GDPR jako kontinuální proces, nikoliv jako jednorázové řešení

Termín začátku platnosti evropské regulace pro ochranu osobních údajů, známé pod zkratkou GDPR, je za námi. V platnost vstoupila již 25. května tohoto roku a společnosti by tak už měly mít ochranu citlivých dat vyřešenou. Legislativě GDPR přizpůsobily své podmínky i globální giganti jako Google, Microsoft a Facebook. Každá společnost k této problematice přistupuje svým způsobem a po svém se snaží požadavky regulace naplnit.

Ve spojitosti s GDPR často mívám pocit, že se podobá kauze Y2K. Tehdy vznikaly různé katastrofické scénáře z důvodu nepřipravenosti počítačových systémů, které měly vypuknout právě 1. 1. 2000. Scénáře předvídaly např. výpadky v dodávce energií, nebo i havárie některých elektráren, problémy s řízením provozu, problémy bankovních systémů atd. Nakonec se žádná globální apokalypsa nekonala. 

Katastrofické scénáře provázely i GDPR

S blížícím se termínem zahájení platnosti GDPR se opět objevovaly různé katastrofické scénáře a predikce negativních dopadů, které nám toto nařízení zlé Evropské unie mělo přinést. A tak můžeme zjistit, že po zavedení GDPR např. novináři nebudou moci dělat pořádně svou práci, města a obce budou v ohrožení likvidačních pokut, firmy zavaleny dalším byrokratickým opatřením, které nic nepřinese, jen bude stát navíc peníze, a tak bychom se měli připravit na zdražení. 

Chránit osobní údaje máme již dávno

Je to trochu paradoxem v zemi, kde zákon na ochranu osobních údajů platí již od roku 2000. Navíc zákon, který je v některých ohledech přísnější než aktuální evropská regulace, jelikož nařizuje správcům a zpracovatelům přijmout taková opatření, která zcela vyloučí neoprávněné zpracování nebo zneužití osobních údajů. Bez výjimek. V ČR by všechny organizace měly zpracovávat osobní údaje podle tohoto zákona a přechod na GDPR by pro ně tedy neměl být revolucí. Jak je ale vidět, změna výše maximálních pokut, která míří zejména na globální hráče zpracovávající osobní údaje velkého rozsahu, jako je Google, Facebook, mobilní operátoři atp., změnila i přístup českých společností k problematice ochrany osobních údajů. 

Samozřejmě, pokud je vaše společnost velkým správcem osobních údajů (typově banka či jiná finanční instituce, telekomunikačních operátor, poskytovatel/dodavatel energií atp.), tedy zpracovávající opravdu rozsáhlé množství osobních údajů a ze své podstaty je zpracování rizikové pro práva a svobody fyzických osob, pak na vaši společnost GDPR klade vyšší nároky. 

Myslím, že pro nás občany (tedy subjekty údajů), se jedná o pozitivní krok. Vlastně se ukazuje, že takové nařízení bylo třeba, protože dle průzkumů občané otázce ochrany jejich údajů přikládají vysokou důležitost. I když v ČR existuje zákon již spoustu let, aktuální dění ukazuje, že společnosti měly v jeho naplňování přinejmenším značné mezery. Navíc česká legislativa neměla žádný podstatný vliv na chování globálních hráčů a nadnárodních firem, což aktuální evropská legislativa již má. To můžeme také považovat za pozitivní stránku věci. Na druhou stranu je ale také pravda, že občané sami vystavují své osobní údaje na obdiv a zpřístupňují komukoliv, což potvrzuje i minimální odliv uživatelů Facebooku po vypuknutí skandálu o využívání uživatelských dat. 

Evropská legislativa

Problém s GDPR a naplnění jeho požadavků ve společnostech je samotný text. Text nařízení je, jak bývá u evropské legislativy zvykem, dlouhý a napsaný složitým jazykem, z čehož plyne obtížná pochopitelnost pro laiky i množství diskuzí a nejasností pro odborníky. Když se to navíc zkomplikuje nevhodným překladem z anglického originálu (viz povinnost jmenovat DPO pro jakýkoliv veřejný subjekt) nebo čekáním na český adaptační zákon (který je zatím stále v nedohlednu), je zaděláno na pořádný chaos. V posledním roce se tak vyrojila spousta odborníků na kybernetickou bezpečnost, kteří se na tématu GDPR přiživují. Najdeme nepřeberné množství firem provádějících všemožná školení, analýzy, poskytující různé certifikace nebo ideálně nabízejících taková řešení, jejichž nasazení znamená pro firmu, že má ono hnusné GDPR z krku. 

