Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> GDPR - nutná ochrana osobních údajů
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

GDPR - nutná ochrana osobních údajů

Téma evropského nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, známé pod zkratkou GDPR (General Data Protection Regulation), je v posledních měsících hojně probíráno a diskutováno napříč médii i obory. V převážné většině textů však odborníci tuto problematiku popisují z pohledu právního rozboru. Mezi stěžejní informace a strašáky, kolem kterých se pak točí hlavně mediální zájem, jsou sankce, jež mohou pro firmy dosahovat až likvidačních částek.

Pokuta ve výši 20 milionů eur nebo čtyř procent globálního ročního obratu se může zdát poněkud přehnaná, ale jejím cílem je donutit společnosti, aby předmětné nařízení skutečně řešily. V případě sankcí v řádu jednotek milionů korun je totiž zvykem, že s touto částkou daný podnik počítá jako s určitým finančním rizikem, a pokračuje tak ve stávajícím provozu, aniž by si s novým nařízením lámal hlavu.

Pokud však hrozí pokuta ve výši desítek milionů eur, je pro společnost mnohem lepší obětovat několik milionů korun na zabezpečení informací, aby požadavek Evropské unie splnila. Právní výklad je pro běžné čtenáře často těžce uchopitelný, a tak se v tomto článku pokusíme problematiku GDPR zúžit na možná specifika společností v rámci odvětví strojírenství a průmyslu.


Ing. Zbyněk Malý

Specifika průmyslu a strojírenství z pohledu GDPR

Většina obráběcích strojů je číslicově řízená – většinou takovým způsobem, že systém dostane výkres ve formátu AutoCad a převede ho do příkazů CNC stroje – existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery – tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, odposlechem lze zjistit výrobu, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musejí chránit také databázi zákazníků a subdodavatelů včetně cenových nastavení – pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil nebo nedodal vůbec.

Část firem se pravděpodobně bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že jejich zákazníky tvoří pouze právnické osoby. Nicméně povinnosti vyplývající z nařízení GDPR se jim přesto nevyhnou. Kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů mezi osobní údaje spadají také, neboť i za právnickou osobou stojí osoba fyzická, se kterou společnost jedná. Podobné to je s B2B systémy, které většinou fungují na principu elektronické výměny dat. Tyto systémy často pracují v cloudovém prostředí a za jejich provoz odpovídá jiná společnost. I zde však najdeme osobní údaje. Na velkou většinu těchto systémů se uživatelé přihlašují svou e-mailovou adresou. K těmto údajům může mít navíc přístup také provozovatel B2B systémů. V takovém případě je podle nařízení GDPR nutné uzavřít tzv. zpracovatelskou smlouvu, v níž musí společnost definovat, jak může zpracovatel přistupovat k osobním údajům dané společnosti, co s nimi může provádět, a co už naopak nesmí. U společností postavených do role zpracovatele osobních údajů existuje také možnost provádět pravidelné bezpečnostní audity. V případě úniku osobních údajů a prokázání, že došlo k porušení zpracovatelské smlouvy, pak půjde případná sankce v plné míře za zpracovatelem těchto údajů.
Jak postupovat při implementaci GDPR?

Prvním a základním krokem při implementaci GDPR je provedení inventury zpracovávaných dat a určení, která z nich jsou osobní. Po této inventuře provedeme mapování – tedy určení účelu jejich zpracování a důvod, proč dané údaje zpracováváme a na jakém základě (právní základ, souhlas fyzické osoby, oprávněný nárok správce). V neposlední řadě musíme definovat, jak dlouho budeme data zpracovávat, tedy kolik času zbývá do jejich vymazání nebo úplné anonymizace. Doba jejich uchování přitom musí být jasně definovaná. Jak jsem již zmínil výše, současná podoba udělení souhlasu se zpracováním dat není pro naplnění podmínek GDPR dostačující. V případě, že společnost bude takto získané údaje chtít dále zpracovávat, musí od fyzických osob získat souhlas v souladu s GDPR (zde tedy platí plná retroaktivita). Bez tohoto souhlasu bude docházet k neoprávněnému zpracování osobních údajů a společnosti se vystaví hrozbám výše zmíněných sankcí.

Proti případné ztrátě osobních údajů je pak vhodná implementace systému DLP (Data Loss Prevention). Ten by měl být nasazen do všech úrovní práce s daty – od jejich přímého používání, pod kterým si můžeme představit práci s údaji na koncových stanicích, přes jejich přenos síťovými prostředky. Nesmíme zapomenout ani na obranu dat, která jsou v klidové podobě na úložišti.

Datovou ochranu realizujeme pomocí hloubkové kontroly obsahu a analýzy transakcí v kontextu zahrnujícím atributy typu odesílatel, datový objekt, médium, čas, příjemce apod.

Jak osobní údaje chránit?

Příkladem nám může být dům s ukrytým pokladem (rozumějme firmu, ve které máme data, o něž nechceme přijít). Pro lepší ochranu našeho majetku kolem domu postavíme plot, který je v IT světě zastoupen nasazením ochrany perimetru, např. firewallem nebo antivirovou ochranou. Pokud nám to prostředky dovolí, plot co nejdříve vyměníme za dostatečně vysokou zeď, přes kterou na náš pozemek nikdo neuvidí. Pokud nám však ani to nepostačí, podnikneme další nutná opatření a do domu nainstalujeme například detekci pohybu, celý systém napojíme na pult centrální ochrany (PCO) a nastavíme poplach, při kterém PCO vyrozumí policii, domluvíme, v jakém případě bude nutný výjezd a tak dále. Musíme zkrátka počítat s tím, že každou zeď lze relativně snadno překonat.

V rámci kybernetické ochrany však většina společností pomyslnou zeď pouze zvyšuje, přestože i v tomto světě existují nástroje na detekci pohybu v počítačové síti a „pulty centrální ochrany“, jen se jim říká jinak. Řeč je o tzv. SOC (Security Operation Center), které při dobře nastavených pravidlech a právech dokáže s požadavky GDPR spolupracovat a ví, že má v případě porušení ochrany osobních údajů společnosti hlásit tuto skutečnost příslušnému úřadu do 72 hodin. V případě zjištění kybernetického vetřelce pak také dokáže zabránit odeslání firemních informací ven z podniku.

Pro zvětšení klikněte na obrázek.

Nutná bezpečnostní opatření

Implementace požadavků GDPR nebude jednoduchá, povinnostem přijmout nutná bezpečnostní opatření se však vyhnout rozhodně nezkoušejte. V současné době je největším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude 25. května příštího roku. Hlavním záměrem jeho zavedení je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. Společnosti by si tak měly uvědomit, že data, s nimiž pracují, nevlastní a jsou jim pouze zapůjčena na předem definovanou dobu a k předem definovanému účelu.

Anect

Ing. Zbyněk Malý

tereza.pavezkova@epicpr.cz

Další články

Legislativa, nařízení

Komentáře

Nebyly nalezeny žádné příspěvky













Sledujte nás na sociálních sítích: