Európske nariadenie dramaticky zmení ochranu osobných údajov, ich spracovanie, používanie a pokuty za ich úniky alebo chyby pri práci s databázami, zmluvami či firemnými systémami. Experti varujú, že opatrenia, ktoré si musia firmy pripraviť, si žiadajú veľké časové a finančné náklady.
Predstavte si, že nepozorná sekretárka omylom vloží faktúru do nesprávnej obálky a tá príde na adresu niektorého iného z vašich obchodných partnerov. Od 25. mája 2018 bude mať vaša firma povinnosť nahlásiť takýto (a množstvo iných) „incidentov“ Úradu na ochranu osobných údajov a súčasne aj postihnutým fyzickým osobám. Termín: do 72 hodín. Možné pokuty? Za takýto banálny incident zrejme nie, v závislosti od rozsahu pochybenia však budú môcť dosiahnuť až drakonické (či skôr neuveriteľné) štyri percentá celosvetových tržieb firmy. (Aktuálne slovenský úrad udeľuje v závažnejších prípadoch pokuty v rádoch desiatok tisíc eur).
Európske nariadenie General Data Protection Regulation je výsledkom dlhoročného snaženia bývalej komisárky pre informačnú spoločnosť a médiá Viviane Redingovej.
Uvedený príklad sa môže zdať pritiahnutý za vlasy, právnici ho však používajú, aby ilustrovali, že zmeny v každodennej práci firiem – ale aj štátnych orgánov – budú podľa nového nariadenia skutočne ďalekosiahle. „Nariadenie predstavuje akúsi mini revolúciu,“ hovorí Zuzana Hečko, senior associate právnickej kancelárie Allen & Overy Bratislava. „Ide o ťažký právnický text, na ktorý si budete musieť vyčleniť čas. Pre stredne veľké spoločnosti možno ešte trochu času zostáva. Pre tie väčšie, najmä multinárodné spoločnosti, sa však kráti už teraz. Zmien je skutočne veľmi veľa.“
Organizácie budú napríklad musieť vymenovať takzvané zodpovedné osoby za ochranu údajov. Včas budú musieť obnoviť, respektíve vybaviť príslušnými aktualizovanými doložkami aj svoje dlhodobo platné zmluvy. Investovať bude potrebné do šifrovania, keďže v prípade incidentov budú firmy musieť dokladovať, že uniknuté dáta by mali byť prakticky nepoužiteľné.
„Ak by napríklad k úniku osobných údajov došlo kvôli strate laptopu či USB kľúča, potrebovali by sme vedieť preukázať, že to zariadenie bolo v tom čase zašifrované a nehrozí ich únik,“ vysvetľuje CISO Esetu Daniel Chromek. „Ak by zasa k úniku došlo v dôsledku útoku a infekcie host serveru, potrebujeme vedieť preukázať, že na ňom bol v danom čase inštalovaný antivírusový program, že bol updatovaný a že boli nainštalované všetky patche. Takýto reporting sa pre nás vo firme stáva čoraz dôležitejší.“
Nariadenie prichádza s inštitútmi ako pseudonymizácia, povinná minimalizácia rozsahu údajov v používaných databázach (najmenší rozsah nevyhnutný na účel použitia). Vo webových formulároch majú byť definitívne odstránené „predzaškrtnuté“ políčka „suhlasím“ prípadne „áno“, zákazníci budú musieť dostať rovnako jednoduchý spôsob, ako zrušiť svoj súhlas so spracovaním osobných údajov, ako bol spôsob, ktorým súhlas pôvodne udelili.
Upravuje sa aj populárne „právo byť zabudnutý“, zavádza sa štatút „privacy by design and by default“ – spôsob tvorby softvéru a systémov, ktorý prihliada na „ich diskrétnosť“. Menia sa podmienky pre sprostredkovateľov, banky budú musieť investovať do zabezpečenia prenosu údajov k iným poskytovateľom služieb na požiadanie zákazníkov. Rovnaký nezostane ani spôsob prenosu osobných údajov mimo Európskej únie, bude potrebné preverovať štatút krajiny z pohľadu nariadenia.
Aby toho nebolo málo, slovenskí úradníci pripravujú aj nový zákon o ochrane osobných údajov. Európske nariadenie, ktoré je už samo o sebe koncipované tak, aby pokrylo všetky sektory a verejné inštitúcie, ten starý totiž zruší. Snahou slovenských regulátorov je pokryť aj údajné oblasti, ktoré vraj európske nariadenie neupravuje. O zákone by mal parlament rokovať na jeseň.
„Premietnite si, čo všetko musíte zvládnuť do mája 2018 – presvedčiť manažment, utvoriť pracovnú skupinu, rozhodnúť sa, či budete potrebovať v zmysle GDPR vymenovať zodpovednú data protection officera, urobiť časový plán, zanalyzovať toky dát, aktuálne bezpečnostné opatrenia a súčasný stav všetkých procesov,“ hovorí Jaroslav Oster, CEO firmy Info consult, zameranej na ochranu dát. „Navrhnúť opatrenia, ktoré vás zosúladia s GDPR a zaviesť ich. Mnohokrát bude potrebný výber dodávateľa, alebo rokovania s ním. Musíte tiež naštartovať edukačné procesy vo firme. Počul som už aj názor, že ten, kto naštartuje procesy do septembra, môže byť – v závislosti od veľkosti firmy – rád, ak to všetko stihne.“
Text vychádza z prezentácií na konferencii Eset Security Days 2017.
