3. Nařízení GDPR z pohledu IT – činnosti vedoucí ke splnění nařízení GDPR

Závěrečný díl trilogie o nařízení GDPR pro IT

Toto je závěrečný díl trilogie o nařízení GDPR – byl bych rád, kdyby u tohoto dílu probíhala diskuse, aby se průběžně upravoval podle vašich zkušeností a znalostí – je to vlastně koncept, který budeme průběžně doplňovat o další informace.

Nezapomeňte, že nařízení GDPR se týká osobních údajů, což mohou být:

  • Strukturovaná data v klasických informačních systémech.
  • Nestrukturovaná data – jako email, úložiště dokumentů (osobní údaje v dokumentech nemusí být přímo v těle, ale také v metadatech!) atp.
  • Fyzické dokumenty (papírová úložiště – archivy).

Analýza, interní audit a procesy

Tuto část samozřejmě můžete přeskočit.

Jako první krok musí organizace přistoupit k analýze a internímu auditu a z toho pak vyjdou nejen procesní postupy, ale také technická řešení. Vše je třeba řešit v rámci celé organizace se všemi odděleními, včetně IT (proto jsou v tomto díle uvedeny i postupy, které se netýkají přímo IT)! Nejprve je třeba určit základní záchytné body pro interní audit:

  1. Jste organizace s více než 250 zaměstnanci a musíte mít DPO? Pokud ano, nejprve si obstarejte DPO a pak pokračujte – DPO by měl být přítomen od začátku! V tom případě vystavil váš nadřízený orgán kodex chování nebo ho musíte vyhotovit sami? (U organizací, které spravuje nějaké ministerstvo, by toto ministerstvo mělo vystavit kodex. Stejně tak centrála organizace by měla dodat kodex svým pobočkám).
  2. Na jakém základě (na základě jakého právního titulu) vaše organizace osobní údaje zpracovává a shromažďuje?
    1. Na základě zákonného titulu (právní povinnost).
    2. Na základě oprávněného zájmu správce.
    3. Na základě plnění smlouvy.
    4. Na základě veřejného zájmu.
    5. Na základě životně důležitého zájmu osob.
    6. Na základě souhlasu.
  3. Je vaše organizace v roli správce, zpracovatele či příjemce? Ve většině případů správce a zpracovatel je tentýž (spravujete svoje data na své infrastruktuře). Mnoho společností bude zároveň zpracovateli i správci (pro svoje klienty zpracovatel a pro svoje zaměstnance správce). V případě, že máte data uložena v cloudu, pak zpracovatel je firma, která vám cloud poskytuje. (Je zpracovatel jiný než správce? Pak musíte mít nastaveny procesy pro opravu, výmaz a přenositelnost osobních údajů – pokud totiž zpracovatel např. neprovede výmaz, tak je zodpovědný správce! Musíte se zpracovateli nastavit taková pravidla a smluvní ujednání, z nichž je zřejmé, kdo bude odpovědný za případný únik nebo jakékoliv jiné narušení ochrany v případě, že i jiné subjekty v roli zpracovatelů mají přístup k osobním údajům).
  4. Mají i jiné subjekty v roli zpracovatelů přístup k osobním údajům?
  5. Provádíte rozsáhlé zpracování osobních údajů?
  6. Používáte osobní údaje pro profilování?
  7. Poskytujete (sdílíte) osobní údaje třetím stranám (v rámci EU, mimo EU)?
  8. Jakým způsobem subjekt údajů dává souhlas? Elektronicky, písemně nebo ústně? Je tento souhlas zpětně doložitelný? Jak si ověřujete identitu subjektu údajů – za děti musí totiž souhlasit rodiče – je tedy třeba určit způsob ověření věku a následného souhlasu rodičů! (Bude také nutné zrevidovat smlouvy a přijmout aktualizované souhlasy se zpracováním osobních údajů - tzn. i zpětně! Tyto souhlasy byste měli mít uschované a připravené k prokázání souladu s nařízením GDPR!).
  9. Osobní údaje ve vaší organizaci?
    1. Jakým způsobem osobní údaje získáváte, aktualizujete a skartujete?
    2. Jaký je stávající způsob ochrany osobních údajů?
    3. Jaké osobní údaje a z jaké kategorie spravujete?
    4. Můžete s jistotou uvést, proč (za jakým účelem) a jak tyto osobní údaje zpracováváte?
    5. Neshromažďujete navíc některé osobní údaje – jsou osobní údaje relevantní?
    6. Kde (v jakém oddělení, pobočce apod.) s osobními údaji pracujete? Kdo přistupuje k osobním údajům a z jakých důvodů (v jakých případech – procesech)? Víte, jak a které dokumenty s osobními údaji používá? Tyto informace musíte totiž na požádání poskytnout subjektu údajů i dozorovému úřadu.
    7. Kde jsou osobní údaje uloženy (produkční data i archivy)? Správce dat i zpracovatel musí vést záznamy o činnostech zpracování osobních údajů a na vyžádání je předložit dozorovému úřadu! Proto je bezpodmínečně nutné identifikovat zdroje a úložiště těchto osobních údajů, abyste takový záznam mohli věrohodně vést.
