Minule jsme se tu věnovali novinkách v oblasti legislativy kolem IT a dnes se podrobně podíváme na zřejmě nejvýznamnější novinku v této oblasti: GDPR. Jde o zákonnou normu, kterou budou muset plnit úplně všechny společnosti - o nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Co je třeba o GDPR vědět a jak se připravit?
Implementace GDPR spočívá zjednodušeně v tom, že si daná společnost (ať již soukromá firma, nemocnice, městský úřad či jakákoliv další státní či soukromá organizace) dokáže 100% odpovědět na následující otázky:
1) Víte opravdu o všech osobních údajích, které zpracováváte?
2) Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?
3) Máte ke všem údajům relevantní právní titul?
4) Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a kdo a proč k nim přistupuje?
5) Máte jistotu, že dokážete splnit všechny požadavky GDPR?
Jsou to relativně jednoduché otázky, nicméně k poctivým stoprocentním odpovědím bude asi složitá cesta.
GDPR musí být u všech soukromých i státních organizací plně implementováno již do 25. května příštího roku. Dotčené subjekty by se proto měly na splnění této normy začít co nejdříve připravovat, a to nejlépe v následujících krocích:
1) uvědomit si co všechno je osobní údaj,
2) udělat si inventuru všech zpracovávaných osobních údajů, a to jak z pohledu IT, tak i z pohledu businessu,
3) definovat účel, za kterým dané osobní údaje zpracováváte (ideálně najít zákonný požadavek),
4) zpracovat analýzu rizik při zpracovávání osobních údajů a na jejím základě aplikovat patřičná bezpečnostní opatření (a uvědomit si, že řízení rizik by mělo být trvalým kontinuálním procesem, neboť rizika se budou neustále měnit).
Další (paralelní) kroky budou spočívat v plnění mnoha dalších požadavků GDPR, např. přehodnocení souhlasů, přepracování smluv se zpracovateli, zavedení procesů pro zajištění různých požadavků jako např. právo subjektů na přístup, výmaz nebo přenositelnost, dále zavedení systému analýzy a hlášení incidentů, zavedení funkce pověřence pro ochranu osobních údajů (DPO) apod.
Základní povinnosti vyplývající jak z evropského nařízení (GDPR), tak i novely zákona o kybernetické bezpečnosti byly popsány výše. Novela zákona se dotkne společností definovaných v zákonu (poskytovatel digitální služby) a v návazných prováděcích vyhláškách (způsob určení poskytovatele základní služby a dopadová kritéria pro určení). V těchto případech není zásadní rozdíl mezi subjekty ve státním a privátním sektoru, pouze s jednou výjimkou. Státní sektor bude moci na implementaci technologických bezpečnostních opatření čerpat finance z dotací EU (v současné době se jedná o výzvu č. 10 ROP).
Požadavky GDPR budou muset řešit všechny společnosti, neboť každá má nějaké zákazníky, zaměstnance, obchodní partnery apod. Zásadní rozdíl mezi privátním sektorem a státní správou spočívá v článku 37, který definuje následující: „Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů (DPO) v každém případě, kdy zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí.“
V případě privátního sektoru se bude muset posoudit, zda zpracování osobních údajů plní další požadavky výše zmíněného článku GDPR.
Jako u všech složitých procesů i při implementaci opatření vyplývajících z nařízení GDPR a úpravy zákona o kybernetické bezpečnosti můžeme za základní rizika označit zejména nedostatek:
Největším rizikem je přitom nedostatek času. Požadavky zákona o kybernetické bezpečnosti a na něj navazujících vyhlášek musí dotčené subjekty splnit do 1 roku od určení. V případě GDPR je pevně stanoveno datum účinnosti, a to 25. 5. 2018. Obě tyto normy požadují implementovat mnoho nových opatření, a to jak v technologické, tak i procesní rovině, včetně takových nezbytností jako trvalé zvyšování povědomí zaměstnanců formou školení, e-learningu apod.
Riziko nedostatku finančních zdrojů částečně navazuje na nedostatek času. Každá společnost (státní nebo privátní) plánuje svůj rozpočet na dané období (obvykle kalendářní rok). Zákon o kybernetické bezpečnosti, s přechodnou dobou 1 rok od určení, je z tohoto pohledu milosrdnější, na druhou stranu pevně definuje seznam bezpečnostních opatření, která každá určená společnost musí implementovat. Tento seznam není krátký a implementace daných opatření nebude jednoduchým a levným procesem.
GDPR na druhou stranu nedefinuje, která bezpečnostní opatření je nutné implementovat, což celou situaci ještě více komplikuje. Zde musí být prvním krokem pro implementaci bezpečnostních opatření pro ochranu osobních údajů provedení důkladné a důsledné analýzy rizik. Teprve po této analýze a definování jednotlivých rizik a jejich míry bude možné navrhnout taková bezpečnostní opatření, která budou tato rizika snižovat na akceptovatelnou úroveň.
Třetím ze základních rizik je nedostatek lidských zdrojů. Zákon o kybernetické bezpečnosti bude, s největší pravděpodobností, vyžadovat i pro poskytovatele základních služeb určení následujících bezpečnostních rolí:
Roli manažera a architekta kybernetické bezpečnosti může teoreticky vykonávat jedna osoba, nicméně vzhledem ke specifikům daných rolí (jedna je více zaměřena na procesní část, druhá na technologickou) lze předpokládat, že takový specialista na trhu práce nebude k dispozici.
GDPR vyžaduje ve specifických případech roli pověřence pro ochranu osobních údajů. Jeho profesní profil je opět velmi zajímavý:
V nejbližších měsících by měla Rada EU schválit další nařízení tzv. ePrivacy (o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích). Toto nařízení, jak vyplývá z jeho názvu, by mělo postihnout problematiku GDPR v prostředí elektronických komunikací. Nařízení řeší mimo jiné i problematiku cookies (povinnost poskytovatele informovat uživatele služby o zpracování údajů prostřednictvím cookies a obdržet jeho souhlas s takovým zpracováním ještě před uložením cookies v počítači návštěvníka webové stránky) nebo marketingových sdělení pomocí elektronických komunikací (např. při telefonním marketingu půjde o jednoznačnou identifikaci toho, že se jedná o marketingové sdělení, a to např. formou jednoznačného předčíslí call centra).
Základním účelem nařízení je to, aby každý člověk mohl svobodně odsouhlasit, že poskytovatelé elektronických komunikací a ti, kteří tyto komunikace využívají, mohou shromažďovat jeho osobní data. Ochrana soukromí bude zaručena nejen u obsahu, ale také u metadat, jako jsou například čas a místo hovoru. Tyto povinnosti budou pravděpodobně znamenat změny i jiných zákonů (zákon o elektronických komunikacích apod.), které budou lépe popisovat požadavky na provozovatele a uživatele nejen veřejných komunikačních sítí.
Další informace o novinkách v legislativě kolem IT najdete zde, v předchozí části tohoto článku.
Zbyněk Malý, Senior Security Consultant společnosti ANECT