Většina obráběcích strojů je číslicově řízená – většinou takovým způsobem, že systém dostane výkres ve formátu AutoCad a převede ho do příkazů CNC stroje – existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery – tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, odposlechem lze zjistit výrobu, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musejí chránit také databázi zákazníků a subdodavatelů včetně cenových nastavení – pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil nebo nedodal vůbec.
Část firem se pravděpodobně bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že jejich zákazníky tvoří pouze právnické osoby. Nicméně povinnosti vyplývající z nařízení GDPR se jim přesto nevyhnou. Kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů mezi osobní údaje spadají také, neboť i za právnickou osobou stojí osoba fyzická, se kterou společnost jedná. Podobné to je s B2B systémy, které většinou fungují na principu elektronické výměny dat. Tyto systémy často pracují v cloudovém prostředí a za jejich provoz odpovídá jiná společnost. I zde však najdeme osobní údaje. Na velkou většinu těchto systémů se uživatelé přihlašují svou e-mailovou adresou. K těmto údajům může mít navíc přístup také provozovatel B2B systémů. V takovém případě je podle nařízení GDPR nutné uzavřít tzv. zpracovatelskou smlouvu, v níž musí společnost definovat, jak může zpracovatel přistupovat k osobním údajům dané společnosti, co s nimi může provádět, a co už naopak nesmí. U společností postavených do role zpracovatele osobních údajů existuje také možnost provádět pravidelné bezpečnostní audity. V případě úniku osobních údajů a prokázání, že došlo k porušení zpracovatelské smlouvy, pak půjde případná sankce v plné míře za zpracovatelem těchto údajů.
Jak postupovat při implementaci GDPR?
Prvním a základním krokem při implementaci GDPR je provedení inventury zpracovávaných dat a určení, která z nich jsou osobní. Po této inventuře provedeme mapování – tedy určení účelu jejich zpracování a důvod, proč dané údaje zpracováváme a na jakém základě (právní základ, souhlas fyzické osoby, oprávněný nárok správce). V neposlední řadě musíme definovat, jak dlouho budeme data zpracovávat, tedy kolik času zbývá do jejich vymazání nebo úplné anonymizace. Doba jejich uchování přitom musí být jasně definovaná. Jak jsem již zmínil výše, současná podoba udělení souhlasu se zpracováním dat není pro naplnění podmínek GDPR dostačující. V případě, že společnost bude takto získané údaje chtít dále zpracovávat, musí od fyzických osob získat souhlas v souladu s GDPR (zde tedy platí plná retroaktivita). Bez tohoto souhlasu bude docházet k neoprávněnému zpracování osobních údajů a společnosti se vystaví hrozbám výše zmíněných sankcí.
Proti případné ztrátě osobních údajů je pak vhodná implementace systému DLP (Data Loss Prevention). Ten by měl být nasazen do všech úrovní práce s daty – od jejich přímého používání, pod kterým si můžeme představit práci s údaji na koncových stanicích, přes jejich přenos síťovými prostředky. Nesmíme zapomenout ani na obranu dat, která jsou v klidové podobě na úložišti.
Datovou ochranu realizujeme pomocí hloubkové kontroly obsahu a analýzy transakcí v kontextu zahrnujícím atributy typu odesílatel, datový objekt, médium, čas, příjemce apod.