GDPR prakticky: Nástroje a služby, které zabezpečí vaše data

Letošní 25. květen přidělává podnikatelům víc vrásek než konečný termín podání daňového přiznání. Snaha dostát nárokům GDPR zaměstnává bez přehánění miliony lidí. O technické stránce zavádění potřebných opatření se ale příliš nemluví. Mapování souborů i datových toků, jejich šifrování a další úkony jsou přitom činnosti, bez kterých nárokům nařízení o ochraně a regulaci dat nevyhovíte.

Nejdříve ve zkratce, co GDPR nařizuje: pokud shromažďujete a zpracováváte osobní data občanů Evropské unie, máte – jakožto tzv. Správce – zákonnou povinnost tyto informace zabezpečit před zneužitím třetí stranou.

Ke zpronevěře osobních údajů dochází vinou úniků z nezabezpečených firemních a cloudových serverů i kvůli nezodpovědnému chování zaměstnanců, roli ale hrají také krádeže dat. Že se tak děje ve velkém, naznačuje třeba nedávná kauza společností Facebook a Cambridge Analytica.

Znáte svoje povinnosti?

Se souhlasem dotčených osob (tzv. subjektů údajů) smíte získaná osobní data zpracovávat – např. je využívat k zasílání obchodních sdělení, analyzovat je a vyvozovat z nich další směrování marketingu.

Zpracováním se rozumí také ukládání osobních údajů na fyzické nosiče, jejich kopírování a zabezpečení. A protože není v silách každé firmy nákladnou ochranu získaných dat zajistit, dovoluje GDPR přenést část těchto povinností na třetí stranu, tzv. Zpracovatele.

Na základě Správcových pokynů pomáhá Zpracovatel např. s identifikací osobních údajů, stará se o jejich ošifrování a chrání je proti úniku. Může ale pomoci i s jejich interpretací – nebo je využít k rozeslání newsletterů. V praxi bývají Zpracovateli např. cloudová uložiště (Office 365, G Suite), ale i marketingové agentury nebo právníci. Mnohé cloudy vycházejí klientům naproti – provádějí pravidelné audity a zveřejňují jejich výsledky, na svých stránkách se chlubí úředními certifikacemi a osvědčeními.

Práva, povinnosti a případné postihy na straně Správce i Zpracovatele vymezuje tzv. zpracovatelská smlouva. Ale pozor – odpovědnost za ochranu osobních údajů leží vždy na vás. Jako Správce máte povinnost kontrolovat, zda Zpracovatel s daty nakládá zákonným způsobem. Pokud vaše společnost zpracovává veliké množství osobních a citlivých údajů (popř. má-li více než 200 zaměstnanců), vykonává auditorní roli tzv. Data Protection Officer – nezávislý pověřenec pro ochranu osobních údajů.

Co ale dělat v případě, kdy provádíte audit na vlastní pěst – nebo se o ochranu zákaznických údajů chcete postarat sami?

Bez šifrování se neobejdete

Základem zabezpečení dat je jejich šifrování. Nejde o malichernost; případný únik nezašifrovaných dat musíte vedle Úřadu o ochraně osobních údajů hlásit i jedincům, jejichž údaje unikly. To s sebou vedle finančních nákladů nese i negativní publicitu – zájem médií, riziko žalob.

Šifrování archivovaných údajů (data at rest) nabízejí stovky nástrojů, některé z nich (BitLocker, VeraCrypt) jsou dostupné zdama; na komerční bázi se využívá např. technologie Transparent Data Encryption, oblíbená u mnohacloudových společností prezentujících se jako nástroj pro splnění GDPR nároků. Vedle ochrany osobních údajů chrání cloudy šifrováním i samotné kryptografické klíče, pomocí kterých se klienti uložiště ke svým datům dostanou.

GDPR ukládá Správcům a pověřeným Zpracovatelům mj. také povinnost vést o zpracování osobních údajů záznam. Dokumentace o nakládání s osobními informacemi se předkládá kontrolám dozorových orgánů, zásadní roli hraje při vyšetřování úniků. Z provozního hlediska má záznam nejčastěji podobu serverových security logů; obsahují informace o čase i typu zpracování a osobách, které dané úkony provedly.

Office 365, G Suite a další cloudová uložiště údaje ze svých provozních logů zpracovávají a poskytují klientům. U většiny ostatních Zpracovatelů (např. reklamních agentur) je forma vedení záznamů věcí dohody, kterou zpravidla určuje smlouva o zpracování.

Ochranná opatření – záruka klidného spánku

Šifrování a implementaci opatření pro dodržení GDPR předchází podrobné mapování firemních dat; audit často odhalí množství duplicit, zastaralých a nepotřebných souborů. Hodnotí se datové toky a jejich průběh, zvažují potenciální rizika: z vnějšího i vnitřního pohledu sítě, jednotlivých zařízení a serverů.

Analyzuje se i přístup zaměstnanců, externích pracovníků a obchodních partnerů k citlivým souborům. Definují se jednotlivé role, jejich práva, povinnosti a zodpovědnost.

Teprve poté je možné učinit nápravná opatření. Vedle šifrování souborů sem patří zejména zabezpečení firemní sítě proti únikům pomocí technologie Data Loss Prevention (DLP). Nezbytností je i posílení ochrany proti vnějším hrozbám – účinné jsou zejména firewally nové generace (NGFW).

Konzultací nic nezkazíte

Zavádíte ochranná opatření svépomocí a chcete vědět, zda na to jdete správným směrem? Podíváme se na váš implementační proces, zhodnotíme jej a doporučíme vám nápravná opatření. A totéž provedeme u vašich Zpracovatelů.

Ozvěte se nám co nejdříve – a začátek platnosti GDPR se přibližuje každým dnem.