Témata
Reklama

GDPR - nutná ochrana osobních údajů

Téma evropského nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, známé pod zkratkou GDPR (General Data Protection Regulation), je v posledních měsících hojně probíráno a diskutováno napříč médii i obory. V převážné většině textů však odborníci tuto problematiku popisují z pohledu právního rozboru. Mezi stěžejní informace a strašáky, kolem kterých se pak točí hlavně mediální zájem, jsou sankce, jež mohou pro firmy dosahovat až likvidačních částek.

Pokuta ve výši 20 milionů eur nebo čtyř procent globálního ročního obratu se může zdát poněkud přehnaná, ale jejím cílem je donutit společnosti, aby předmětné nařízení skutečně řešily. V případě sankcí v řádu jednotek milionů korun je totiž zvykem, že s touto částkou daný podnik počítá jako s určitým finančním rizikem, a pokračuje tak ve stávajícím provozu, aniž by si s novým nařízením lámal hlavu.

Pokud však hrozí pokuta ve výši desítek milionů eur, je pro společnost mnohem lepší obětovat několik milionů korun na zabezpečení informací, aby požadavek Evropské unie splnila. Právní výklad je pro běžné čtenáře často těžce uchopitelný, a tak se v tomto článku pokusíme problematiku GDPR zúžit na možná specifika společností v rámci odvětví strojírenství a průmyslu.

Reklama
Reklama
Reklama
Ing. Zbyněk Malý

Specifika průmyslu a strojírenství z pohledu GDPR

Většina obráběcích strojů je číslicově řízená – většinou takovým způsobem, že systém dostane výkres ve formátu AutoCad a  převede ho do příkazů CNC stroje – existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery – tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, odposlechem lze zjistit výrobu, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musejí chránit také databázi zákazníků a subdodavatelů včetně cenových nastavení – pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil nebo nedodal vůbec.

Část firem se pravděpodobně bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že jejich zákazníky tvoří pouze právnické osoby. Nicméně povinnosti vyplývající z nařízení GDPR se jim přesto nevyhnou. Kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů mezi osobní údaje spadají také, neboť i za právnickou osobou stojí osoba fyzická, se kterou společnost jedná. Podobné to je s B2B systémy, které většinou fungují na principu elektronické výměny dat. Tyto systémy často pracují v cloudovém prostředí a za jejich provoz odpovídá jiná společnost. I zde však najdeme osobní údaje. Na velkou většinu těchto systémů se uživatelé přihlašují svou e-mailovou adresou. K těmto údajům může mít navíc přístup také provozovatel B2B systémů. V takovém případě je podle nařízení GDPR nutné uzavřít tzv. zpracovatelskou smlouvu, v níž musí společnost definovat, jak může zpracovatel přistupovat k osobním údajům dané společnosti, co s nimi může provádět, a co už naopak nesmí. U společností postavených do role zpracovatele osobních údajů existuje také možnost provádět pravidelné bezpečnostní audity. V případě úniku osobních údajů a prokázání, že došlo k porušení zpracovatelské smlouvy, pak půjde případná sankce v plné míře za zpracovatelem těchto údajů.
Jak postupovat při implementaci GDPR?

Prvním a základním krokem při implementaci GDPR je provedení inventury zpracovávaných dat a určení, která z nich jsou osobní. Po této inventuře provedeme mapování – tedy určení účelu jejich zpracování a důvod, proč dané údaje zpracováváme a na jakém základě (právní základ, souhlas fyzické osoby, oprávněný nárok správce). V neposlední řadě musíme definovat, jak dlouho budeme data zpracovávat, tedy kolik času zbývá do jejich vymazání nebo úplné anonymizace. Doba jejich uchování přitom musí být jasně definovaná. Jak jsem již zmínil výše, současná podoba udělení souhlasu se zpracováním dat není pro naplnění podmínek GDPR dostačující. V případě, že společnost bude takto získané údaje chtít dále zpracovávat, musí od fyzických osob získat souhlas v souladu s GDPR (zde tedy platí plná retroaktivita). Bez tohoto souhlasu bude docházet k neoprávněnému zpracování osobních údajů a společnosti se vystaví hrozbám výše zmíněných sankcí.

Proti případné ztrátě osobních údajů je pak vhodná implementace systému DLP (Data Loss Prevention). Ten by měl být nasazen do všech úrovní práce s daty – od jejich přímého používání, pod kterým si můžeme představit práci s údaji na koncových stanicích, přes jejich přenos síťovými prostředky. Nesmíme zapomenout ani na obranu dat, která jsou v klidové podobě na úložišti.

Datovou ochranu realizujeme pomocí hloubkové kontroly obsahu a analýzy transakcí v kontextu zahrnujícím atributy typu odesílatel, datový objekt, médium, čas, příjemce apod.

Jak osobní údaje chránit?

