GDPR – a co s ním, krok za krokem



Minule jsme se tu věnovali novinkách v oblasti legislativy kolem IT a dnes se podrobně podíváme na zřejmě nejvýznamnější novinku v této oblasti: GDPR. Jde o zákonnou normu, kterou budou muset plnit úplně všechny společnosti - o nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Co je třeba o GDPR vědět a jak se připravit?

Implementace GDPR spočívá zjednodušeně v tom, že si daná společnost (ať již soukromá firma, nemocnice, městský úřad či jakákoliv další státní či soukromá organizace) dokáže 100% odpovědět na následující otázky:

1) Víte opravdu o všech osobních údajích, které zpracováváte?

  • Uvědomujete si, že osobním údajem mohou být i e-mailové či IP adresy, veškeré pohyby a transakce na internetu či v interních systémech?
  • Opravdu máte pod kontrolou i všechny polo-oficiální procesy, včetně rozesílání novinek, věrnostních systémů, různých „dočasných“ evidencí apod.?

2) Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?

  • Nemáte nějaké údaje „zbytečně navíc“?

3) Máte ke všem údajům relevantní právní titul?

  • Nejlepší je mít nějaký zákonný důvod, či přímo povinnost je zpracovávat; jinak potřebujete souhlas subjektu.

4) Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a kdo a proč k nim přistupuje?

  • Doporučujeme minimalizovat systémy, procesy, úložiště i všechny osoby, které k nim mají přístup.

5) Máte jistotu, že dokážete splnit všechny požadavky GDPR?

  • Uvědomujete si všechna posílená práva subjektů (např. právo na přístup a výmaz), i všechny vaše zesílené povinnosti (trvalá ochrana informací, poctivé, důkladné a rychlé hlášení incidentů do 72 hodin apod.)?

Jsou to relativně jednoduché otázky, nicméně k poctivým stoprocentním odpovědím bude asi složitá cesta.

Jak vlastně začít s GDPR?

GDPR musí být u všech soukromých i státních organizací plně implementováno již do 25. května příštího roku. Dotčené subjekty by se proto měly na splnění této normy začít co nejdříve připravovat, a to nejlépe v následujících krocích:

1) uvědomit si co všechno je osobní údaj,

2) udělat si inventuru všech zpracovávaných osobních údajů, a to jak z pohledu IT, tak i z pohledu businessu,

3) definovat účel, za kterým dané osobní údaje zpracováváte (ideálně najít zákonný požadavek),

4) zpracovat analýzu rizik při zpracovávání osobních údajů a na jejím základě aplikovat patřičná bezpečnostní opatření (a uvědomit si, že řízení rizik by mělo být trvalým kontinuálním procesem, neboť rizika se budou neustále měnit).

Další (paralelní) kroky budou spočívat v plnění mnoha dalších požadavků GDPR, např. přehodnocení souhlasů, přepracování smluv se zpracovateli, zavedení procesů pro zajištění různých požadavků jako např. právo subjektů na přístup, výmaz nebo přenositelnost, dále zavedení systému analýzy a hlášení incidentů, zavedení funkce pověřence pro ochranu osobních údajů (DPO) apod.

Implementace legislativních novinek v soukromém a státním sektoru

Základní povinnosti vyplývající jak z evropského nařízení (GDPR), tak i novely zákona o kybernetické bezpečnosti byly popsány výše. Novela zákona se dotkne společností definovaných v zákonu (poskytovatel digitální služby) a v návazných prováděcích vyhláškách (způsob určení poskytovatele základní služby a dopadová kritéria pro určení). V těchto případech není zásadní rozdíl mezi subjekty ve státním a privátním sektoru, pouze s jednou výjimkou. Státní sektor bude moci na implementaci technologických bezpečnostních opatření čerpat finance z dotací EU (v současné době se jedná o výzvu č. 10 ROP).

Požadavky GDPR budou muset řešit všechny společnosti, neboť každá má nějaké zákazníky, zaměstnance, obchodní partnery apod. Zásadní rozdíl mezi privátním sektorem a státní správou spočívá v článku 37, který definuje následující: „Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů (DPO) v každém případě, kdy zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí.“

V případě privátního sektoru se bude muset posoudit, zda zpracování osobních údajů plní další požadavky výše zmíněného článku GDPR.

Rizika při implementaci požadavků GDPR a zákona o kybernetické bezpečnosti

Jako u všech složitých procesů i při implementaci opatření vyplývajících z nařízení GDPR a úpravy zákona o kybernetické bezpečnosti můžeme za základní rizika označit zejména nedostatek:

  • času,
  • finančních zdrojů,
  • lidských zdrojů.

Největším rizikem je přitom nedostatek času. Požadavky zákona o kybernetické bezpečnosti a na něj navazujících vyhlášek musí dotčené subjekty splnit do 1 roku od určení. V případě GDPR je pevně stanoveno datum účinnosti, a to 25. 5. 2018. Obě tyto normy požadují implementovat mnoho nových opatření, a to jak v technologické, tak i procesní rovině, včetně takových nezbytností jako trvalé zvyšování povědomí zaměstnanců formou školení, e-learningu apod.

Riziko nedostatku finančních zdrojů částečně navazuje na nedostatek času. Každá společnost (státní nebo privátní) plánuje svůj rozpočet na dané období (obvykle kalendářní rok). Zákon o kybernetické bezpečnosti, s přechodnou dobou 1 rok od určení, je z tohoto pohledu milosrdnější, na druhou stranu pevně definuje seznam bezpečnostních opatření, která každá určená společnost musí implementovat. Tento seznam není krátký a implementace daných opatření nebude jednoduchým a levným procesem.

GDPR na druhou stranu nedefinuje, která bezpečnostní opatření je nutné implementovat, což celou situaci ještě více komplikuje. Zde musí být prvním krokem pro implementaci bezpečnostních opatření pro ochranu osobních údajů provedení důkladné a důsledné analýzy rizik. Teprve po této analýze a definování jednotlivých rizik a jejich míry bude možné navrhnout taková bezpečnostní opatření, která budou tato rizika snižovat na akceptovatelnou úroveň.

Třetím ze základních rizik je nedostatek lidských zdrojů. Zákon o kybernetické bezpečnosti bude, s největší pravděpodobností, vyžadovat i pro poskytovatele základních služeb určení následujících bezpečnostních rolí:

  • manažer kybernetické bezpečnosti,
  • architekt kybernetické bezpečnosti,
  • auditor kybernetické bezpečnosti.

Roli manažera a architekta kybernetické bezpečnosti může teoreticky vykonávat jedna osoba, nicméně vzhledem ke specifikům daných rolí (jedna je více zaměřena na procesní část, druhá na technologickou) lze předpokládat, že takový specialista na trhu práce nebude k dispozici.

GDPR vyžaduje ve specifických případech roli pověřence pro ochranu osobních údajů. Jeho profesní profil je opět velmi zajímavý:

  • Pověřenec by měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany osobních údajů, které zaměstnavatel řeší.
  • Pověřenec by měl být vybaven vědomostmi z oblasti národní a evropské legislativy a praxí v oboru ochrany osobních údajů. Důkladná znalost nařízení musí být u pověřence samozřejmostí.
  • Pověřenec musí disponovat znalostí oboru podnikání a chodu organizace zaměstnavatele.
  • Pověřenec by měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů, bezpečnosti dat a potřeb organizace v oblasti ochrany osobních údajů.
  • Osobní kvality pověřence by měly zahrnovat především integritu a vysokou úroveň profesionální etiky.

Další legislativa spojená s GDPR

V nejbližších měsících by měla Rada EU schválit další nařízení tzv. ePrivacy (o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích). Toto nařízení, jak vyplývá z jeho názvu, by mělo postihnout problematiku GDPR v prostředí elektronických komunikací. Nařízení řeší mimo jiné i problematiku cookies (povinnost poskytovatele informovat uživatele služby o zpracování údajů prostřednictvím cookies a obdržet jeho souhlas s takovým zpracováním ještě před uložením cookies v počítači návštěvníka webové stránky) nebo marketingových sdělení pomocí elektronických komunikací (např. při telefonním marketingu půjde o jednoznačnou identifikaci toho, že se jedná o marketingové sdělení, a to např. formou jednoznačného předčíslí call centra).

Základním účelem nařízení je to, aby každý člověk mohl svobodně odsouhlasit, že poskytovatelé elektronických komunikací a ti, kteří tyto komunikace využívají, mohou shromažďovat jeho osobní data. Ochrana soukromí bude zaručena nejen u obsahu, ale také u metadat, jako jsou například čas a místo hovoru. Tyto povinnosti budou pravděpodobně znamenat změny i jiných zákonů (zákon o elektronických komunikacích apod.), které budou lépe popisovat požadavky na provozovatele a uživatele nejen veřejných komunikačních sítí.

Další informace o novinkách v legislativě kolem IT najdete zde, v předchozí části tohoto článku.

Zbyněk Malý, Senior Security Consultant společnosti ANECT


(14. 7. 2017 | redakce2)


Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Datová centra pro byznys - 23.11.2017!


Pozoruhodné IT produkty pro rok 2017 - Nové
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(5116)