    8. Po jakou dobu s osobními údaji pracujete? (Tuto dobu si musíte náležitě obhájit. Nestačí prohlášení, že zpracováváte osobní údaje po dobu nezbytně nutnou – životní cyklus osobních údajů musí mít jasné ohraničení začátku a konce. Takto stanovené období si musíte být schopni obhájit jak před subjekty údajů, jejichž osobní údaje zpracováváte, tak však před dozorovým úřadem).
  10. Jak budete řešit situaci, kdy občan EU bude požadovat některé ze svých práv? Je vaše organizace připravena na vynucení práva osob na přístup, opravu, výmaz, zapomnění a přenositelnost jejich osobních údajů? Nebo na možnost vznesení námitky proti určitému zpracování, a tím pádem i na vyloučení nebo omezení některých osobních údajů? Jakým způsobem budete evidovat všechny požadavky subjektů údajů a zpracovávat je (ručně či automatizovaně)? Pozor – nejste povinni subjektu údajů sdělovat technické detaily a informace, které se týkají zpracování osobních údajů – "neměla by být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení".
    1. Jaké budou lhůty pro výmaz a přezkum osobních údajů (je potřebné, abyste v průběhu celého procesu dbali na to, že zpracováváte jen ty osobní údaje, které jsou nezbytně nutné k danému účelu a hlavně, že jsou aktuální. Jedním z principů, které nařízení GDPR prosazuje, je totiž přesnost a aktuálnost zpracovávaných osobních údajů)?
    2. Jak zpřístupníte osobní údaje občanům EU, aby mohli jednoduše kontrolovat či opravit (nejlépe online) svoje osobní údaje? Počítejte s opravou chybných osobních údajů uložených v atributech dokumentů.
    3. Jak z hlediska omezení zpracování osobních údajů v případě vznesení námitky omezit, či zakázat další zpracování všech dokumentů, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všech dokumentů, které se týkají dané osoby?
    4. Jakým způsobem v případě odvolání souhlasu subjektu údajů nebo žádosti subjektu údajů o zapomnění vymažete všechny dokumenty, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všechny dokumenty, které se týkají subjektu údajů žádajícího o smazání svých osobních údajů? V případě práva být zapomenut to bude znamenat, že se musí vymazat osobní údaje nejen ze všech úložišť (i archivů), ale i listin, e-mailové komunikace apod., pokud to není v rozporu se zákonnou povinností.
    5. Jakým způsobem se budou předávat osobní údaje a v jaké strojové formě, pokud subjekt údajů požádá o svoje osobní údaje? Musíte totiž subjektu údajů předat všechny osobní údaje, které o něm vedete! Jakým způsobem poskytnete všechny dokumenty, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všechny dokumenty, které se týkají subjektu údajů žádajícího o přenos?
  11. Musíte vypracovat posudek DPIA? (Pak ho musíte vypracovat ve spolupráci s DPO, a jde-li o zpracování s vysokým rizikem, pak navíc ve spolupráci s dozorovým úřadem).
  12. Jaká jsou eskalační schémata při zjištění pokusu při průniku a odcizení osobních údajů? Musíte také nastavit proces hlášení bezpečnostních incidentů, kdy se během 72 hodin musí příslušnému dozorovému úřadu za jistých podmínek nahlásit tento bezpečnostní incident. V některých případech se musí nahlásit i dotčenému subjektu údajů či dotčeným subjektům údajů (tzn. veřejně). Na správce dat i zpracovatele se vztahuje bezodkladná ohlašovací povinnost v případě porušení zabezpečení osobních údajů.
  13. Máte v organizaci neoficiální procesy (rozesílání novinek, věrnostní systémy, různé dočasné evidence atd.) a pokud ano, máte je pod kontrolou?
  14. Jaké aplikace pracující s osobními údaji (informační systémy, cizí i vlastní pomocné aplikace, různý freeware atp.). jsou v organizaci používány a které budou používány dále.
  15. Pracují či mohou pracovat zaměstnanci vaší organizace s osobními údaji i na svých soukromých zařízeních (tablet, mobil)? Jak se tedy bude řešit BYOD?
  16. Pokud vaše organizace nepoužívá šifrování (nepovinné) budete ho používat už teď nebo v budoucnosti?
  17. Lze ve vaší organizaci používat pseudonymizaci (nepovinná)?
  18. Jak budete dokládat, že technická a organizační opatření jsou aplikována?
  19. Počítat se školením pro zaměstnance pracující s osobními údaji – jak s nimi nakládat, (případně je nechat proškolit v celé problematice nařízení GDPR).

