Podniky tedy mají necelý rok na to, aby se novým podmínkám přizpůsobily. Ačkoli se rok může zdát jako dlouhá doba, podle expertů je to spíše málo a kdo s přípravami ještě nezačal, neměl by déle otálet. Nové předpisy jsou totiž poměrně komplikované a není snadné všem aspektům správně porozumět. Vyžadují nový pohled na správu dat a informací a nový přístup k jejich ochraně. Záleží i na tom, kam jsou data ukládána - zda do veřejného cloudu, nebo na místních serverech. Mění se i podmínky možnosti využití dat k analýzám. Nová legislativa tedy znamená nemalou administrativní zátěž a vyžádá si zvýšené náklady a zavedení nových procesů.

Vedle sjednocení pravidel a požadavku absolutní transparentnosti je jedním z nejvýraznějších rysů nařízení GDPR razance, s jakou je unie odhodlaná jeho dodržování vymáhat. Finanční sankce za nedodržení předpisů jsou velmi citelné: dozorové úřady budou moci za porušení povinností uvalit pokutu do výše 4 procent globálních výnosů provinilé organizace nebo 20 milionů eur (podle toho, která částka bude vyšší), nebo dokonce iniciovat trestní řízení.

Společnosti Trend Micro a VMware ve spolupráci s agenturou Ipsos nedávno provedly výzkum ohledně znalostí GDPR mezi českými manažery. Vyplývá z něj, že většina firem již je s novým nařízením obeznámena - o jeho existenci ví téměř osm firem z deseti. Nicméně pouze zhruba jedna z deseti obeznámených firem správně rozumí potenciální výši pokut za porušení předpisu.

 

Klíčové aspekty GDPR

GDPR celkem sestává z 91 článků. Jeho značná část se týká procesního a legislativního rámce ochrany dat, avšak některá z klíčových ustanovení mají závažný dopad na bezpečnostní požadavky, což se projeví u většiny podniků nutností procesních i technických změn.

GDPR upravuje oblast nakládání s osobními údaji, jež jsou zde však definovány velmi široce. Patří k nim tedy mimo jiné i IP adresa, podle níž lze identifikovat zařízení konkrétního uživatele, přičemž se GDPR vztahuje stejnou měrou na údaje o zákaznících i zaměstnancích. Podniky často vymezení pojmu osobní údaj nechápou dostatečně a nemají nastavené patřičné procesy pro sledování nakládání s osobními údaji a jejich ochranu.

Narušení údajů je definováno jako činnost, která vede k "náhodnému nebo protiprávnímu zničení, ztrátě, pozměnění, neoprávněnému zveřejnění nebo přístupu k osobním údajům přenášeným, uchovávaným nebo jinak zpracovávaným". Narušení údajů tedy nemusí být nutně způsobené narušením bezpečnosti. Zároveň GDPR nepovažuje ztrátu šifrovaných dat za narušení údajů, což nepochybně povede mnoho subjektů k šifrování maximálního množství dat.

GDPR požaduje zavést technická a organizační opatření, která zajistí náležité zabezpečení uchovávaných osobních údajů, včetně jejich ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Před samotným zavedením takových opatření ale musí subjekt vypracovat posouzení míry potenciálních rizik pro osobní údaje, tzn. získat podrobný přehled o tom, kdo přistupuje k údajům, prostřednictvím jakých aplikací a jak uživatelé s údaji nakládají. To se týká všech osob, které mají přístup k podnikové síti - vedle běžných uživatelů také externích dodavatelů a spolupracovníků a privilegovaných IT uživatelů.

Součástí technických opatření je i zavedení prostředků ke sledování každodenního nakládání s regulovanými osobními údaji. Tyto prostředky má k dispozici pověřenec pro ochranu osobních údajů, kterého subjekt musí také ustanovit. Pověřenec, který musí vykazovat odborné znalosti práva a praxe v oblasti ochrany údajů, může být interní pracovník i externě najatá osoba. Podle GDPR má být přímo podřízen vrcholovým řídícím pracovníkům, ale nesmí nedostávat žádné pokyny týkající se výkonu svých úkolů. Nesmí být ani za jejich plnění žádným způsobem sankcionován.

GDPR dále zavádí koncept nepřetržitého dodržování povinností a auditu. Znamená to, že subjekty musí pravidelně - nikoli ročně nebo pololetně, ale spíše týdně, či dokonce denně - provádět audity v souladu s legislativními požadavky. Auditor je oprávněný kdykoli požádat o prokázání souladu a subjekt toho musí být schopen v podstatě okamžitě, což je velmi náročný požadavek, který bude vyžadovat mimo jiné vedení podrobné evidence aktivity všech uživatelů. Za provádění pravidelného auditu souladu s GDPR je odpovědný pověřenec.

 

Jak s naplňováním GDPR začít?

GDPR klade značné nároky na dotčené subjekty, musí jim takříkajíc přejít do krve - stát se nedílnou a přirozenou součástí firemní kultury. Jak a kde tedy s naplňováním nového předpisu začít? Základem tvorby strategie a akčního plánu příprav je pět kroků:

  • ustanovit pověřence pro ochranu osobních údajů,
  • zjistit, kde všude jsou osobní údaje shromažďovány, ukládány a užívány,
  • zavést předepsaná pravidla a technická a organizační opatření v oblasti ochrany osobních údajů,
  • zavést předepsaná opatření pro informovanost, ochranu a služby osobám, jejichž osobní údaje subjekt uchovává či zpracovává (včetně zajištění práva "být okamžitě zapomenut"),
  • připravit postupy pro případ porušení zabezpečení osobních údajů včetně implementace nástrojů pro detekci, vykazování příslušnému dozorovému orgánu a upozornění dotčených osob.

 

Článek byl publikován v ICT revue 6/2017.