GDPR alebo: ochrana osobných údajov po novom

Autor MI máj 2017 -
GDPR alebo: ochrana osobných údajov po novom Pixabay

V máji 2018 nadobudne účinnosť smernica GDPR o zmenách v spracovávaní osobných údajov. Hovorí o nej Václav Petrželka, regionálny account manažér Trend Micro pre ČR a Slovensko.

Ako by ste stručne charakterizovali GDPR?

Ide o smernicu EÚ, ktorá výrazne mení pravidla pre spracovávanie a uchovávanie osobných údajov. GDPR alebo General Data Protection Regulation nahradí Smernicu Európskeho parlamentu a Rady o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov z roku 1995. Od toho času sa veľa zmenilo, najmä čo sa týka formy uchovávania osobných údajov. Tie sú dnes v drvivej väčšine v digitálnej podobe a smernica reaguje práve na túto zmenu.
Smernica GDPR zjednocuje pravidlá v rámci Európskej únie a zjednodušuje tak právne prostredie pre medzinárodný obchod. Okrem samotného spracovávania a uchovávania údajov rieši aj povinnosť prijať také bezpečnostné opatrenia, ktoré zaistia ochranu osobných údajov pred krádežou a zneužitím. Zároveň ukladá povinnosť hlásiť závažné bezpečnostné incidenty.

rsz 1 vaclav petrzelka foto2Václav Petrželka

Doteraz firmy bezpečnostné incidenty dostatočne nehlásili?

Žiaľ, nie. V prípade úniku osobných údajov je pomerne bežné, že ho dotyčná organizácia až do poslednej chvíle tají. Nechce, aby bolo poškodené jej dobré meno a ona tak neutrpela ešte väčšie finančné straty. V praxi sa navyše často stretávame so subjektmi, ktoré spracovávajú údaje, ale pritom nepoužívajú ochranu proti moderným typom hrozieb. Zamaskovaný útočník potom v ich sieťach dlhodobo kradne dáta a o incidente sa dozvieme, až keď dáta predá alebo dôjde k inej forme ich zneužitia.

Koho sa nariadenie GDPR dotkne?

Nariadenie sa týka akejkoľvek firmy, ktorá disponuje, spracováva a pracuje s osobnými údajmi občanov Európskej únie. Takže ide nielen o firmy z EÚ, ale o všetky firmy, ktoré ukladajú údaje o európskych občanoch.
Podľa prieskumu Trend Micro, ktorý prebehol na Slovensku a v Českej republike na prelome februára a marca 2017, je približne 89 % spoločností na Slovensku s nariadením GDPR oboznámených, ale len približne 1 z 10 oboznámených firiem je správne informovaná o potenciálnej výške pokút za porušenie predpisov. Väčšina firiem nemá o výške pokút žiadnu predstavu.

Akú pokutu teda môže firma dostať?

Od momentu nadobudnutia účinnosti GDPR môžu firmy dostať pokutu až do výšky 4 % ich celosvetového ročného obratu, alebo 20 miliónov eur, podľa toho, ktorá suma je vyššia. Je jasné, že takáto pokuta môže byť práve pre menšie firmy likvidačná.
Nariadenie nadobudne účinnosť 25. mája 2018 a začne platiť automaticky a bez potreby legislatívnych zmien v jednotlivých členských štátoch EÚ. Je potrebné si uvedomiť, že dovtedy by si všetky firmy, ktoré spracovávajú osobné údaje, mali nechať urobiť audit alebo kontrolu procesov a v prípade nedostatočného zabezpečenia vybrať a implementovať vhodné riešenia. Tento proces trvá často dlhšie ako rok.

Pokiaľ ide o spracovávanie osobných údajov, aké zmeny GDPR prináša a ako veľmi sa sprísňujú pravidlá?

V Slovenskej republike nahradí smernica GDPR zákon č. 122/2013 o ochrane osobných údajov. Najväčšou zmenou oproti nemu je, že teraz budú musieť správcovia zaisťovať tzv. „privacy by design“ – čo je termín, ktorý zatiaľ nemá ustálený slovenský ekvivalent. Tento termín vyjadruje, že firmy musia zaistiť plánované a zabezpečené spracovanie údajov. Musia zaviesť opatrenia, ktoré sú organizačne aj technologicky schopné zaručiť dostatočnú ochranu osobných údajov a zabezpečiť, že budú použité iba na daný účel. Inými slovami, predpokladá sa proaktívny prístup vrátane posudzovania možných dopadov na osobné údaje.

Čo to znamená v praxi?

Firmy budú musieť disponovať vhodným bezpečnostným riešením, ktoré bude schopné ochrániť ich informačný systém a prípadne aj osobné údaje zákazníkov alebo používateľov pred ich narušením. Ide teda o spôsobilosť predísť bezpečnostným incidentom, ktoré by viedli k náhodnému či protiprávnemu zničeniu, strate, zmene či neoprávnenému vyzradeniu alebo sprístupneniu osobných údajov prenášaných, uchovávaných či inak spracovávaných.
Bude potrebné implementovať riešenia, ktoré upozornia na podozrivé správanie – či už zvonku pri krádeži údajov, infiltrovaní systému a podobne, alebo vnútorné pri neopatrnom zaobchádzaní s údajmi. Napríklad pri nešifrovanom zdieľaní na cloudové úložisko.

