Přes 200 lidí se koncem února zúčastnilo semináře value added distributora, společnosti Avnet TS, v konferenčním centru U Hájků. Hojná účast naznačovala, že téma GDPR mezi firmami rezonuje, i když dotazy z pléna ukázaly, že nové nařízení o ochraně osobních údajů, které vejde v platnost v květnu 2018, zatím většina organizací řešit nezačala, ani přes velkou časovou náročnost zavedení vnitřních opatření a hrozící obrovské pokuty.
Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti a specialista pro kybernetickou bezpečnost ve společnosti Cendis, ve svém vstupu srovnal rozsah a souvislosti Zákona o kybernetické bezpečnosti v novelizované podobě (NIS), nařízení o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS) a obecného nařízení o ochraně osobních údajů GDPR.
Vzpomenul, že NIS rozšířil záběr o poskytovatele základních služeb (energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, chemický průmysl…) a nově také poskytovatele digitální služby (on-line tržiště, internetové vyhledávače a cloud computing). Za nesplnění předpisů tohoto zákona hrozí pokuty až pět milionů korun.
K tomu přichází eIDAS, které definuje uznáváné prostředky pro elektronickou identifikaci fyzických osob (el. podpis) a právnických osob (el. pečeť). Nastavuje také pravidla pro služby vytvářející důvěru (certifikační autority) a stanovuje úplné elektronické podání. Účinnosti nabyde 1. 7. 2017, přičemž ČR má dvouleté přechodné období.
Špidla upozornil, že u nás stále existují legislativní, technické i organizační překážky zavedení a že právní předpisy nejsou připravené na požadavky vyplývající z eIDA. Pokuty zde přitom dosahují výše až dvou milionů korun.
Obecné nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation) přináší povinnost správců a zpracovatelů těchto údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést různá technická, organizační a procesní opatření. Cílem je samozřejmě zajistit napříč Evropou souladu s principy GDPR.
Nařízení nabyde účinnosti 25. 5. 2018. Nahrazuje směrnici 95/46/ES a související zákon č. 101/2000 Sb. o ochraně osobních údajů. Za nesplnění požadavků tohoto nařízení hrozí pokuty ve výši až 20 milionů eur nebo 4 % z celosvětového ročního obratu organizace. Regulátorem je v tomto případě ÚOOÚ.
Pro organizace, které nakládají s osobními údaji fyzických osob, to znamená vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment), případné jmenování pověřence pro ochranu OÚ (Data Protection Officer) a další aktivity typu pseudonymizace údajů, logování všech činností s nimi souvisejícími atd. viz dále.
Aleš Špidla v závěru shrnul, že všechna tři nařízení jsou úzce propojené a je nutné na ně reagovat společně – neochráníte osobní (a další) data, pokud nemáte zajištěnou kybernetickou bezpečnost a nezajistíte bezpečnost, pokud nemáte vyřešené identity…
Navíc jejich společným jmenovatelem je také trestní odpovědnost právnických osob.
Podle Aleše Špidly je nutné: přestat si lhát, že se vás to netýká, přestat si přehazovat odpovědnosti, nevnímat jednotlivá nařízení izolovaně, zpracovat GAP analýzy, nechat si navrhnout opatření a implementovat je.
Poté vystoupila Lenka Suchánková z advokátní kanceláře Pierstone, která potvrdila, že i když předchozí regulace ovlivňují různá odvětví, GDPR dopadne napříč všemi segmenty. Nařízení není nové, spíše vyjasňuje „šedé zóny“, jež předchozí regulace nemusely obsáhnout.
Upozornila, že platnost nařízení GDPR je závazné od stanoveného data. Zpracování přípravných analýz a kroků, které je potřeba zavést, může přitom u malé a střední organizace trvat klidně tři měsíce, a to je teprve začátek.
Navíc Lenka Suchánková připustila, že stále ještě v různých sektorech neexistují „dobrovolné“ kodexy jednání, které by usnadnily zavádění opatření v jednotlivých odvětvích.
Co jsou osobní údaje
Osobní údaj, jak jej chápe GDPR, je jakákoliv informace o fyzické osobě, která dovoluje přímou či nepřímou identifikaci. Kromě tradičního jména a kontaktů to tak mohou být i lokační údaje, IP adresa, fyzické či fyziologické údaje atd.
Navíc vznikla speciální úprava pro „citlivé“ údaje typu rasového, národnostního či etnického původu, politických názorů nebo náboženského vyznání, které vyžadují vyšší úroveň zabezpečení. Citlivé jsou samozřejmě informace o zdravotním stavu, genetické a biometrické údaje atp.
Z pohledu resellerů lze za osobní údaje považovat i meta-data, informace o nákupech a používaných službách, vlastněných zařízeních atd.
Lenka Suchánkové vysvětlila, že za zpracování údajů se pod GDPR považuje i to, že je pouze ukládáte na server a dále s nimi nepracujete.
Koho se GDPR týká a jak
Nařízení pracuje se třemi typy subjektů: subjekt údajů (FO, jejíž data ukládáte), správce (organizace pracující s daty) zpracovatel (FO nebo PO, která data zpracovává pro správce – např. i cloudový provider).
Hlavní zásady ochrany osobních údajů |
|
Hlavními „novinkami“, které GDPR přináší, jsou podle Suchánkové širší teritoriální a věcný dopad (např. firmy, které obchodují v EU, ale nemají tu sídlo), povinnost oznámit neoprávněný přístup ÚOOÚ do 72 hodin, zavedení pověřence pro ochranu OÚ (DPO – Data Protection Officer), a zmíněné vyšší pokuty (až 4 % globálního obratu). V případě, že porušení zabezpečení může ohrozit práva osoby subjektu údajů, máte povinnost ji informovat také.
