Unikla vám data? Připravte se na ohlašovací povinnost!

logo GDPR

Jakou další velkou změnu přinese nařízení GDPR? Jde o povinnost ohlašovat narušení bezpečnosti zpracovávaných dat, souhrnně tzv. data breaches. Spadají sem případy zničení, ztráty, změny, neoprávněného poskytnutí nebo zpřístupnění zpracovávaných osobních údajů.

České právo tuto povinnost ukládalo jen sektoru telekomunikačních sítí a internetových služeb, nyní se bude vztahovat na všechny správce osobních údajů. Pro drtivou většinu správců půjde o naprostou novinku a další administrativní zátěž, na kterou je třeba se připravit.

Povinnost informovat bude mít správce (firma nebo jakákoliv instituce) vůči Úřadu pro ochranu osobních údajů (ÚOOU) a také vůči subjektům, jejichž data zpracovává, typicky občanům. Vůči ÚOOU se ohlašovací povinnost vztahuje na všechna porušení zabezpečení osobních údajů až na výjimky, kdy je nepravděpodobné, že by mohlo dojít k ohrožení práv a svobod dotčených osob. Typicky jsou to úniky už veřejně dostupných údajů nebo údajů bezpečně zašifrovaných.

eva 150x150

Ohlašujte bez odkladů

Ohlášení by měl správce provést bez zbytečného odkladu, maximálně do 72 hodin od chvíle, kdy se o něm dozvěděl. Pozdější ohlášení musí být důsledně odůvodněno. Pravděpodobně by obstál například argument o souhrnném ohlášení většího počtu identických úniků dat, například v důsledku více vln hackerských útoků.

Správce by měl popsat povahu porušení, uvést, jaké kategorie údajů byly zasaženy a kolika osob se situace týká. Je potřeba uvést kontaktní místo v rámci vlastní organizace, se kterým bude moci ÚOOU komunikovat a které by mělo mít veškeré dostupné informace. Pracuje-li ve vaší organizaci pověřenec pro ochranu osobních údajů (DPO), bude právě on touto kontaktní osobou. Správce by měl úřad dále obeznámit s pravděpodobnými důsledky porušení a s popisem nápravných opatření, která za účelem zmírnění těchto důsledků přijal.

Veškeré případy se musí dokumentovat

Nařízení GDPR počítá s tím, že správce nebude mít všechny informace dostupné během požadované doby nebo přesně vyčíslené. Proto umožňuje, aby informace byly poskytovány postupně. Je však třeba v této fázi udržovat maximální komunikaci s ÚOOU a o situaci úřad průběžně informovat. Veškeré případy porušení bude muset správce dokumentovat, spolu s jejich důsledky a přijatými nápravnými opatřeními.

O trochu méně přísnosti, ale…

Ohlášení konkrétním osobám je, naštěstí pro správce, méně přísné. O porušení ochrany osobních údajů musí správce informovat jednotlivé subjekty pouze v případech, kdy pro jejich práva bude porušení znamenat vysoké riziko. Má se tak předejít příliš častému obtěžování občanů zbytečnými a pro mnohé matoucími ohlášeními. Nutno dodat, že praxe jistě uvítá osvětlení hranice mezi „vysoce rizikovým“ a „obyčejným“ porušením. Snad se toho dočkáme díky vysvětlujícím stanoviskům WP29 či rozhodovací praxe evropských dozorových úřadů. Do té doby doporučujeme o porušení, které by se mohlo vykládat jako vysoce rizikové, pro jistotu občany informovat.

Organizace by se měly důkladně připravit na to, že v případě úniku dat jednotlivých osob budou muset kontaktovat v některých případech až statisíce osob, což může firmu snadno paralyzovat.

Míra rizikovosti konkrétního porušení se bude stanovovat hned podle několika kritérií. Záležet bude především na tom, jaké osobní údaje byly postiženy, v jakém množství, jakých subjektů se týkají, jakým způsobem byly chráněny, za jakým účelem byly zpracovávány a konečně jaká je pravděpodobnost jejich zneužití.

Ohlášení konkrétním občanům by měl správce opět provést bez zbytečného odkladu, a to jasným, srozumitelným a transparentním způsobem. Ohlášení by tak mělo být samostatnou zprávou, jejíž obsah bude „osobě průměrného rozumu“ pochopitelný. Nedoporučujeme ohlášení spojovat s jakýmkoliv jiným nesouvisejícím obsahem, například nabídkou služeb a produktů. Za ideální způsob komunikace doporučujeme e-mail, SMS či jiný přímý kontakt. Správce by však vždy měl zvolit takové prostředky, aby šance na předání informace byla maximální, a to i kdyby měl komunikačních kanálů zvolit více. Pokud nejde konkrétního člověka kontaktovat přímo, lze využít i ohlašování v médiích či na jiných veřejně přístupných informačních kanálech.

Prověřte vnitřní procesy, proškolte zaměstnance

Aby organizace dokázala minimalizovat výše popsaná rizika, musí dopředu přizpůsobit své vnitřní procesy a proškolit zaměstnance. Sebeúčinnější systém nakládání s osobními údaji nikdy zcela nevyloučí případy porušení zabezpečení osobních dat. Zda firma v tomto ohledu obstojí, bude záležet především na míře jejího přehledu a kontroly nad systémem zpracovávání osobních údajů tak, aby každé narušení bylo co nejdříve a co nejpřesněji zjištěno, zdokumentováno a ohlášeno. Organizace by neměly zapomínat ani na finanční postih. Následky neplnění ohlašovací povinnosti budou zásadní. Pokuty mohou dosahovat až 10 milionů eur nebo dvou procent správcova celosvětového ročního obratu.

