo lze sloučit výkon jeho role pro skupinu institucí a podniků. Jestliže si nezajistíte svého DPO, ačkoliv byste měli, vystavujete se pěkně tučné pokutě až do 10 milionů eur.
Prokazování souladu
Pokud jste dočetli až sem, tak je vám jistě už jasné, že přizpůsobit se novému nařízení nebude jednoduché. A až všechno úspěšně zrevidujete, implementujete a jmenujete, pak přijde čas na prokazování souladu s GDPR. V čem to bude spočívat?
V podstatě ve všem, co bylo již zmíněno, nicméně kromě analýz a auditů je třeba také pořídit hardware a software vhodný pro ochranu dat. Firmy nad 250 zaměstnanců a další, pokud zpracování osobních údajů patří mezi jejich hlavní činnosti, mají navíc povinnost vést záznamy o zpracování a uchování dat a zpřístupnit je dozorovému úřadu na požádání. Soulad s normou by měl být prověřován opakovaně včetně technických opatření a jejich účinnosti. Firmy by také měly zpřístupnit data občanům EU nejlépe online tak, aby mohli kontrolovat, co se s jejich daty děje a případně je aktualizovat. Občan EU také může vznést některé ze svých práv a firmy by měly vyhovět. Například právo být zapomenut bude znamenat, že se musí vymazat osobní data nejen ze všech úložišť, ale i listin, e-mailové komunikace apod., pokud to není v rozporu se zákonnou povinností. Časová náročnost těchto úkonů nebude zanedbatelná, proto nepodceňujte včasnou přípravu a raději začněte hned než později.
Parťáka do GDPR procesu najdete zde: www.gdpr.cool
Mgr. Jana Čužnová | ARION