Příkladem nám může být dům s ukrytým pokladem (rozumějme firmu, ve které máme data, o něž nechceme přijít). Pro lepší ochranu našeho majetku kolem domu postavíme plot, který je v IT světě zastoupen nasazením ochrany perimetru, např. firewallem nebo antivirovou ochranou. Pokud nám to prostředky dovolí, plot co nejdříve vyměníme za dostatečně vysokou zeď, přes kterou na náš pozemek nikdo neuvidí. Pokud nám však ani to nepostačí, podnikneme další nutná opatření a do domu nainstalujeme například detekci pohybu, celý systém napojíme na pult centrální ochrany (PCO) a nastavíme poplach, při kterém PCO vyrozumí policii, domluvíme, v jakém případě bude nutný výjezd a tak dále. Musíme zkrátka počítat s tím, že každou zeď lze relativně snadno překonat.

V rámci kybernetické ochrany však většina společností pomyslnou zeď pouze zvyšuje, přestože i v tomto světě existují nástroje na detekci pohybu v počítačové síti a „pulty centrální ochrany“, jen se jim říká jinak. Řeč je o tzv. SOC (Security Operation Center), které při dobře nastavených pravidlech a právech dokáže s požadavky GDPR spolupracovat a ví, že má v případě porušení ochrany osobních údajů společnosti hlásit tuto skutečnost příslušnému úřadu do 72 hodin. V případě zjištění kybernetického vetřelce pak také dokáže zabránit odeslání firemních informací ven z podniku.

Pro zvětšení klikněte na obrázek.

Nutná bezpečnostní opatření

Implementace požadavků GDPR nebude jednoduchá, povinnostem přijmout nutná bezpečnostní opatření se však vyhnout rozhodně nezkoušejte. V současné době je největším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude 25. května příštího roku. Hlavním záměrem jeho zavedení je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. Společnosti by si tak měly uvědomit, že data, s nimiž pracují, nevlastní a jsou jim pouze zapůjčena na předem definovanou dobu a k předem definovanému účelu.

Anect

Ing. Zbyněk Malý

tereza.pavezkova@epicpr.cz

Reklama
Vydání #11
Firmy
Související články
Aktuality a dobrá praxe v oblasti problematiky ATEX

Pojem ATEX vychází ze slovního spojení ATmosphère EXplosible, které v sobě sdružuje směrnice EU o výbušném prostředí.

Postavení a úkoly Hasičského záchranného sboru ČR

Hasičský záchranný sbor ČR je jednotný bezpečnostní sbor, jehož základním úkolem je chránit životy a zdraví obyvatel, životní prostředí, zvířata a majetek před požáry a jinými mimořádnými událostmi a krizovými situacemi.

Nové hodnocení výzkumných organizací

Poslední rok je jedním z ústředních témat výzkumné komunity konec platnosti metodiky hodnocení výzkumných organizací z roku 2013 a příprava nové metodiky hodnocení tzv. M2017+. Je pravda, že metodika 2013 přinesla výraznou devalvaci aplikovaného výzkumu, hlavně pokud jde o tvorbu aplikovaných výsledků.

Související články
Zajištění ochrany vynálezu v zahraničí: PCT systém a funkce Visegrádského patent

Mezi znaky průmyslového vlastnictví patří především princip teritoriality právní ochrany, tzn. že se tato práva uplatňují pouze na území státu, kde (pro které) byla ochrana přiznána – kde byl udělen patent, zapsán užitný vzor. Na území jiného státu tato ochrana nepůsobí a daný vynález může kdokoliv volně využívat. Jinými slovy princip teritoriality znamená, že na území České republiky působí patenty udělené Úřadem průmyslového vlastnictví (a evropské patenty validované pro Českou republiku). Pokud je žádoucí získat pro vynález ochranu mimo území České republiky, je třeba vést patentové řízení v příslušné zemi. Český patent ochranu v zahraničí nezajistí.

Reklama
Reklama
Reklama
Reklama
Související články
Našimi „nerostnými surovinami“ musejí být mozky a know-how

K aktuálním problémům v oblasti výzkumu, experimentálního vývoje a inovací, efektivity jejího financování a implementace výsledků do praxe se v rozhovoru vyjadřují místopředseda vlády pro vědu, výzkum a inovace a předseda Rady pro výzkum, vývoj a inovace a Rady pro konkurenceschopnost a hospodářský růst MVDr. Pavel Bělobrádek, Ph.D., MPA, a předseda Technologické agentury ČR (TA ČR) Ing. Petr Očko, Ph.D.

Zabezpečení kvality výroby

Kontrola kvality je základním kritériem zabezpečení jakosti výrobku, jeho funkčnosti a životnosti. Řízení kvality zahrnuje téměř všechny firemní procesy. Je to především snaha o neustálé zlepšování, jehož výsledkem jsou efektivnější procesy, které vedou ke snižování nákladů a zvyšování produktivity.

