Již pouze patnáct měsíců zbývá firmám na přizpůsobení se pravidlům ochrany dat nové regulace na ochranu osobních údajů (GDPR = General Data Protection Regulation). Informace o zákaznících, dodavatelích (pokud jde o fyzické osoby) a zaměstnancích zpracovává téměř každá firma. Kromě toho se velké databáze osobních dat nacházejí například ve zdravotnických záznamech o pacientech nebo v registrech o občanech ve státní správě. Pokud organizace nepřizpůsobí toto zpracování novým podmínkám, hrozí jim pokuty do výše až 20 milionů € nebo 4% celosvětového ročního obratu.
„Nařízení o ochraně osobních údajů se dotkne drtivé většiny firem“ říká Eva Škorničková, právní konzultantka ochrany dat a bezpečnosti IT. „Změny nové regulace zasáhnou veškerý proces od sběru dat, přes jejich zpracování až ke skartaci nebo smazání ze systému.“
Co GDPR znamená pro české podniky?
Nařízení upravuje například formu souhlasu se zpracováním osobních údajů, který je nutno získat od každého člověka při sběru těchto dat. Souhlas musí být výslovný, jednoznačný a kdykoliv odvolatelný. Pokud například provozujete e-shop, je důležité zrevidovat, jakým způsobem informujete zákazníka o jeho právech a jaké možnosti mu dáváte pro aplikaci práva. Vaši zákazníci mají právo například vypsat si od vás osobní údaje, které o nich uchováváte, nebo vyžádat jejich nenávratné smazání ze systému.
Pro organizace státní správy a takové, které pracují s velkými databázemi nebo obzvlášť citlivými údaji se vztahuje další podmínka, a sice jmenování osoby, odpovědné za ochranu osobních údajů (Data Protection Officer, DPO). Funkcí DPO je zejména dohlížet na soulad s GDPR a provádět interní činnosti, jako jsou audity nebo školení. Netřeba ale zapomínat na to, že odpovědnost za splnění požadavků GDPR nese vedení společností.
Prakticky to pro firmy znamená kromě jiného revizi smluv, směrnic a interních dokumentů, aby byly v souladu s novou legislativou. V mnohých organizacích kde doteď nebyly jasně vymezené role a odpovědnosti pro práci s daty budou muset tyto procesy vzniknout. Změny po technické stránce zasáhnou také velké množství interních systémů, které s osobními daty přijdou do kontaktu.
V případě, že k incidentu navzdory opatřením dojde, firmy budou muset ohlásit únik dat úřadům a obeznámit také zasažené osoby, a to všechno do 72 hodin od jeho zjištění.
Analýza vnitrofiremní bezpečnosti
Z pohledu bezpečnosti je pro firmy důležité důkladně se zamyslet nad tím, jak se s osobními daty v rámci organizace pracuje. Dalším krokem je minimalizovat riziko, že dojde k úniku, ať již úmyslnému nebo neúmyslnému. Z praktického hlediska to znamená začít s analýzou pohybu osobních údajů. Zmapování toho, kde se všude nacházejí, kdo k nim má přístup a jak s nimi zaměstnanci manipulují je základem pro identifikaci problémových míst z hlediska bezpečnosti.
„Podobný audit odhalí často incidenty, které se již aktuálně dějí. Když zaměstnanci sdílejí data prostřednictvím veřejné cloudové služby nebo na nezašifrovaném flash disku, útočník se k nim může velice jednoduše dostat“ vysvětluje Matej Zachar, bezpečnostní manažer společnosti Safetica Technologies. „Výsledky takové analýzy slouží jako podklady pro implementaci dalších opatření. Z hlediska GDPR je nasadit taková pravidla, které umožní předejít incidentu.“
Základní kroky ke splnění GDPR
- Interní audit práce s daty
- Definice pravidel, jak s osobními daty zacházet
- Školení zaměstnanců, jak manipulovat s daty
- Šifrování citlivých dat
- Omezení cest, kterými je možno data přenášet
- Implementace DLP řešení, které zabezpečí, že data neuniknou prostřednictvím chyby nebo nevědomosti zaměstnance
- Zálohování datových úložišť, aby nedošlo k jejich ztrátě
- Ochrana proti externím útočníkům, použitím kvalitního antivirového řešení a dalších technologií v oblasti síťové bezpečnosti, jako jsou IDS/oceneni-a-uspechyIPS, firewally a další
Začněte tím, co dává smysl. GDPR audit je první krok ke splnění této normy. Zjistěte, nakolik jste připravení a na čem byste měli ještě zapracovat.