A tak většina organizací zatím investovala zejména do pořízení znalostí o GDPR, případně provedení konzultačních činností, jejichž výsledkem v drtivé většině organizací jsou doporučení na úpravu organizačních směrnic, úpravu smluv atp. S tím si ale málokdo dlouhodobě vystačí. Rozdíl GDPR a kauzy Y2K je v tomto značný – Y2K odezněla v roce 2000 a dál se jí již nikdo nezabýval. Ochrana osobních údajů je ale nekončící proces, který nelze jednorázově vyřešit a následně se jím již nezabývat. 

Chránit data je třeba dlouhodobě

Je třeba si uvědomit, že zabezpečení osobních údajů (tedy poskytnutí jim adekvátní míru ochrany v návaznosti na rizika) je podmnožinou ochrany informací jako takových. Ochrana informací je průběžná a soustavná činnost, která z podstaty věci potřebuje podporu vedení organizace, personální obsazení a také organizační a technická opatření. Inspirovat se lze normami, které se vyvíjejí a existují dlouhá desetiletí jako ISO 27001, nebo třeba zákonem o kybernetické bezpečnost. 

Dlouhodobě se nelze spolehnout pouze na tzv. organizační opatření. Tedy se správným nastavením organizačních procesů, ty jsou samozřejmě prvním stavebním kamenem. Důležité jsou také lidské zdroje a průběžné zvyšování povědomí zaměstnanců, a v neposlední řadě i adekvátní technická opatření. Podle našich zkušeností by se společnosti měly držet klasického bezpečnostního mixu: provést analýzu rizik, klasifikovat data, provést organizačních opatření, zajistit proškolení zaměstnanců a realizovat fyzické a elektronické opatření k zabezpečení dat. Je také dobré, aby společnosti měly alespoň elementární procesy pro řízení bezpečnostních incidentů, plánování kontinuity provozu atp. 

Data musíme ve firmě chránit podle úrovně jejich citlivosti, důležitosti a v návaznosti na zjištěná rizika musíme také vědět, že tato ochrana funguje a zaměstnanci ji neobchází a dodržují. Všechna „informační aktivita“ by měla mít jasnou zodpovědnou osobu, protože pokud jsou důvěrná data „všech“, nikdo za ně necítí reálnou zodpovědnost a to je cesta do pekel. Tento systém je navíc celý zapouzdřen do tzv. PDCA modelu, který zajišťuje průběžné zlepšování zabezpečení a adaptaci na nové výzvy a měnící se prostředí. 

To je totiž, zejména v oblasti informační bezpečnosti v elektronické podobě, velmi podstatné. Celé organizace, informační systémy a infrastruktura, nebo jednotlivé procesy, často mění radikálně svou podobu a tyto změny je třeba promítnout i do systému zabezpečení. 

Firmy musí vědět, kde data mají a kdo k nim má přístup

Průběžně by společnost měla mít jasno v tom, jaké osobní údaje zpracovává, kde všude se tyto údaje nacházejí, kdo všechno k nim má přístup a jak s nimi pracuje. Zde platí obecné poučení, že management si myslí, že ví, ale realita je často dost odlišná. Je vhodné provádět průběžnou kontrolu nastavených procesů, abychom předešli nežádoucím excesům. Co nekontroluji, to neřídím – toto zlaté pravidlo projektového managementu platí i v oblasti informační bezpečnosti. Proto se vyplatí průběžně komunikovat s lidmi ve firmě a v některých případech se může hodit třeba i nezávislý audit práce s daty uvnitř společnosti. 

Jedna rada na závěr

Dnes je GDPR obrovským tématem, které zastiňuje další oblasti kybernetické bezpečnosti. V každé společnosti se ale nachází mnoho jiných, pro firmu důležitých a citlivých dat, jejichž ztráta nebo vynesení může potenciálně způsobit velké škody. Nezaměřujte se proto při řešení GDPR jen na osobní údaje, ale využijte této šance v jenom kroku vyřešit ochranu i ostatních citlivých dat. K ochraně informací se můžete inspirovat i obecnými normami, jako je např. ISO27001 nebo zákonem o kybernetické bezpečnosti (pokud přemýšlíte jak začít, doporučuji dobře zpracovanou vyhlášku 316/2014 Sb.). Pokud jsou tyto postupy dobré pro kybernetickou obranu státu, jistě budou dobré i pro ochranu osobních údajů.

Martin Ondráček