Na základě analýzy (někde zároveň s ní) musíte provést interní audit zpracování a uchování osobních údajů, který je tou nejsložitější a časově nejnáročnější částí. Audit, do kterého jsou zahrnuty osobní údaje v elektronické i papírové formě, znamená, že si projdete všechny vaše procesy, dokumenty a technické zabezpečení a zjistíte, kde se odchylujete od nařízení GDPR – doplníte tedy odpovědi na otázky z analytické části.

Tím vypracujete plán pro úspěšnou implementaci potřebných technických a procesních řešení k dosažení souladu s nařízením GDPR. Interní audit je vhodné pravidelně opakovat (pokud máte DPO, tak dokonce musíte) a aktualizovat revizi rizik.

Pokud to půjde, bylo by vhodné už předběžně stanovit i náklady u jednotlivých výše uvedených bodů. Tím vlastně i některé body můžete vyloučit kvůli vysokým nákladům:
"Správce a zpracovatel provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob."
Což naštěstí znamená, že pokud vaše firma vydělává 10 milionů ročně, nebude se po ní požadovat zabezpečení v ceně dvaceti milionů. Je to dost vágní definice, takže jak znám právníky a úředníky, ti si to mohou v určitých případech vyložit po svém...

Na základě analýzy a interního auditu je třeba navrhnout procesní změny pro zpracování a uchování osobních údajů a aktualizovat interní směrnice, aby odpovídaly novému nařízení. V případě, že pominul některý ze zákonných důvodů zpracování osobních údajů, je vždy nutné interní směrnice přehodnotit. Jedná se o kontinuální sledování a mapování toku osobních údajů ve vaší organizaci!

Implementace potřebných IT řešení

Následující kroky se týkají oddělení IT a vyplývají z analýzy a interního auditu. Podle zaměření vaší organizace a stavu vašeho HW a SW se vás nebude týkat vše! Profilování se týká marketingu, ale ne zdravotnictví atp.

Každopádně z podmínky nařízení GDPR:

"Při posuzování vhodné úrovně bezpečnosti se musí zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim",

vyplývá, že vás čekají minimálně následující činnosti:

  • Revize úložišť, aplikací a dodavatelů.
  • Kontrola přístupových práv.
  • Řešení problematiky kybernetického útoku (ransomware apod.).
  • Řešení fyzické bezpečnosti.
  • V případě online přístupu klienta je třeba zajistit, aby subjekt údajů mohl manipulovat se svými osobními údaji (a to znamená jak u strukturovaných, tak nestrukturovaných dat!).
  • Při námitce zamezit zpracování osobních údajů daného subjektu údajů.
  • Při požadavku výmazu smazat všechny osobní údaje daného subjektu údajů (tzn. i fyzické dokumenty).
  • Při požadavku přenosu osobních údajů je ve strojové formě předat danému subjektu údajů.