Firmy budú musieť všetky bezpečnostné incidenty hlásiť „bez zbytočného odkladu“, najneskôr však do 72 hodín dozornému orgánu a v niektorých prípadoch aj samotným postihnutým. To kladie nároky na správu bezpečnostných riešení a schopnosť incidenty reportovať.
Okrem technologických riešení bude rovnako potrebná aj edukácia zamestnancov a všetkých ostatných používateľov, ktorí prichádzajú do styku s osobnými údajmi.

Ako mení GDPR chápanie súhlasu so spracovaním osobných údajov?

Sprísnia sa podmienky, za akých môže byť udelený súhlas so spracovaním osobných údajov. GDPR zvýhodní tých, ktorí súhlas udeľujú, a lepšie ich ochráni pred nechceným udelením súhlasu. Ten musí byť, rovnako ako teraz, slobodný a vedomý, ale od mája 2018 bude musieť byť aj oddelený od iných informácií, napríklad od obchodných podmienok.

Veľa sa hovorí aj o tzv. práve byť zabudnutý.

GDPR nahrádza „právo byť zabudnutý“ tzv. „právom na vymazanie“ (right to erasure), ktoré je podstatne konkrétnejšie. Toto právo ľuďom umožňuje, aby boli ich osobné údaje na požiadanie vymazané alebo prenesené na iné miesto. Zároveň spracovateľ údajov nesmie údaje využiť iným spôsobom a na iný účel, ako na ktorý boli pôvodne zhromaždené.

Ako je to s tzv. „data protection officermi“?

Povinnosť najať Data protection officera (DPO) alebo zodpovedné osoby sa týka všetkých verejných inštitúcií a tiež organizácií a firiem, ktoré „pravidelne a systematicky spracovávajú väčší počet osobných záznamov“ alebo spracovávajú špeciálne kategórie údajov, napríklad informácie o rase, náboženstve, etnickom pôvode, politickej orientácii a podobne. V pôvodnom návrhu bola táto povinnosť stanovená pre všetky organizácie s viac ako 250 zamestnancami, v súčasnosti sa diskutuje o poločnostiach s databázami s 5 000 a viac záznamami. V praxi ide o nemocnice, banky, poisťovne, HR firmy, ale aj o niektoré e-shopy. Osoba poverená funkciou DPO by mala byť odborníkom na zabezpečenie a právo a jej úlohou je dohliadať na dodržiavanie súladu so smernicou GDPR vo firme.

Čo by mala urobiť firma, aby bola čo najlepšie pripravená na GDPR?

Ako je v takýchto prípadoch obvyklé, prvým krokom je uvedomiť si, že sa nejaká zmena vôbec chystá, a zistiť si k nej potrebné informácie. Druhým krokom je zanalyzovať, aké údaje spoločnosť má, kde sú uložené a kto k nim má prístup. Ďalej je potrebné mať nastavené notifikačné procesy, ktoré sa spúšťajú pri narušení bezpečnosti. A po štvrté, je nutné zistiť, či používané bezpečnostné technológie dokážu odhaliť najnovšie typy útokov. Všetkým firmám s pochybnosťami by som odporučil absolvovať bezpečnostný audit. Základnými technologickými kameňmi každej firmy z hľadiska GDPR by mali byť:
1. šifrovanie súborov, ktoré umožní zdieľať ich bez obáv, že by ich tretia strana mohla zneužiť,
2. prevencia, čiže DLP (Data Loss Prevention), ktorá bráni únikom údajov do verejných cloudových úložísk, e-mailom alebo do komunikačných aplikácií typu Skype,
3. kontrola aplikácií, ktoré blokujú škodlivý kód,
4. virtual patching, ktorý dokáže zaceliť zraniteľnosť skôr ako samotný výrobca „deravého“ softvéru.
Ďalej by som menoval ešte kontrolu integrity súborov, analýzu sieťového správania a sandboxing.

Firmy si musia uvedomiť, že GDPR nie je zbytočné byrokratické nariadenie. Táto smernica iba legislatívne ustanovuje to, čo by už všetky firmy mali dávno spĺňať na ochranu firemných aj zákazníckych údajov, a teda aj svojej dobrej povesti.

MI

Trend Micro

Celosvetový líder v oblasti riešení internetovej bezpečnosti. Produkty tejto značky ponúkajú používateľom viacvrstvovú dátovú bezpečnosť ochrany informácií na serveroch, koncových bodoch, ako aj v prostredí cloudov a sietí.
Firma má vyše 5 000 zamestnancov vo viac ako 50 krajinách. V decembri oficiálne otvorila pobočku v Prahe s regionálnym vývojovým centrom a obchodným zastúpením pre ČR a Slovensko. Na Slovensku jej produkty chránia napríklad IT infraštruktúru Slovenského pozemkového fondu.