Odpověď na otázku "Koho se nový zákon týká a jak?" se zdá být na první pohled celkem jednoduchá a jednoznačná. GDPR se prostě týká všech, kdo vlastní a zpracovávají osobní a citlivé údaje. GDPR je závazné pro všechny subjekty, které zpracovávají osobní údaje občanů EU. Nařízení má dopad do všech oblastí podnikání, kde dochází ke zpracování osobních údajů. Stanovuje povinnosti pro správce a zpracovatele údajů, ale současně definuje i práva subjektů, jichž se údaje týkají,
tj. nás, občanů EU.

Mnohem důležitější je však hledání odpovědi na druhou polovinu otázky: jak se zákon těchto společností dotkne. Přestože nařízení je platné průřezově, samotná implementace vyvolává selektivní přístup jak v závislosti na rozsahu zpracování osobních dat, tak i s ohledem na oborové zaměření. To z druhé strany umožní v jednotlivých oborech využívat sdílených znalostí a zkušeností. Rozdíly vyplynou i z individuálních podmínek a prostředí podnikání každého subjektu. Dotčeným společnostem nicméně většinou nezbude nic jiného než uskutečnit rozsáhlé změny v oblasti smluvních vztahů, IT, procesů a postupů, řídicí dokumentace, rolí, školení a v mnoha dalších.

Zvláštní situaci budou řešit zejména společnosti dodávající IT hardware a software s cílem zajistit soulad s nařízením jak na straně dodavatele vlastních řešení, produktů a služeb svým zákazníkům, tak i v rámci implementace požadavků nařízení ve vztahu ke svým interním potřebám.

 

Klíčové faktory pro úspěšnou implementaci

Firmy a organizace projdou v následujících 12 měsících velmi intenzivními změnami, a to prakticky ve všech oblastech svého fungování. Aby tuto cestu mohly úspěšně absolvovat, je vhodné vytvořit sadu realizačních předpokladů, pravidel a zásad (viz modrý box). Jedním z klíčových faktorů pro úspěšnou implementaci nařízení, který významným způsobem ovlivní všechny ostatní zásady, bude změna ve firemní kultuře a v nastavení myšlení zaměstnanců včetně jejího vedení.

Stanou-li se uvedené zásady běžnou součástí fungování, budou společnosti na nejlepší cestě k minimalizaci sankcí a pokut, které pro ně mohou být až likvidační.

Zásada č. 1

Naučit se vnímat a pracovat s osobními údaji jako s aktivem, které má svou hodnotu a přináší významná rizika v rámci jejich zpracování.

Zásada č. 2

Naučit se zavádět adekvátní opatření k vyloučení bezpečnostních rizik spojených se zpracováním osobních údajů.

Zásada č. 3

Naučit se zpracovávat ve svých procesech jen ty osobní údaje, které skutečně potřebují.

Zásada č. 4

Naučit se klasifikovat data a přidělovat jim hodnotu.

Zásada č. 5

Naučit se zajišťovat celý životní cyklus zpracování osobních údajů od jejich oprávněného sběru až po jejich přenos nebo výmaz ze systému.

Zásada č. 6

Naučit se detekovat a oznamovat bezpečnostní události a incidenty v souvislosti se ztrátou či únikem osobních údajů.

Zásada č. 7

Naučit se včas reagovat i na sebemenší podezření na bezpečnostní incident.

Zásada č. 8

Naučit se hrát fér a předat osobní údaje konkurenci, požádá-li o to jejich vlastník.

Zásada č. 9

Naučit se evidovat veškeré prováděné činnosti k zajištění ochrany osobních údajů, ale také evidovat veškeré bezpečnostní události a incidenty.

Zásada č. 10

Nebýt slepí.

 

Na co se připravit v podnikání

Všichni, kdo budou realizovat opatření k dosažení souladu s novým nařízením, budou muset přijmout skutečnost, že po fázi analýz a návrhu opatření nastane kontinuální proces implementace změn hlavně v IT systémech, v nastavení procesů, v aktualizaci řídicí dokumentace, v práci bezpečnostního dohledu, v nepřetržitém vzdělávání a v dalších aktivitách, včetně trvalé změny firemní kultury a způsobů vnímání významu ochrany osobních údajů. Bude nezbytné se připravit na komplexní změnu, a to ve všech aspektech působení společnosti, řízení procesně organizačních, technologických a obchodních změn. Pro realizaci těchto aktivit bude třeba zajistit a připravit finanční, časové, lidské i znalostní zdroje.

