Ačkoli do začátku účinnosti GDPR zbývá ještě rok a týden k tomu, je už teď vhodné přemýšlet o způsobu, jak tomuto nařízení vyhovět.
Nařízení Evropské Unie o ochraně osobních údajů zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení. Uplatnění tohoto principu může pro podnikatele představovat nemalé časové a finanční investice. Čím dřív proto firmy s přípravou na implementaci povinností vyplývajících z nařízení GDPR začnou myslet, tím lépe. A platí to i pro ty nejmenší. I ty totiž budou muset nejprve provést analýzu současného stavu, aby následně zjistily, co bude potřeba změnit, a objednat náležité školení, služby nebo IT produkty.
Výhodou je, že řadu požadavků zpracovatelé dat splňují už dnes, protože podléhají českému zákonu o ochraně osobních údajů. Nevýhodou pak je to, že problematika ochrany osobních údajů je velmi široká a prakticky není možné GDPR vyřešit jednorázovou investicí. Implementace pravidel bude vyžadovat nejen změny v IT, ale především ve vnitřních procesech. Bude nutné přijmout nové koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Jak ale na to, aby to procesně a finančně zvládla i malá firma?
Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu
Cloud je jedním, ne jediným řešením GDPR
V nařízení samotném stojí, že po firmách je možné spravedlivě požadovat jen to, co je pro ně v rámci zabezpečení možné. To znamená, že po obchodníkovi s obratem 2 miliony korun ročně nebude nikdo vyžadovat investici, která tuto částku převyšuje. Ani to by mu totiž nezaručilo pokrytí všech rizik a to, že budou jeho data ochráněna. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim,
vysvětluje pohled tvůrců nařízení právnička Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing.
Kromě technologických řešení bude nutná i edukace zaměstnanců a všech ostatních, kteří přicházejí do styku s osobními údaji. V tuto chvíli ale odhlédněme od vnitřních procesů, které jsou ve většině firem tím nejrizikovějším vůbec. Ani při nejlepším IT zabezpečení totiž nebude snadné zabránit tomu, aby si například zaneprázdněný zaměstnanec nevzal práci a s ní i řadu citlivých údajů domů, byť v dobrém úmyslu. I kdybychom dnes firmám prodali všechny naše technologie, ochráníme je v rámci GDPR maximálně v rozsahu 5 procent. Na prvním místě jsou totiž skutečně procesy, technologie jsou až za nimi,
přiznává Marek Bražina, Systems Engineer společnosti VMware.
Připomeňte si: Cloud prospívá hlavně malým a středním firmám
Co se týká právě technologického řešení a zabezpečení, tím nejsnazším a relativně laciným bude pro malé firmy přechod na cloud. Poskytovatelé cloudových služeb si totiž bezpečnost pečlivě hlídají. V praxi budou data v naprosté většině případů více v bezpečí v cloudu než ve firmě, ať už má podnik bezpečnost na svých serverech řešenou jakkoliv. Výhodou cloudových služeb je navíc to, že servery, úložiště, služby a aplikace, které tyto služby nabízí, jsou uživatelům dostupné vzdáleně přes síť nebo internet.
Kromě toho, že nezatěžují hardware ani software zařízení uživatele, mohou být díky nim snadno pod dozorem jednotlivé prováděné operace. Při virtualizaci desktopů je výrazně snazší řešit zabezpečení. Koncové zařízení je totiž jen terminálem a vše se odehrává v datovém centru. Dalším krokem pro větší zabezpečení a víceúrovňovou kontrolu je virtualizace sítí,
říká Marek Bražina. Toto je důležité proto, že firmy budou muset být způsobilé předejít bezpečnostním incidentům, které by vedly k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů.
Firmám se vyplatí jít do cloudu a nechat bezpečnost na lidech, kteří jí rozumí. Pro nejmenší firmy bude nejlepším řešením spolupráce s některým z lokálních providerů. Cloudové služby dnes nabízí například všichni mobilní operátoři. Jejich vyúčtování jsou schopni dodat na jedné faktuře společně s účtem za internet nebo telefon,
říká Robin Bay, Sales Engineer ze společnosti Trend Micro. Podnikatelé si podle něj díky GDPR začnou uvědomovat výhody cloudu, začnou na něj přecházet a využívat všech jeho pozitiv. Jediný problém vidí Robin Bay v tom, že malé firmy nejsou zvyklé za IT platit v režimu „pay as you go“, což se dá přeložit jako „plať jen za to, co využiješ“, přičemž většina cloudových služeb je postavena právě na tomto modelu. Budou se proto muset naučit přistoupit na nové řešení: Cloudové řešení je správnou volbou. Jen tak firmy nebudou muset zbytečně investovat do technologií, které nemají přímou přidanou hodnotu pro jejich hlavní činnost.
Základem budou smluvní podmínky cloudové služby
GDPR správcům osobních údajů nařizuje zavedení vhodných technických a organizačních opatření tak, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením. Je ale otázkou, kdo bude při případném incidentu odpovědný. Bude pokutu platit správce dat, nebo zpracovatel dat? Na tuto otázku neexistuje jednoznačná odpověď. Bude záležet na tom, zda k úniku dat došlo na straně správce nebo zpracovatele. Povinnost ochrany osobních údajů se podle GDPR vztahuje jak na správce, tak na zpracovatele a za jejich ochranu jsou zodpovědní společně. To platí i v případě, že správce osobní data jen posbírá a pošle zpracovateli.
Bude tedy nutné toto náležitě ošetřit ve smlouvách mezi správcem a zpracovatelem. Smlouva o poskytování cloudových služeb by určitě měla obsahovat jasná specifika odpovědnosti za bezpečnost a umístění dat a jejich zpřístupnění. A v neposlední řadě také ustanovení o tom, kdo ponese odpovědnost za případné škody. Protože sankce mohou při porušení pravidel GDPR dosáhnout až 4 procent celkového ročního obratu nebo 20 milionů euro a podnikatelé navíc mohou být vystaveni žalobám od zákazníků s nárokem na odškodnění v případě hmotné či nehmotné újmy, je nutné být na příchod nového opatření opravdu dobře připraven a najít kompromis přijatelný pro obě strany.
Dále čtěte: 3 důvody, proč nekupovat ve firmě software a používat cloud
Poskytovatelé cloudových infrastruktur se už nachystali a loni členové CISPE, což je koalice více než 20 poskytovatelů cloudových infrastruktur působících v Evropě, vydali Kodex chování pro ochranu dat. Ten předchází aplikaci nového evropského nařízení o ochraně osobních údajů a je plně přizpůsoben jeho požadavkům. Koalice se mimo jiné zavázala ukládat data, která jsou součástí cloudových infrastruktur, pouze na území EU/EHP a dále nesmí tato data jakkoliv analyzovat či profilovat, využívat je pro své marketingové či jiné účely nebo je zprostředkovat třetím stranám.