Toto nařízení je nyní aktuálním tématem, v platnosti u nás bude již od příštího roku. Tímto nařízením se zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů zavést technická, organizační a procesní opatření, jejichž účelem bude prokázání souladu s principy nařízení. Uplatnění tohoto principu může pro podnikatele představovat nemalé časové ale samozřejmě také finanční investice. Proto by firmy měli začít s přípravou na implementaci této povinnosti vyplývajících z nařízení GDPR co nejdříve. Toto nařízení platí pro všechny firmy, bez ohledu na jejich velikost nebo počet zaměstnanců. Firmy budou muset nejprve provést analýzu současného stavu, aby následně zjistily, jaké budou potřeba změny a dle toho objednat potřebná služby nebo IT produkty.
Díky tomu, že zpracovatelé dat podléhají českému zákonu o ochraně osobních údajů, splňují řadu požadavků již dnes. Bohužel problematika ochrany osobních údajů je velmi široká, proto není prakticky možné GDPR vyřešit jednorázovou investicí. Implementace pravidel bude vyžadovat nejen změny v IT, ale zejména změny ve vnitřních procesech. Bude třeba přijmout nové koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů.
Firmy budou muset nově definovat pravidla pro zajištění dat před úniky, a to jak před útoky zvenku, tak před interními incidenty. Protože investice firem do této oblasti jsou nemalé, je třeba vyhodnotit, jakou úroveň zabezpečení dat firma opravdu potřebuje a jak je možné ji účelně zajistit.
Kroky pro realizaci nařízení ve firmě
- zmapovat, kde všude jsou osobní údaje uloženy
- zjistit, kdo má právo s nimi manipulovat
- odhalit, kdo všechno k nim má přístup a proč
- vyřešit šedou zónu IT, kdy jsou data uložena mimo k tomu určená úložiště (neoficiální zálohy, data v telefonech zaměstnanců, apod.)
Pokud bude firma ignorovat toto nařízení, může jí hrozit pokuta, a to až do výše 20 milionů EUR nebo ve výši 4 % z ročního obratu.
Přechod na cloud
Co se týká technologického řešení a zabezpečení, nejsnazším a relativně levným řešením bude zejména pro malé firmy přechod na cloud, protože poskytovatelé cloudových služeb si bezpečnost pečlivě hlídají. V praxi budou data v naprosté většině případů více v bezpečí v cloudu než ve firmě, a to ať už má firma bezpečnost na svých serverech řešenou jakkoliv. Výhodou cloudových služeb je navíc to, že servery, úložiště, služby a aplikace, které tyto služby nabízí, jsou uživatelům dostupné vzdáleně přes síť nebo internet.
Firmám se rozhodně vyplatí jít do cloudu a nechat bezpečnost na lidech, kteří jí rozumí. Pro nejmenší firmy bude nejlepším řešením spolupráce s některým z lokálních providerů. V případě využití cloudových služeb firmy nebudou muset zbytečně investovat do technologií, které nemají přímou přidanou hodnotu pro jejich hlavní činnost.
Smlouva o poskytování cloudových služeb by určitě měla obsahovat jasná specifika odpovědnosti za bezpečnost (pro zpracovatele a pro správce) a umístění dat a jejich zpřístupnění. Nemělo by zde chybět také ustanovení o tom, kdo ponese odpovědnost za případné škody.
Poskytovatelé cloudových infrastruktur se už připravili a v loňském roce členové CISPE (=koalice více než 20 poskytovatelů cloudových infrastruktur působících v Evropě) vydali Kodex chování pro ochranu dat. Koalice se mimo jiné zavázala ukládat data, která jsou součástí cloudových infrastruktur, pouze na území EU/EHP a dále nesmí tato data jakkoliv analyzovat či profilovat, využívat je pro své marketingové či jiné účely nebo je zprostředkovat třetím stranám.