Mnohé společnosti jsou již dnes povinny plnit mnoho pravidel souvisejících se zákonem o ochraně osobních údajů nebo případně s ISO certifikacemi. Pro takové společnosti bude pokračovat v implementaci nových opatření jednodušší. Šíře změn bude záležet na druhu a rozsahu podnikání, složitosti procesů, struktuře IT systémů a dalších faktorech, především však na schopnosti přijmout a integrovat nezbytné změny do svého myšlení a přístupu. Společnost, která bude ve shodě s novou legislativou, pak bude vnímána svými zákazníky jako odpovědná a důvěryhodná. V případě nesouladu s požadavky riskuje ztrátu reputace, odliv zákazníků, sankce, finanční pokutu, existenční hrozbu anebo jako právnická osoba trestní odpovědnost.

Při realizaci změn by mělo být snahou minimalizovat negativní dopady na zákazníky. Je však skoro jisté, že zákazníky bude třeba oslovit a požádat o drobné úkony. Dopad na zákazníky bude nicméně spíše pozitivní, neboť implementace opatření přispěje ke zvýšení zabezpečení jejich osobních údajů.

 

Proč řešení neodkládat až na rok 2018

Termín nabytí účinnosti nařízení 25. 5. 2018 se na první pohled, a v našich krajích obzvlášť, jeví jako poměrně vzdálený. Nicméně v okamžiku nabytí účinnosti by dotčené subjekty měly být již v souladu s nařízením, a nikoliv v procesu realizace opatření. Aby bylo jasné, proč je zahájení prací až v roce 2018 za hranicí realizovatelnosti, stačí se zamyslet třeba nad tím, jak dlouho se v běžné organizaci realizují úspěšné procesně organizační a personální změny nebo jak dlouho trvá uskutečnění středně rozsáhlých změnových požadavků na klíčových systémech, jako jsou např. CRM, ERP, HR a další. Domnívat se, že změna se bude týkat pouze jednoho vybraného systému nebo procesu, by bylo obrovskou chybou, která by mohla vážně ohrozit celou implementaci. Uděláme-li si již dnes jednoduchý zpětný odpočet času potřebného pro jednotlivé fáze implementace změn, jako jsou schválení realizačního projektu, zpracování analýz a návrhů opatření, vypracování zadávací dokumentace pro jejich realizaci, zajištění prostředků a zdrojů, uskutečnění dílčích projektů a úprav, zjistíme, že zahájit práce bylo třeba již v roce 2016. Jakékoliv prodlení může mít katastrofální následky.

 

Jak zajistit naplnění GDPR pomocí informačních technologií

Rozsah příspěvku bohužel neumožňuje popsat všechny souvislosti a návaznosti jednotlivých požadavků nařízení a možnosti jejich pokrytí informačními technologiemi. Navíc čtenář by asi brzy usnul nudou. Doporučme proto spíše několik jednoduchých pravidel.

Při implementaci je dobré se nenechat strhnout k realizaci mnoha dílčích řešení. Naopak je důležité prosazovat komplexní pohled na jeho konečnou architekturu. Je třeba si uvědomit, že řada dnes dostupných informačních technologií již má v sobě integrované funkcionality směřující k naplnění mnoha dílčích požadavků nařízení. Jejich uvážená volba a integrace do celkového řešení může vést k významným úsporám zdrojů, jako je cena, lidé a čas, a současně zajistit mnohem výkonnější celek nejenom z pohledu řízení práce s osobními daty, ale také ze strany dohledu a bezpečnosti.

Je třeba si rovněž uvědomit, že v mnoha systémech bude nařízení vyžadovat i nové funkcionality, které bude nutné navrhnout, vyvinout, otestovat a následně implementovat do prostředí správců a zpracovatelů osobních údajů. Neméně významnou oblastí bude nasazení detekčních, analytických a aktivních nástrojů pro zajištění kybernetické bezpečnosti v oblasti monitoringu, dohledu a prevence.

Jedním ze základních nástrojů bude systém pro sběr a ukládání informací o provozu systémů, tzv. logů, který umožní automatizovaně detekovat, zaznamenat a analyzovat obrovské množství dat. Půjde o klíčovou činnost jak z pohledu zajištění nutných vstupů pro realizaci detekčních a analytických činností nad systémy, tak i pro zajištění důkazního materiálu pro prokazování aktivit v souladu s nařízením na straně správce a zpracovatele. Pro skutečné využití potenciálu uvedených systémů a zajištění souladu s nařízením bude nezbytné doplnit do procesu monitorování a řízení bezpečnosti osobních údajů i operátory a analytiky tak, aby bylo možné určovat kořenové příčiny jednotlivých neobvyklých stavů a navrhovat na ně účinná opatření a reakce. A to zatím stroje samy nedokážou.

Zmiňme alespoň hlavní požadavky, které mohou pomoci s plněním uvedených funkcionalit. Příklady doporučených řešení, jejichž míra nasazení závisí na velikosti a struktuře využívané IT infrastruktury a rozsahu zpracování osobních údajů, mohou být:

  • řešení pro detekci úniku dat, např. DLP,
  • nástroje pro monitoring chování v síti,
  • auditní či provozní řešení pro systémy s nestrukturovanými daty,
  • řešení pro řízení rolí a oprávnění,
  • řešení pro důvěryhodné ukládání a řízení logů,
  • řešení pro vyhodnocování bezpečnostních událostí,
  • řešení pro IT servis management
  • či mnohé další.

