Ochrana osobních údajů a dalších dat nejen v průmyslových podmínkách Problematika ochrany osobních údajů a implementace GDPR, tedy plným zněním Nařízení EU o ochraně fyzických osob, v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je v současné době velmi diskutovaným tématem. Všechny komentáře tohoto tématu většinou začínají a v podstatě i končí konstatováním, že za nedodržení požadavků tohoto nařízení hrozí sankce dosahující astronomických výšek. Já osobně, když vidím tyto teoretické hrozby, přestávám článek číst a prezentaci sledovat, neboť je velká pravděpodobnost, že se jedná o nějaký marketing ve stylu – pokud si koupíte náš produkt, požadavky GDPR lehce vyřešíte. Opak je ale pravdou. Celý projekt implementace požadavků GDPR, který se určitě nevyhne ani průmyslu a s ním spřízněným sektorům, začíná mravenčí detektivní prací, tedy analytickou částí stávajícího stavu. Ale pojďme si raději popsat, jak se k projektu implementace požadavků postavit čelem. Obecná pravda Základem GDPR je ve skutečnosti ochrana fyzických osob, nikoliv osobních údajů jako takových. Do ochrany fyzických osob ochrana osobních údajů uvnitř společností samozřejmě patří. Hlavním účelem nařízení však není ochrana společnosti, ale ochrana fyzické osoby, která společnosti své osobní údaje zapůjčila k účelu předem definovaného zpracování. I přes skutečnost, že toto nařízení podepsal Evropský parlament a Rada EU již v dubnu 2016, čímž současně vstoupilo v platnost, mnoho firem začíná problematiku řešit až nyní, kdy se již blíží datum jeho účinnosti, tedy 25. květen 2018. Některé společnosti se obracejí na konzultantské firmy s otázkou, zda po 25. květnu 2018 bude existovat nějaké přechodné období pro samotnou implementaci požadavků GDPR. Toto období však probíhá již nyní. Od května 2018 by měly všechny dotčené společnosti fungovat v souladu s tímto nařízením. V celém tomto projektu jde ve stručnosti o to, dokázat si kladně odpovědět na následující otázky se stoprocentní jistotou: • Umíte přesně identifikovat všechna osobní data, která zpracováváte? • Víte, kde všude se nalézají (v jakých systémech, na jakých úložištích)? • Víte, proč je zpracováváte? • Víte, kdo s nimi pracuje a jak s nimi nakládá? • Znáte všechna rizika, která jim hrozí? • Umíte je vyřešit? Otázky jsou velmi jednoduché, nicméně umět si na ně kladně odpovědět již nebude tak snadné. Jak postupovat při implementaci GDPR? Prvním a základním krokem při implementaci GDPR je provedení inventury zpracovávaných dat a zjištění, která nich jsou osobní. Po této inventuře přijde na řadu mapování – tedy určení účelu jejich zpracování a důvod, proč dané údaje zpracováváme a na jakém základě (právní základ, souhlas fyzické osoby, oprávněný nárok správce). V neposlední řadě musíme definovat, jak dlouho budeme data zpracovávat, tedy kolik času zbývá do jejich vymazání nebo úplné anonymizace. Doba jejich uchování přitom musí být jasně definována. Současná podoba udělení souhlasu se zpracováním dat není pro naplnění podmínek GDPR dostačující. V případě, že společnost bude chtít zpracovávat údaje získané v souladu s původním nařízením o ochraně osobních údajů, musí od fyzických osob získat nově souhlas, který bude v souladu přímo s GDPR (zde tedy platí plná retroaktivita). Bez tohoto souhlasu bude docházet k neoprávněnému zpracování osobních údajů. V rámci implementace požadavků GDPR se nám osvědčily především následující kroky: 1. Inventura dat Jedná se o řízené rozhovory (workshopy) s jednotlivými odděleními, kdy se snažíme (převážně metodou brainstormingu) odpovědět na následující otázky: • Jaká data zpracováváte? • Kde jsou uložena? • K čemu jsou využívána? • Na jakém základě tyto informace sbíráte (zákonné důvody, souhlas fyzické osoby, …)? Jaký je přesný účel sběru dat? 2. Procesní inventura • Jaká existují pravidla pro jejich zpracovávání? • Kdo má k těmto informacím přístup a v jakém rozsahu? 3. Businessová analýza Jaké jsou důvody sběru a zpracování těchto údajů: • Definování vlastníka procesu (účelu sběru a zpracování) • Jaké má toto zpracování přínosy pro společnost? • Jaká existují rizika při zpracování těchto údajů (ztráta dostupnosti, integrity, důvěrnosti)? 4. Nové procesy a postupy vyžadované GDPR • Posouzení souhlasů se zpracováním osobních údajů • Posouzení smluvní dokumentace (zpracovatelské smlouvy, …) • Posouzení účelnosti a přiměřenosti zpracování (nastavení doby zpracování a ukládání osobních údajů, nutnost zpracovávání, …) • Kontrola uživatelských přístupů • Kontrola dokumentační základny • Definice hrozeb působících na zpracování • Analýzy rizik 5. Návrh bezpečnostních opatření • Provedení analýzy rizik, určení akceptovatelné míry rizika • Seznam bezpečnostních opatření • Vytvoření roadmapy a prioritizace implementace bezpečnostních opatření (procesní i technologická rovina) Těchto pět základních kroků položí základy pro dosažení souladu s požadavky GDPR, nicméně jde pouze o první část celého procesu. Po ní nastupuje další, neméně důležitá část implementační, v níž se musí definovaná bezpečnostní opatření nejen nasadit, ale také popsat (minimálně v rozsahu pracovních postupů) a dále provozovat. Všem při implementaci GDPR zdůrazňuji nepsanou pravdu – analýza rizik nad účely zpracování osobních údajů je základem implementačních prací. GDPR je totiž jedním z předpisů, který využívá rizikový přístup. V textu nařízení je uvedeno, že každá společnost musí implementovat přiměřená bezpečnostní opatření k ochraně osobních údajů. Tato přiměřenost se zajistí reakcí na míru rizika z analýzy rizik. Vzhledem k faktu, že v IT světě se nové hrozby a z nich vyplývající rizika objevují nikoliv denně, ale v rámci hodin, nemůžeme ustrnout nad prvotní analýzou rizik. Musíme si nastavit mechanismus, kdy některý ze znalých zaměstnanců bude vyhodnocovat nové hrozby, určovat jejich relevanci a popřípadě dávat podněty k provedení aktualizace analýzy rizik a opět reagovat na takto vzniklá rizika implementací bezpečnostních mechanismů, které budou tato rizika snižovat. Tomuto postupu se říká risk management (systém řízení rizik). Závěrem Implementace požadavků GDPR nebude jednoduchá, povinnost přijmout nutná bezpečnostní opatření však platí pro každou společnost. V současné době je přitom největším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude 25. května příštího roku. Hlavním záměrem jeho zavedení je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. Společnosti by si tak měly uvědomit, že data, s nimiž pracují, nevlastní a jsou jim pouze zapůjčena na předem definovanou dobu a k předem definovanému účelu. ■ /Zbyněk Malý, Senior Security Consultant společnosti ANECT a člen týmu SOCA/