Ochrana osobních údajů a dalších dat nejen v odvětví průmyslu a strojírenství

• Foto

Ano, pokuta ve výši 20 milionů euro nebo čtyř procent globálního ročního obratu se může na první pohled zdát poněkud přehnaná, ale pokud se podíváme na její cíl, rázem se tato částka stane snadno pochopitelnou. V případě sankcí v řádu jednotek milionů korun je totiž zvykem, že s touto částkou daný podnik počítá jako s určitým finančním rizikem, a po případném zaplacení pokuty pokračuje ve stávajícím provozu, aniž by si s novým nařízením lámal hlavu.

Pokud však hrozí pokuta ve výši desítek milionů eur, je pro společnost mnohem výhodnější investovat pár milionů korun na zabezpečení informací, aby požadavek Evropské unie splnila. Právní výklad je pro běžné čtenáře často těžce uchopitelný, a tak se v tomto článku pokusím problematiku GDPR osvětlit přímo v prostředí společností z odvětví strojírenství a průmyslu.

Mezi specifika těchto segmentů můžeme zařadit například širokou zaměstnaneckou základnu, do níž spadají také sezónní pracovníci. Velká většina zákazníků těchto firem pak nejsou fyzické osoby a oproti firmám v ostatních segmentech častěji využívají B2B systémy. Specifické pak jsou také odborové organizace, které se právě ve strojírenství a průmyslu objevují nejčastěji.

SPECIFIKA PRŮMYSLU A STROJÍRENSTVÍ Z POHLEDU GDPR

Většina obráběcích strojů je číslicově řízená – většinou takovým způsobem, že systém dostane výkres ve formátu AutoCad a převede ho do příkazů CNC stroje – existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery – tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, odposlechem lze zjistit výrobu, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musejí chránit také databázi zákazníků a subdodavatelů včetně cenových nastavení. Pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil nebo nedodal vůbec.

Široká zaměstnanecká základna pak pro společnost znamená rovněž obrovské množství dat. K tomu nesmíme zapomenout na možnost častějšího střídání zaměstnanců na pracovišti, a tím pádem větší počet osob s přístupem k osobním údajům. To znamená více požadavků na zajištění přehledu o tom, kdo k osobním údajům přistupoval a jak s nimi následně nakládal.

Část firem se pravděpodobně bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že jejich zákazníky tvoří pouze právnické osoby. Nicméně povinnosti vyplývající z nařízení GDPR se jim ani tak nevyhnou. Kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů mezi osobní údaje spadají také, neboť i za právnickou osobou stojí osoba fyzická, se kterou společnost jedná. Bezpečnostní opatření je tak nezbytné nasadit i zde. Navíc je třeba počítat s tím, že se v těchto případech objevují obzvlášť citlivé osobní údaje, a to konkrétně údaje biometrické, jako jsou například podpisy fyzických osob ve smlouvách.

Podobné to je s B2B systémy, které většinou fungují na principu elektronické výměny dat. Tyto systémy nejčastěji fungují v cloudovém prostředí a za jejich provoz odpovídá jiná společnost. I zde však najdeme osobní údaje. Na velkou většinu těchto systémů se uživatelé přihlašují svou e-mailovou adresou a k těmto údajům může mít kromě nás přístup také provozovatel B2B systémů. V takovém případě je podle nařízení GDPR nutné uzavřít tzv. zpracovatelskou smlouvu jak s provozovatelem cloudového prostředí, tak s provozovatelem B2B systému, v níž musí společnost jasně definovat, jak může zpracovatel přistupovat k osobním údajům dané společnosti, co s nimi může provádět a co už naopak nesmí. U společností postavených do role zpracovatele osobních údajů existuje také možnost provádět pravidelné bezpečnostní audity. V případě úniku osobních údajů a prokázání, že došlo k porušení zpracovatelské smlouvy, půjde pak případná sankce v plné míře za zpracovatelem těchto údajů.

DATA SEZÓNNÍCH PRACOVNÍKŮ JSOU TAKÉ DŮLEŽITÁ

Problém s ukládáním osobních dat sezónních zaměstnanců je podobný jako s uchováváním životopisů uchazečů o práci za účelem jejich dalšího možného oslovování. Pokud životopisy či kontaktní údaje sezónních zaměstnanců uchováváme za účelem jejich oslovení při novém náboru, jedná se pohledem GDPR o sběr osobních údajů, na který musí dát dotčená fyzická osoba souhlas s jejich zpracováním, a to na celou dobu, po kterou budeme tato data uchovávat a zpracovávat. V tomto souhlasu musí být uvedeno, za jakým konkrétním účelem je tento souhlas dáván a na jakou dobu. Pro případ, že fyzická osoba svůj souhlas odvolá, musí ve firmě existovat proces, který zabezpečí dokonalý výmaz těchto osobních údajů, nebo jejich naprostou anonymizaci. Současná úprava souhlasu se zpracováním osobních údajů tak z pohledu GDPR není dostačující.

JAK NA ODBORY?

Problém odborových organizací vidím v tom, že již současně platný zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 4 definuje citlivý osobní údaj jako „osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích…“.