Co je potřeba udělat, než začnete s vlastní implementací

  1. Zjistit, v jakých úložištích se osobní údaje nacházejí, abyste měli přehled pro případnou kontrolu dozorového úřadu. U databází asi nebude problém, ale nejnáročnější bude projít si vaše nestrukturovaná data. Mohou být na sdílených discích, u uživatelů na počítačích, navíc rozházené po složkách.
  2. Zjistit aplikace, které s osobními údaji pracují a zda pracují pouze s relevantními osobními údaji.
  3. Zjistit, kdo k jaké aplikaci, složce či dokumentu přistupuje a s jakými právy.
  4. Jaká je vaše politika hesel.
  5. Jak se osobní údaje do aplikací dostávají? Pomocí interního přístupu nebo externím přístupem do aplikací (webové formuláře, webové aplikace)?
  6. Pokud bude rozhodnuto vedením, že subjekt údajů bude mít možnost přístupu online, pak kontaktovat tvůrce aplikací.
  7. Zkontrolovat nestrukturované dokumenty – ručně to bude velmi, velmi pracné, protože čím větší organizace, tím větší počet dokumentů (a tím větší maglajz). Pokud používáte DMS (Documents Management System), pak se vám to přece jen usnadní. Firmy nabízí SW pro audit nestrukturovaných dokumentů ve vašich úložištích, počítejte ovšem s nekřesťanskou cenou.
  8. Jakým způsobem se ve vaší organizaci pracuje se souhlasy? Pokud digitálně, pak vzhledem k tomu, že souhlasy musí být zpětně doložitelné a že musíte evidovat všechny opravy, výmazy, přenosy atp., tak to znamená, že budete muset navýšit úložnou kapacitu… Nezjistil jsem, jak dlouho se toto má evidovat – ale zřejmě podle platných pravidel ve vaší organizaci.
  9. Bylo by vhodné si udělat audit používaných pomocných aplikací (placených i neplacených) na jednotlivých počítačích. Zkontrolovat přítomnost Flash Playeru, Javy apod.
  10. Prověřit seznam kontaktů dodavatelů SW, správců a zpracovatelů osobních údajů a těm zkontrolovat jejich přístupy a práva. Doplnit si údaje na DPO a dozorový úřad.

Fyzická bezpečnost

Většina následujících požadavků na fyzickou bezpečnost by měla být řešena vaším Disaster Recovery Plan:

  • Fyzicky zabezpečit serverovny a počítače před neoprávněným použitím či krádeží.
  • Ošetřit případy ztráty notebooku, mobilu atp.
  • Nedovolit připojování externích zařízení. Pokud nelze zakázat připojování externích médií, pak pomocí politik (GPO, antivir) vynutit co nejbezpečnější použití externích médií.
  • Schopnost obnovit dostupnost dat a přístup k nim v případě fyzických či technických incidentů.

Zabezpečení

  • Nepoužívat již nepodporované operační systémy a aktualizovat pravidelně OS. Pokud máte aplikace, kvůli kterým neaktualizujete, snažte se to nějak vyřešit.
  • Pokud jste si udělali audit aplikací na počítačích, smazat nedovolené nebo nebezpečné aplikace. A ohlídat si přítomnost Flash Playeru a Javy – ponechat pouze na počítačích, na kterých být opravdu musí.
  • Uzamykat či ukončit session při opuštění PC automaticky.
  • Hypervisory – nastavit auditní režim, protože administrátoři hypervisoru mají větší práva než Domain Admins.
  • Máte-li firewall pracující pouze na základě iptable, pořiďte si Next-generation firewall. Logujte firewall na Syslog server (nezatížíte firewall, budete mít větší úložnou a výpočetní kapacitu pro vyhodnocování)!
  • Samozřejmostí by měl být antivir.
  • Nepovinné šifrování (ať už HW nebo SW) na primárním úložišti, externích médiích a zálohách (čl. 32 nařízení GDPR).
  • Nepovinné šifrování záloh silnými klíči.
  • Nepovinná pseudonymizace – v případě profilování nejspíše nutná.
  • Mít zavedený postup pro případ bezpečnostního incidentu (ransomware, DDOS, krádež osobních údajů atp.) spolu s postupem oznámením subjektu údajů nebo veřejným oznámením dotčeným subjektům údajů.
  • Dokumentovat incidenty.

