Co je to GDPR?

Pod zkratkou GDPR (General Data Protection Regulation) se rozumí Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Toto nařízení začne platit od 25. května 2018 a jeho hlavním účelem je posílení práv fyzických osob (subjektů údajů) a sjednocení pravidel o ochraně osobních údajů ve všech státech Evropské unie.

Toto nařízení se vztahuje na všechny subjekty, které provádí zpracování osobních údajů, kromě fyzických osob zpracovávajících data výlučně v rámci osobních či domácích činností. Vzhledem k tomu, že asi každá společnost potřebuje pro svojí činnost údaje o svých zaměstancích a zákaznících, což jsou osobní údaje, znamená to, že GDPR se týká všech podnikajících právnických a fyzických osob.

Toto nařízení se stalo v poslední době velkým strašákem, zejména proto, že se o něm v médiích šíří různé mylné informace. Jeden z takových omylů je, že se jedná o úplně nové nařízení. Ve skutečnosti je už mnoho povinností zakotveno v evropské směrnici 95/46/ES a v České republice platí zákon č. 101/2000 Sb., o ochraně osobních údajů. Nových povinností je v GDPR jen relativně málo, zejména ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů. Fyzické osoby (subjekty údajů) mají nově právo na vymazání svých údajů (být zapomenut). Další povinnosti obsažené v GDPR již existují v současných právních normách a GDPR je jen upravuje nebo zpřesňuje.

Občas se také objevují tvrzení, že GDPR způsobí firmám velké dodatečné náklady, což může, ale nemusí nutně být pravda. Závisí to na více faktorech jako velikost firmy, množství zpracovávaných dat, složitost podnikových informačních systémů a jejich aktuální úroveň zabezpečení.

Co je potřeba udělat?

GDPR říká, že správce údajů odpovídá za dodržování povinností kladených obecným nařízením a musí být schopen to doložit. Kromě procesních a právních podmínek, jako získání souhlasu subjektu údajů, to po technické stránce znamená nutnost osobní údaje dostatečně zabezpečit. K tomu je nutné mít přehled o tom, kde se jaké osobní údaje nacházejí a kdo je oprávněný mít k nim přístup.

Jako první krok je tedy potřeba provést audit firemních dat a vytvořit patřičnou dokumentaci, která bude specifikovat kde se jaké údaje nachází a interní směrnici, která stanoví kdo a jak je oprávněný s osobními údaji pracovat. Vypracovat takový audit a dokumentaci může být velice jednoduché v případě malé společnosti, která nepoužívá složité informační systémy, ale v případě velkých korporací, které ukládají data na mnoha různých místech, se může jednat o dost komplikovaný úkol, který je nutné automatizovat pomocí specializovaných IT systémů.

Osobní data se můžou nacházet na nejrůznějších místech – v emailech, databázích, na síťových discích, v osobních počítačích, případně i v nejrůznějších cloudových službách, jako je DropBox nebo Microsoft Office365. Je proto nutné pečlivě zdokumentovat, kde všude se osobní údaje nachází a jako druhý krok vyhodnotit zda jsou dostatečně zabezpečené, případně zavést dodatečná bezpečnostní opatření k jejich ochraně.

Monitoring úniků dat

Jednou z novinek, které zavádí GDPR, je povinnost hlásit dohledovému úřadu úniky osobních údajů do 72 hodin od okamžiku, kdy se o něm správce údajů dozvěděl. Aby bylo možné splnit tuto povinnost, je potřeba monitorovat IT systémy s osobními daty a přístupy k nim. To je možné jednak s pomocí standardních nástrojů pro monitoring sítě nebo s pomocí specializovaných systémů pro prevenci úniku dat (DLP – data loss prevention). Systémy DLP dokáží nejen detekovat úniky dat, ale jsou schopné jim i aktivně bránit. Nastavením různých politik je možné zamezit neoprávněnému kopírování dat v síti, posílání emailem, kopírování na přenosná média nebo poslání na síťovou tiskárnu. Tím jsou tyto systémy využitelné nejen pro účely souladu s GDRP, ale také pro ochranu dalších citlivých dat, která mají pro společnost velkou cenu a jejichž únik by poškodil zájmy společnosti, případně způsobil finanční ztráty.

Závěr

Z technického pohledu je pro dosažení souladu s nařízením GDPR potřeba zdokumentovat jaké osobní údaje společnost zpracovává, na jakých IT systémech se tyto údaje nachází, kdo je oprávněný s nimi pracovat a jak jsou zabezpečené. Tuto dokumentaci je potřeba pravidelně revidovat, aby zůstala aktuální a mohla být předložena při případné kontrole dohledového úřadu. Také by měla ukázat, zda jsou bezpečnostní opatření dostatečná nebo je nutné zabezpečení upravit. Současně s tím, by mělo docházet k pravidelnému testování zabezpečení, aby se ověřilo, že daná opatření jsou skutečně funkční.