Kvalifikace svářečů ocelí

Dne 7. 7. 2013 proběhlo hlasování o přijetí normy EN ISO 9606-1 a nahrazení normy EN 287-1 touto mezinárodní. Norma byla drtivou většinou hlasů 21:3 přijata, proti hlasovalo pouze ČR, Dánsko a Norsko. Podle původní dohody se do normy následně zapracují připomínky států, které hlasovaly proti přijetí, ale o přijetí normy už se nebude znovu hlasovat. Připomínky za ČR byly odeslány, ale zapracovány nebyly!

Nová legislativa a svařování ocelí pro tlaková zařízení

V souvislosti s novými předpisy, které vznikly v EU v rámci nového legislativního rámce (NLF), dochází postupně ke změnám v českém právním řádu. Novými evropskými směrnicemi pro oblast tlakových zařízení jsou směrnice Evropského parlamentu a Rady 2014/29/EU ze dne 26. února 2014 o harmonizaci právních předpisů členských států týkajících se dodávání jednoduchých tlakových nádob na trh (platnost od 20. 4. 2016) a směrnice Evropského parlamentu a Rady 2014/68/EU ze dne 15. května 2014 o harmonizaci právních předpisů členských států týkajících se dodávání tlakových zařízení na trh (platnost od 19. 7. 2016).

Přehled trhu

Po dvouletém ekonomickém půstu se blýská na lepší časy. Podle dubnové prognózy Ministerstva financí by měl letos hrubý národní produkt vzrůst o 1,7 procenta, v roce 2015 dokonce o dvě procenta. I když se ekonomika dostala do plusových čísel až v posledním loňském kvartále, firmy investovaly do svého rozvoje v průběhu celého roku.

Malé, leč dobré změny

V lednu vstoupil v účinnost nový občanský zákoník. Měl větší vliv na financování strojů a zařízení? A jak se za poslední roky vyvíjel tento trh z pohledu leasingové firmy? Nejen o tom jsme hovořili s ředitelem útvaru Rozvoje produktů, procesů a marketingu ČSOB Leasing Petrem Neuvirthem.

Promluvy Štefana Kassaye: Devalvace vědy vědeckou komunikací?

Užívání cizích slov v běžné řeči ještě nikoho neudělá vědcem ani to nepovýší jeho společenskou úroveň. Přesto má člověk, kromě běžné výměny názorů, svůj záměr, kterému odpovídá i příslušný komunikační styl. Pochopitelně, že vysoce uznávaná osobnost chce mít možnost být šiřitelem svých vlastních názorů.

Bezpečnost vašich dat stokrát jinak

Sedmý díl našeho seriálu upozorňuje, že ideální přístup spočívá v budování komplexního systému řízení bezpečnosti informací. Existují však výjimky v případech, kdy bylo identifikováno akutní nebezpečí. Tím může být útok na data firmy, tedy jejich zašifrování ransomwarem. V podcastu jsou popsány metody zálohování i možná ochrana před napadením jako takovým.

Role technické univerzity v udržitelné společnosti, Doc. Jiří Mašek, ČZU v Praze

Smyslem této série podcastů je představit současnou roli univerzity a hledat její skutečné postavení a poslání ve vztahu k vývoji konkurenceschopnosti tuzemské ekonomiky a společnosti jako takové. Hovoříme s rektory a děkany technických univerzit a fakult o jejich denní operativě, o realizaci dlouhodobé strategie, jejich pohledu na ukotvení vzdělávací instituce ve společnosti a dalších tématech. Tentokráte jsme o rozhovor požádali docenta Jiřího Maška, děkana Technické fakulty ČZU v Praze.

Bezpečnost vašich dat stokrát jinak

Šestý díl našeho seriálu podcastů o kyberbezpečnosti se zabývá okamžikem, kdy obdržíme výsledky analýzy rizik. Na jejich základě se musíme rozhodnout, jak dále postupovat, zejména, zda neexistují nějaká rizika vytvářející maximální stupeň nebezpečí, na které je třeba reagovat okamžitě. Zjištěná rizika musíme konfrontovat s existujícími bezpečnostními opatřeními a zpracovat tzv. benchmark stavu informační bezpečnosti popisující skutečný stav v porovnání s tím, jak by měly být naplněny požadavky dle principů normy ČSN ISO/IEC 27002 nebo ZKB. S podrobnostmi vás opět seznámí profesor Vladimír Smejkal.

Reklama
Předplatné MM

Dostáváte vydání MM Průmyslového spektra občasně zdarma na základě vaší registrace? Nejste ještě členem naší velké strojařské rodiny? Změňte to a staňte se naším stálým čtenářem. 

Proč jsme nejlepší?

  • Autoři článků jsou špičkoví praktici a akademici 
  • Vysoký podíl redakčního obsahu
  • Úzká provázanost printového a on-line obsahu ve špičkové platformě

a mnoho dalších benefitů.

... již 25 let zkušeností s odbornou novinařinou

      Předplatit