Strukturovaná data (aplikace dodávané i vlastní)

  • Pokud nakupujete nebo vyvíjíte nový software, myslete přitom na nařízení GDPR a návrh PbD.
  • Zajistit odstranění položek nerelevantních osobních údajů.
  • Přidat údaj o období platnosti (životnost osobních údajů).
  • Zajistit způsob označení neplatných nebo neaktuálních osobních údajů.
  • Zajistit možnost přístupu, opravy, výmazu, omezení, zapomnění, přenositelnosti a přenosu osobních údajů třetím stranám. Poznámka: v systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena. Způsoby, jak omezit zpracování osobních údajů by mohly mimo jiné zahrnovat dočasný přesun vybraných osobních údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo např. dočasné odstranění zveřejněných osobních údajů z internetových stránek.
  • Doplnit funkce logování, neexistují-li u aplikací.
  • Podle interního auditu připravit evidenci požadavků subjektů údajů, pokud bude zpracovávána počítačově. S tím souvisí schopnost sdělit subjektu údajů, jaké jeho osobní údaje zpracováváte a tím i možnost mu je předat ve strojovém formátu.
  • Zajistit evidenci a zpracování souhlasů (souhlasy musí být zpětně doložitelné). Přizpůsobit tomu informační systémy a workflow.
  • Pokud budou mít subjekty údajů online přístup ke svým osobním údajům vyřešit přístup s dodavateli aplikací.

Nestrukturovaná data

  • Zajistit opravu osobních údajů v nestrukturovaných datech (metadata), má-li být prováděna automatizovaně.

Přístupová oprávnění

  • Opravit přístupová oprávnění. Při důsledném používání skupin to nebude až tak složité (časově náročné však ano), ale ve většině případů tomu tak není.
  • U externího přístupu zpracovatelů a dodavatelů k osobním údajům zkontrolovat práva přístupu, logovat jejich přístupy a také zabezpečit spojení.
  • Dostatečná politika hesel.
  • Nesdílet administrátorská práva s dodavateli.
  • Kontrola oprávnění pro práci s osobními údaji na základě interního auditu – budou práva aplikována na oddělení a/nebo na jednotlivé zaměstnance?
  • Sloučení všech typů operačních systémů a aplikací pod společnou správu identit a oprávnění s vícefaktorovým ověřováním (je-li to možné).
  • SSL certifikáty.

Logování a monitorování

  • Logování provozu na síťových prvcích (switche, routery).
  • Monitoring administrativních úkonů a přístupů k prostředkům.
  • Logovat přístupy k osobním údajům v aplikacích.
  • Logování přístupů k dokumentům, změnám v konfiguraci přístupů apod.

Závěr

A jako třešničku na dortu musíte ve vašich webových stránkách, formulářích, automaticky generovaných dokumentech, emailech atp. uvést kdo jste, váš kodex, proč osobní údaje zpracováváte, jak dlouho je budete zpracovávat a kdo je získá dále a příslušné kontakty (zcela jistě správci, zpracovatelé, DPO a dozorový úřad). Také musíte zveřejnit jakým způsobem mohou subjekty údajů kontrolovat a editovat svoje osobní údaje. A rovněž informace, zda jsou osobní údaje používány pro profilování.

Pokud to v nějaké organizaci funguje, jak má (tzn., že se dodržují a udržují pravidla bezpečnosti obecně a zacházení s osobními údaji podle předcházejících směrnic, hlavně podle zákona č. 101/2000 Sb.), pak ji samozřejmě čeká spousta práce – úprava procesů, metodik a směrnic, a hlavně nová úprava systémů a procesů pro možnost opravy, výmazu, zapomnění či přenosu osobních údajů na základě žádosti subjektu údajů. Ale tam, kde se do IT neinvestovalo a bere se jen jako nutné zlo, tam nastanou krušné časy, pokud se tedy tomu organizace či firma bude vůbec věnovat.

Pokud jste organizace s více než 250 zaměstnanci, a pokud zpracování osobních údajů patří mezi vaše hlavní činnosti, pak máte svého DPO a musíte vést záznamy o zpracování a uchování osobních údajů a zpřístupnit je dozorovému úřadu na požádání!

A měli byste pravidelně testovat, posuzovat a hodnotit účinnost zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování osobních údajů.

Igor Pechanec © 2016-2018