Mgr. Eva Škorničková, www.gdpr.cz

Network Security Monitoring Cluster se stará nejen o problematiku GDPR

NSMC logo maleO novinkách, souvisejících s činností Network Security Monitoring Clusteru (NSMC), nás informoval Ing. Lukáš Přibyl,  male Axenta logopředseda představenstva společnosti Axenta a. s.

Jaké novinky z oblasti bezpečnosti aktuálně NSM Cluster řeší? Jste připraveni poskytnout klientům služby z pohledu GDPR?

 NSMC má stále stejný program – přináší trhu informace o členech Clusteru, přináší členům informace z trhu a provádí edukaci a evangelizaci v oblasti kybernetické bezpečnosti. A zejména poslední bod je zajímavý i pro klienty v oblasti GDPR, protože NSMC na toto téma poskytuje školení. A školení je to opravdu pro všechny, protože jej umíme upravit dle individuálních požadavků, a to jak do hloubky probíraného tématu, tak i do širších souvislostí. Školení probíhá v turnusech, ale umíme jej i zopakovat u klienta v jeho prostředí.

europe 20213081V neposlední řadě připravil Cluster pro zákazníky celý balík služeb pro zajištění souladu s nařízením GDPR. Jedná se o analytické práce ohledně posouzení souladu, návrh nápravných opatření včetně harmonogramu implementace, následně implementace těchto nápravných opatření – a to i včetně procesů. Kruh uzavírají opět testy a analýzy, zda proces GDPR byl zaveden a zda byl zaveden správně. Tyto činnosti zastávají jednotlivé společnosti z Clusteru, tak, jaká je jejich specializace. Nejedná se tedy o nějaké „rychlokvašky“, které vznikly přes noc, ale o odborné firmy, které na poli bezpečnosti pracují již dlouhá léta. Každý si ručí za kus svého díla a dohromady tak tvoříme celek, který není žádnou garážovou firmou. Jednotliví zástupci potom tvoří forenzní vyšetřovací tým, který v případě incidentu pomůže tento incident vyšetřit a zpracovat do 72 hodin zprávou pro nadřízený kontrolní orgán. Chceme se tedy o naše zákazníky starat komplexně. Více informací máme na stránkách www.gdpr-info.cz.

Kam směřují kroky NSM Clusteru v této době, kdy je bezpečnost denní téma?

 je majákem v rozbouřených vodách kybernetické bezpečnosti. Ale teď vážně – z hlediska platformy pro členy i zákazníky se snažíme všem přinášet aktuální informace, edukovat, školit, evangelizovat. Také se snažíme prosadit Technologickou platformu pro kybernetickou bezpečnost, kterou založily firmy z NSMC právě s podporou NSMC. Dále se NSMC podařil ojedinělý projekt – na dvou středních školách v České republice probíhá od září 2017 zkušební čtyřletá výuka kybernetické bezpečnosti podle osnov schválených na MŠMT. Po této zkušení době bude tento projekt vyhodnocen – a pokud vše půjde správně –, pak bude rozšířena tato výuka i na další střední školy v České republice. Získáme tak více odborníků na kybernetickou bezpečnost, s jejichž nedostatkem se potýkáme dnes a denně.

Jak je na tom cluster se směřováním byznysu mimo území České republiky? Máte nějaké aktivity i v tomto směru?

NSMC pořádá ve spolupráci s hospodářskou komorou, Ministerstvem zahraničí a agenturou Czech Invest obchodní a technologické mise do zahraničí. Poslední dvě proběhly v říjnu do Francie a v listopadu pak do Číny. Tyto mise byly členy hodnoceny velice pozitivně a příští rok na jaře budou provedeny následné kroky – čínští partneři přijedou do České republiky na další – již konkrétní – obchodní jednání.

Petr Smolník, šéfredaktor

Z pokut za neplnění požadavků GDPR jsou všichni vyděšeni…

 male Axenta logo… nám sdělil Ing. Lukáš Přibyl, předseda představenstva společnosti Axenta a. s.,, když jsme se jej zeptali na osobní praktické zkušenosti v oblastech IoT, Smart City a GDPR.

balance 2034239 1920Vidíte v posledních měsících zvýšený zájem klientů o oblast kybernetické bezpečnosti v oblastech IoT, Smart City a GDPR?

V posledních měsících vidíme pouze zájem o GDPR, neb zde jsou všichni vyděšeni pokutami. Také v této oblasti máme nyní nejvíce, především, analytických prací. Očekáváme na první kvartál roku 2018 posun do oblasti plnění nápravných opatření, která povedou k zavedení procesu řízení osobních údajů. IoT, Smart City, průmysl 4.0, zemědělství 4.0, to vše bude otázkou příštích měsíců či let. V našich končinách se věci neřeší v předstihu, ale až začne „hořet“, což je trošku škoda.

Jak na tento zájem reagujete? Jste připravení poskytnou služby i produkty v požadované kvalitě?

Jak jsem zmínil v odpovědi na předchozí otázku, pracujeme nyní zejména na rozdílových analýzách stavu připravenosti našich zákazníků na požadavky GDPR. A aby byla naše standardní kvalita dodržena, máme nasmlouvány i externí dodavatele na tuto činnost, zejména v oblasti práva a sběru dat, kteří nám pomáhají nejen se zvládnutím objemu prací, ale i s odborností.

Kterými směry do budoucna půjde Axenta z pohledu bezpečnosti?

Axenta půjde do budoucnosti částečně s tím co dosud – implementace provozních a bezpečnostních monitoringů a bezpečnostních dohledových center. Dále připravujeme novinky pro GDPR a Zákon o kybernetické bezpečnosti, ale popis těchto novinek bych si nechal až do dalšího čísla – jako překvapení pro naše zákazníky.

Petr Smolník, šéfredaktor