Kromě uvedených povinností správce dat musí samozřejmě posoudit rizikovost a dostatečné zabezpečit osobní údaje. S tím souvisí i nastavení opatření, záruk a mechanizmů pro eliminaci rizika. Pokud hrozí vysoké riziko, je na místě konzultace s ÚOOÚ.
Lenka Suchánková zdůraznila, že vždy musíte mít souhlas FO s tím, pro jaký (konkrétní) účel chcete data ukládat a po jakou dobou. Souhlas musí být jednoznačný a svobodný, nepodmíněný a odlišený od jiných informací. Bez souhlasu rodiče může souhlas udělit pouze osoba starší 16 let.
FO musíte také informovat, jak a kdo bude s daty nakládat, nebo jak může zažádat o výmaz. Z toho vyplývá, že dříve udělené souhlasy je potřeba aktualizovat podle požadavků GDPR.
Z vašich logů pak musí být prokazatelné, že souhlas souvisel s konkrétním údajem a byl udělen příslušnou osobou, na příslušnou dobu a že osoba udělující souhlas byla informována o účelu zpracování.
Pokud uplyne doba pro uchování údajů, osoba souhlas odvolá, nebo není nutné mít údaje pro zpracování, je nutné data nezvratně a kompletně vymazat a zaslat osobě potvrzení o jejich výmazu.
Výjimky jsou, ale nespoléhejte na ně
Nařízení má určité výjimky, kdy není nutné získat výše vysvětlený souhlas osoby. Jde např. o údaje nezbytné pro určení, nutné pro výkon či obhajobu právních sporů, nebo nezbytné pro plnění právních povinností či splnění úkolu ve veřejném zájmu…
Výjimku pro zpracování dat bez souhlasu má také např. plnění smlouvy nebo jednání o jejím uzavření, či ochrana vlastních oprávněných zájmů. V tomto bodě asi každého, kdo má CRM s B2B kontakty, napadne, jestli bude potřebovat jejich nový souhlas. Podle výše uvedeného ne, ale stále byste s těmito daty měli nakládat jako s osobními údaji.
GDPR se nevztahuje na anonymizované údaje. Opačně tomu je u pseudonymizovaných údajů, tedy těch, které jsou dočasně oddělené od osoby a lze je přiřadit pouze na základě dalších identifikátorů.
Pro pseudonymizaci (jako bezpečnostní opatření) však platí výjimky, např. z informování o úniku a dalších povinností. Tyto údaje mohou být navíc zpracovány nad rámec původně definovaného účelu.
GDPR upravuje i smlouvu o zpracování respektive předávání osobních údajů, které zajišťuje zpracovatel, případně jeho sub-zpracovatel. Zpracovatel je vázán pokyny správce, který nese hlavní zodpovědnost (a riziko).
Technická a organizační opatření podle GDPR
K technickému zabezpečení GDPR obsahuje pouze demonstrativní výčet možných opatření. Správce a zpracovatel mají přijmout „vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku“.
Sám správce tedy musí vyhodnotit např. zavedení pseudonymizace a šifrování. Obecně je nutné nastavit pravidelné testování a hodnocení odolnosti systémů. Existuje také povinnost zajistit dostupnost osobních údajů a přístupu k nim v případě fyzických či technických incidentů (otázka zálohování a obnovy dat).
Mají být vytvořeny tzv. kodexy chování, které správcům pomůžou prokazovat technické zabezpečení v souladu s právními předpisy. Schvalovat je bude ÚOOÚ. Zatím však neexistují…
Můžeme očekávat, že se „vyrojí“ orgány, které budou udílet podnikům akreditace potvrzující splnění nároků GDPR. Tyto certifikáty budou platné na tři roky. Z pohledu VAR to jsou vše nové obchodní příležitosti.
Už teď je pozdě
Několik čísel ukazující stav bezpečnostního trhu prezentoval následně Petr Zahálka z Avnetu. Z jeho zkušeností naprostá většina firem ještě GDPR neřeší (z přítomných účastníků školení zvedli ruce čtyři a na jiných konferencích se to moc neliší).
Na příkladu organizace o 1000 zaměstnancích ukázal, že jen datový audit, mapování interních procesů a další přípravné činnosti zaberou minimálně šest měsíců. Na základě výsledků auditu se upravují procesy, smlouvy se zpracovateli, upravují se systémy a získávají souhlasy FO. Následně je nutné vypsat tendr na nový SW a HW. Pokud se na organizaci vztahuje zákon o veřejných zakázkách, může se příprava zadávací dokumentace a výběr protáhnout na dalšího půl roku. Samotná implementace pak může zabrat čtvrt roku.
Hrozí tedy, že řada organizací nedokáže do května příštího roku udělat všechny nutné kroky pro splnění požadavků GDPR. Pro představu jen ve státní správě bude chybět až 1 800 DPO a k tomu si přidejte soukromý sektor.
Už teď je tedy pozdě. Na druhou stranu Aleš Špidla alespoň částečně uklidňuje tím, že v případě kontroly dozorujícího úřadu po okamžiku platnosti GDPR se bude brát v potaz fáze implementace a připravenosti (pokud na tom, pracujete, hrozí menší pokuta).
Zdroj: ChannelWorld, Avnet