HackerFest 2017

Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život…

Darina VodrážkováDarina Vodrážková
SoftwareSoftware
12.4.2017 11:57:0012.4.2017 11:57:00

Darina Vodrážková

licenční expert a konzultant

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

GDPR: Ještě je čas? Aneb Obecné nařízení o ochraně osobních údajů

Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život…

Jsou vám tato slova povědomá? V ideálním případě (a také pokud máte sloní paměť) by být měla, protože jste je už četli. Je to šestý ze 173 bodů vyhlášení Úředního věstníku Evropské unie, kterým je uvedeno přijetí Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Celý osmaosmdesátistránkový dokument je nejvíce znám jako GDPR (General Data Protection Regulation) a je to velmi zásadní až revoluční dokument, který bude mít na podnikající subjekty a všechny další instituce a organizace podstatně hlubší dopad než zavedení EET. Jenže se mu u nás zatím nedostalo dostatečné pozornosti mezi všemi ostatními politicko-hospodářskými tématy. Od jeho přijetí uplyne v dubnu rok, a tím budeme právě v polovině lhůty do začátku jeho platnosti. Jestli se vám zdá zbytečné „stahovat kalhoty, když brod je ještě takhle daleko“, tak asi raději čtěte dále…

O co v GDPR jde

Smyslem nařízení je především chránit tzv. subjekt údajů – tedy toho, kdo údaje poskytuje. Místy je to ochrana až přepečlivá, která počítá i s tím, že se „subjekt“ uřekne a vyslepičí na sebe něco, co vůbec nechtěl – a dává mu pak možnost se takových informací domoci zpátky… Speciálně takto chrání děti, „které z toho ještě nemohou mít rozum“, a nerozumné dospělé, kteří nedomysleli důsledky a jsou málo odolní proti individuálně zacílené reklamě. Logicky to ovšem znamená větší a větší zatížení na bedrech těch, kdo data sbírají a zpracovávají.

Nařízení pracuje s pojmy správce datzpracovatel dat. Ve velkém zjednodušení a zkratce: Správce je ten, kdo data k nějakému konkrétnímu účelu shromažďuje. Zpracovatel je ten, kdo je zpracovává – to asi nepřekvapí, ale je to i ten, kdo je například jen uskladňuje, vyhledává v nich, uchovává je, třídí, blokuje či likviduje. Takže třeba IT firma, nebo najatý externí správce IT. Osobními údaji jsou pak veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Patří sem nejen jméno, věk, datum narození, pohlaví, osobní stav, ale také fotografie, IP adresy či cookies. Stejně tak i e-mailová adresa, telefonní číslo či různé další identifikační údaje.

Na tom všem není ani moc divného, ani moc nového, snad jen zpřesněná terminologie a její obsah. Stejně tak nepřekvapí, že správce musí být schopen věrohodně prokázat souhlas subjektu dat s jejich poskytnutím a zpracováním. Že nesmí požadovat, natož shromažďovat data, která neslouží konkrétnímu legitimnímu účelu ve vztahu mezi správcem a subjektem. Novinkou jsou ale tyto přísné požadavky: Subjekt má právo kdykoli přistoupit k datům, která o něm správce shromažďuje, ideálně přímo a online, má právo vyžadovat opravu údajů, ať již jde o údaje objektivní nebo subjektivní (například získané pomocí profilování – předvídání určitých údajů na základě vyhodnocení nějakého pravidelného chování subjektu), má právo na výmaz a dokonce i právo být zapomenut – tedy nebýt vyhledán, na druhou stranu, jsou-li data zpracovávána automatizovaně, má také právo požadovat přenositelnost shromážděných údajů k jinému správci.

Zároveň jsou určeny velmi přísné podmínky zabezpečení dat v jejich úložištích, kontrola oprávnění pro práci s daty, dokonce se nově zřizuje úloha, pracovní pozice (pro některé subjekty povinná, jiným doporučená) pověřence pro ochranu osobních údajů (anglicky Data Protection Officer, DPO), jehož úkolem je v roli nezávislého interního auditora dohlížet na dodržování požadavků GDPR uvnitř organizace a oznámit příslušným úřadům veškeré přestupky proti nařízení(!). Jedním z nových požadavků je také povinnost správce či zpracovatele oznámit subjektům dat situaci, kdy dojde k jejich úniku, nebo když je jejich zabezpečení i jen ohroženo (například ztráta notebooku, flashdisku s daty, vniknutí do budovy, kde se data nacházejí, narušení ochrany…). Od okamžiku, kdy se o potenciálním ohrožení zabezpečení dozvěděl, musí do 72 hodin informovat Úřad pro ochranu osobních údajů. Takže žádné „při troše štěstí se nic hrozného nestane“.