 

Komunikační kanály, e-shopy, sociální média

Při práci na internetu, často aniž bychom si to uvědomovali, platíme svými osobními údaji. Údaje o naší poloze nebo o prohlížených stránkách dávají cenné informace, jejichž spojení představuje riziko pro naše soukromí. Kromě údajů, které o sobě zveřejníme sami, se objevují také údaje zveřejněné jinými osobami. Před zneužitím těchto informací nás ale chrání občanské právo.

Při nákupu zboží přes internet uzavíráme s obchodníkem kupní smlouvu stejně jako při nákupu v kamenném obchodě. Kupující má obvykle postavení spotřebitele, jehož chrání zákon o ochraně spotřebitele. Produkty si lze koupit i v internetových aukcích, kde se uplatnění ochrany spotřebitele rozlišuje podle vystupování prodávajícího, ten může vystupovat jako podnikatel či nikoliv.

Na internetu nás ohrožují především různé typy škodlivého softwaru (adware, spyware, malware), který se k nám může dostat nejen přímým útokem hackera, ale též stahováním z neautorizovaných zdrojů. O soukromé či důležité dokumenty nás může připravit i vlastní nevědomost či neopatrnost, především pokud se nechráníme nebo se chráníme nedostatečně. Je proto třeba dávat pozor na sílu hesel, chránit počítač antivirovými programy a zálohovat důležité dokumenty.

V oblasti osobní komunikace je dnes složité rozpoznat, zda nebyla adresa napadena hackery, je proto výhodné využívat chráněnou osobní komunikaci. Musíme se zamyslet i nad tím, že všechny údaje jednou na internet vložené tam zůstávají i po vymazání z jednoho zdroje a případná náprava takového stavu je nadmíru pracná, ač třeba GDPR v tom práva subjektu údajů posiluje.

 

Nejenom implementovat, ale stále držet krok

Udržet krok v ochraně firemních dat v neustále se měnícím a vyvíjejícím prostředí není jednoduché. Jednou z možných strategií pro zajištění souladu s nařízením GDPR a kybernetické bezpečnosti ve společnosti nebo organizaci je implementace bezpečnosti formou služby. Umožní pružně reagovat na aktuální potřeby ochrany, a to jak z pohledu finančních prostředků, času, tak i personálního zabezpečení. Bezpečnost jako služba, Security as a Service (SECaaS), je model, při němž organizace nezajišťuje svoji informační bezpečnost nebo její části vlastními silami, ale nakupuje je jako službu od externího poskytovatele. Poskytované služby je možné implementovat a začít využívat postupně a krok po kroku zkvalitňovat zabezpečení všech aktiv. Zaměří-li se společnost naopak na pořízení vlastních nástrojů, bude plně odkázána na interní procesy a vlastní schopnosti, jak rychle je schopna obhájit konkrétní řešení, zajistit finanční zdroje, schválit implementaci, realizovat, zabezpečit odborný personál pro obsluhu prostředků a také schopnost dlouhodobě udržet funkčnost a rozvoj implementovaných systémů.

 

Bezpečný přístup k síti

Termín "Bezpečný přístup" zní příliš absolutně, než aby mohl být reálný, zejména v prostředí kyberprostoru tak, jak jej dnes známe. Je možné hovořit pouze o takové míře zabezpečení, která se dá v dané situaci s využitím dostupných prostředků dosáhnout a která nikdy není a nebude stoprocentní. Přístup k síti se, bez přehánění, dá přirovnat k situaci, kdy člověk vstupuje do prostředí jaderného reaktoru. Neobejde se bez pořádně tlustého ochranného obleku, tvořeného ideálně mnoha vrstvami zajišťujícími patřičné odstínění, a neobejde se ani bez nepřetržitého monitoringu okolního prostředí, aby se včas dozvěděl o případném překročení kritických hodnot a mohl na ně ihned reagovat. Stejně je tomu při organizačním a technickém zajišťování co nejlepší kybernetické ochrany. Je třeba si uvědomit, že právě síť vytváří klíčovou komunikační infrastrukturu, kterou je nutné mít maximálně bezpečnou. To je velmi často podceňováno a nezřídka vede k fatálním zranitelnostem.

Co platí obecně? Nepropadat panice, ale také neotálet. Vyjít z aktuálního zákona o ochraně osobních údajů a zhodnotit, nakolik je již dnes soulad s ním zajišťován. Nedat se strhnout k chaotické realizaci nesourodých dílčích úkolů, ale pojmout řešení komplexně, s nadhledem a postupovat krok po kroku. A především, používat zdravý rozum.

Jiří Sedlák, O2 IT Services