Tyto citlivé a dle GDPR zvláštní osobní údaje mají vyšší nároky na bezpečnost a nakládání s nimi. Při jejich zpracování je nutný výslovný souhlas dotčené fyzické osoby a musí se provádět další specifická opatření k jejich ochraně, např. již zmíněné logování, které musí splnit následující požadavky:

1. musí být snadno zjistitelné, kdo konkrétně, kdy a jaké operace s těmito údaji prováděl,
2. dále je vhodné ukládat tyto informace na šifrované úložiště a přísně řídit přístupy k nim (některým oprávněným uživatelům může postačovat přístup jen pro čtení),
3. všichni uživatelé, kteří mají k těmto informacím přístup, musí být proškoleni a poučeni o tom, k jakým informacím mají přístup a jak se k nim chovat,
4. Samozřejmostí pak je, že informace o členství v odborových organizacích se nesmí vyskytovat v běžných informačních systémech.

POSTUP PŘI IMPLEMENTACI GDPR

Prvním a základním krokem při implementaci GDPR je provedení inventury zpracovávaných dat a určení, která z nich jsou osobní. Po této inventuře přichází na řadu mapování – tedy určení, proč dochází k jejich zpracování a na jakém základě (právní základ, souhlas fyzické osoby, oprávněný nárok správce). V neposlední řadě musíme definovat, jak dlouho budeme data zpracovávat, tedy kolik času zbývá do jejich vymazání, nebo úplné anonymizace. Doba jejich uchování přitom musí být jasně definována. Jak jsem již zmínil výše, současná podoba udělení souhlasu se zpracováním dat není pro naplnění podmínek GDPR dostačující. V případě, že společnost bude takto získané údaje chtít dále zpracovávat, musí od fyzických osob získat souhlas v souladu s GDPR (zde tedy platí plná retroaktivita). Bez tohoto souhlasu bude docházet k neoprávněnému zpracování osobních údajů a společnosti se vystaví hrozbám výše zmíněných sankcí.

Proti případné ztrátě osobních údajů je pak vhodná implementace systému DLP (Data LossPrevention). Ten by měl být nasazen na všechny úrovně práce s daty – od jejich přímého používání, pod kterým si můžeme představit práci s údaji na koncových stanicích, přes jejich přenos síťovými prostředky. Nesmíme zapomenout ani na obranu dat, která jsou v klidové podobě na úložišti.

Datovou ochranu realizujeme za pomoci hloubkové kontroly obsahu a analýzy transakcí v kontextu zahrnujícím atributy typu odesílatel, datový objekt, médium, čas, příjemce apod.

JAK POSTUPOVAT PŘI OCHRANĚ OSOBNÍCH ÚDAJŮ?

Jako příklad nám může posloužit dům, v němž skrýváme důležitý poklad (rozumějme firmu, ve které máme data, o něž nechceme přijít). Pro lepší ochranu našeho majetku kolem domu postavíme plot, v IT zastupovaný nasazením ochrany perimetru. Tento krok zajistíme například firewallem nebo antivirovou ochranou. Pokud nám to prostředky dovolí, základní plot co nejdříve vyměníme za dostatečně vysokou zeď, přes kterou nám nemůže na pozemek nikdo nahlížet. Pokud nám však ani ta nepostačí, podnikneme další nutná opatření a do stavení nainstalujeme například detektor pohybu, celý systém napojíme na pult centrální ochrany (PCO) a nastavíme poplach, při kterém PCO vyrozumí policii, se kterou se už domluvíme na tom, v jakém případě bude nutný výjezd a tak dále. Musíme zkrátka počítat s tím, že každou zeď jde relativně snadno překonat.

V rámci kybernetické ochrany však většina společností pomyslnou zeď pouze zvyšuje, přestože i v tomto světě existují nástroje na detekci pohybu v počítačové síti a „pulty centrální ochrany“, jen se jim říká jinak. Řeč je o tzv. SOC (Security Operation Center), které při dobře nastavených pravidlech a právech dokáže s požadavky GDPR spolupracovat a ví, že má v případě porušení ochrany osobních údajů společnosti hlásit tuto skutečnost příslušnému úřadu do 72 hodin. V případě zjištění kybernetického vetřelce pak také dokáže zabránit odeslání firemních informací ven z podniku. 

Bezpečnostní mechanismy nutné k nasazení potřebných opatření jsou u každé organizace jiné. Vždy se vychází z analýzy rizik, kde se identifikují konkrétní rizika působící nejen na osobní údaje a poté je potřeba najít taková opatření, která tato rizika maximálně sníží.

NEJVĚTŠÍM NEPŘÍTELEM JE BOJ S ČASEM

Implementace požadavků GDPR nebude jednoduchá, povinnostem přijmout nutná bezpečnostní opatření se však vyhnout rozhodně nezkoušejte. V současné době je největším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude 25. května příštího roku. Hlavním záměrem jeho zavedení je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. Společnosti by si tak měly uvědomit, že data, s nimiž pracují, nevlastní a jsou jim pouze zapůjčena na předem definovanou dobu a k předem definovanému účelu.

Personal and Other Data Protection Not Only in Industry and Engineering
The topic of the European regulation on the protection of individuals with regard to the processing of personal data and the free movement of such data, known as GDPR, has been widely discussed across media and disciplines in recent months. In the vast majority of texts, however, experts look at this issue using legal analysis. Among the key information and “bogeys”, which mainly caught the interest of media, are sanctions that can reach the liquidation amounts for companies.

Autor

• Malý Zbyněk