Loading...

GDPR
Zkratka, která straší

V minulém čísle Elity jsme si pokládali otázku „Kdo jsme?“. Řeč byla o naší identitě, která je při vstupu do online prostoru vystavována celé řadě nových zákonitostí, pravidel a rizik. Tentokrát se na celou problematiku identit podívejme z jiného úhlu. A sice, jak ochranu osobních údajů vidí zákon a nařízení. V tomto světle již tedy otázka nezní „Kdo jsme?“, ale spíše „Za koho nás mají?“. Tentokrát už nebudeme psát tolik o řízení identit uvnitř firmy, ale spíše o GDPR (General Data Protection Regulation). Tajemné zkratce, která se jako strašák vznáší nad firmami a jež je připravena ty nepřipravené připravit o energii, peníze a klid na duši. Připravte se, protože proti paragrafům GDPR nejspíš ani dobré PR nepomůže.

Co je jasné? Na konci května příštího roku vstoupí v účinnost nové evropské nařízení č. 2016/679 o ochraně osobních údajů. A to se chystá posvítit na to, jak firmy nakládají s osobními údaji svých zákazníků nebo uživatelů. Za porušování nebo obcházení pravidel mají hrozit sankce až 20 milionů eur nebo pokuty ve výši 4 % celosvětového ročního obratu. V mnoha případech tedy likvidace firem. Co není jasné? Pohříchu všechno ostatní!

Třeba to, co všechno GDPR vlastně zavádí. Stejně jako není přijatý jednoznačný a obecně daný standard, jak konkrétně technicky požadavky kladené GDPR a práva dotčených subjektů realizovat. Číst evropskou legislativu totiž není úplně jednoduché, natož poutavé, a česká vláda celou problematiku spíše obestřela rouškou mlčení, než aby se ji pokusila srozumitelně interpretovat. Výsledkem tak je, že firmy s obavami vyhlíží červen a změny, které se jich budou bytostně dotýkat.

Pro vytvoření pořádku a vedení záznamů budou potřebovat dobré koště (evidenční, dokumentační a procesní nástroj), ideálně jedno společné, které bude sloužit pro správu požadavků subjektů údajů (formuláře pro subjekty údajů, workflow), správu „rodných listů“ (záznamů o činnostech zpracování včetně správy incidentů), řízení oprávnění uživatelů IS přistupovat k údajům dle účelu stanoveného v „rodných listech“, vytváření a správu auditních záznamů (logů) o manipulaci uživatelů IS s osobními údaji, správu klíčů pro šifrování a pseudonymizaci. A pokud tato opatření organizace zavede, tak i realizaci pseudonymizace. To v případě, že bude nástroj referenčním úložištěm osobních údajů v organizaci.

Jestliže se nám předchozími řádky povedlo vás vystrašit, omlouváme se. Následujícími odstavci se vás pokusíme naopak zase trochu uklidnit. Máme řešení, které se jmenuje AC IDENTITA, a vyvíjeli jsme ho už v době, kdy legislativa teprve mířila mezi evropské zákonodárce. A dnes je toto řešení díky tomu schopné přinést tu pravou přidanou hodnotu, pokud jde o praktické naplnění požadavků kladených GDPR.

Vznik řešení AC IDENTITA byl iniciován už vznikem normy ISO/IEC 29100, jež se zabývala principy soukromí a je starší než nařízení GDPR. Na tuto normu navázala ISO/IEC 29101, která definuje rámec architektury a předepisuje vrstvy (vrstva nastavení soukromí, vrstva identity a přístup, vrstva osobních údajů), komponenty a požadavky na funkcionalitu v jednotlivých systémech obsahující evidenci osobních údajů.

Představte si centrální platformu, připravenou zajistit jednotnou evidenci účelů zpracování osobních údajů, klasifikaci a kategorizaci těchto údajů, včetně evidovaného souhlasu subjektu údajů a zaznamenaných preferencí nastavení soukromí subjektu údajů. Pamatuje si tak například, že zástupce partnera XY souhlasil se zpracováním osobních údajů pro konkrétní účel, ale ten se netýká například marketingu nebo dalších činností. Všechny preference přehledně eviduje na jednom místě a zároveň je dokáže řídit v čase. A zde to rozhodně nekončí. Díky AC IDENTITA se mimo potřebné evidence můžete dostat dále a hlouběji, a to až k faktickému řízení oprávnění v systémech organizace včetně přístupu pro práci s osobními údaji. Ať už je řeč o řízení, přenosu, validaci, pseudonymizaci, anonymizaci, sdílení tajných informací, šifrování, řízení dotazů, odhalení případných problémů, archivaci, uchovávání či zápisu auditu do logu. Umí tedy vlastně víc, než GDPR vyžaduje. A sice chránit firmu nejen směrem před opatřeními zvenčí, ale také před případnými riziky zevnitř.

Pokud jsme vás zaujali, neodkládejte to na první máj.

Co přinese GDPR

  • Rozšíří a posílí práva subjektů údajů – právo na informace, na přístup k údajům, na opravu a výmaz, na omezení zpracování, na přenositelnost, právo vznést námitku nebo například oznamování případů porušení zabezpečení údajů.
  • Povinnost vytvořit a vést jakési „rodné listy“ pro všechny oblasti zpracování osobních údajů v organizaci (například jméno a kontaktní údaje správce a zpracovatele + DPO; účely zpracování + důsledky; informace o subjektech, o příjemcích či o předávání osobních údajů).
  • Nutnost ohlašovat porušení zabezpečení dozorovému úřadu – správci a zpracovatelé tak musí být schopni detekovat bezpečnostní incidenty a vést o nich v rámci záznamů dokumentaci o jejich zvládání.
  • Nový institut tzv. pověřence pro ochranu osobních údajů, který poskytuje poradenství, monitoruje dodržování souladu a spolupracuje s dozorovým úřadem.

A mnoho dalších dílčích požadavků navázaných na každodenní realitu většiny organizací, jež provozují desítky (pokud ne stovky) informačních systémů a aplikací, které na různých úrovních a v různé kvalitě zpracovávají osobní údaje. Všechny z nich budou muset nejpozději s domácím jarním úklidem „vygruntovat“ i tyto systémy a aplikace.

Radim Drgáč
vedoucí oddělení IDM