Pokuty za porušení GDPR jsou také velmi přísné, takže mohou být likvidační. Strop mají až na 20 milionech EUR či 4 % celkového ročního obratu firmy (podle toho, která částka je vyšší). Samozřejmě budou odviset od toho, jaký byl okruh postižených či potenciálně zasažených subjektů dat, míra zavinění správcem či zpracovatelem, a dále úroveň dopadu na práva a svobody fyzických osob, která je dána zejména druhem osobních údajů (lékařské záznamy budou mít nejspíš jinou klasifikaci než tabulka oděvních velikostí zákazníků krejčovství, údaje z kartotéky personální firmy budou asi hodnoceny přísněji než vysvědčení z první třídy, i když práva dětí jsou hájena snad ještě bedlivěji…).

Čím ses pokazil, tím se taky naprav!

Tohle moravské úsloví asi muselo proniknout až do Bruselu, protože logika nařízení z něj do značné míry vychází. Současné nejmodernější technologie poskytují větší prostor a možnosti pro zneužití dat, proto také současné nejmodernější technologie budou povolány do zbraně na jejich ochranu.

Jak interní, tak externí provozovatelé IT budou stát před velmi přísnými požadavky na zabezpečení a ochranu prostředí, ve kterém se mohou data ocitnout. Stav průměrných českých firem (zejména těch středně velkých) měřítkům nařízení těžko vyhoví. Úroveň zabezpečení, které bude potřeba dosáhnout, bude také nejspíš mimo nákladové možnosti těchto firem.

Pomůže jim cloud, odkud dnes někteří čekají spíše ohrožení a ztrátu soukromí? Dost možná, že ano. Prostředí zabezpečené na vyšší úrovni díky normám, certifikacím a pravidelným auditům bude ve sdílené podobě snáze dosažitelné, jak po technické, znalostní, tak i ekonomické stránce.

Nařízení se dotýká všech firem, které mají zaměstnance (a logicky spravují některá jejich osobní data), tak těch, které mají klienty (což je snad většina firem; pravda, jde jen o ty, které mají klienty neanonymní). Některých firem se však GDPR může dotknout až trojnásobně. Profesionální dodavatelé služeb IT budou nejen ve dvojroli správce (dat svých zákazníků a zaměstnanců), ale také budou povinováni dodržet náročné nařízení v roli zpracovatele dat – například při provozu hostingu, poskytování služeb zálohování, rozličných online služeb, outsourcingu IT, outsourcingu business procesů.

Na druhé straně, pro ty, kteří to budou doopravdy dobře umět, se rozhodnutím Evropské unie vytváří velký prostor k poskytování vysoce ceněné a důležité služby.

70:30

Neradi bychom, aby vznikla mýlka, že stačí si vybrat dobré datové centrum, nebo online služby pyšnící se nejvyšší úrovní certifikací a nejčastějšími audity dodržování přísných norem, a bude vyhráno. Jako obvykle, tím úzkým hrdlem je člověk. Zaměstnance i uživatele bude potřeba naučit novému chování i myšlení. Samostatné myšlení jim pak usnadnit dobře postavenými procesy. Teprve ty lze rozumně a vhodně podpořit nástroji automatizace. Řešení náročného zadání, před které všechny organizace postavilo nařízení o ochraně, je tedy jen z menší části (jak o tom vypovídá poměr v nadpisu) v použitých technologiích. Mnohem více půjde o změnu pravidel vevnitř ve firmách, modelů komunikace s klienty. Nu co, změna je život. Ovšem jak se vám ve světle přečtených slov jeví ta vzdálenost ke brodu teď? Je to nebo za 13 měsíců?

www.microsoft.com/GDPR