Nariadenie GDPR o ochrane osobných údajov vstúpi do platnosti v máji. Náš špecialista na bezpečnosť Matúš nám povedal niečo aj o tom, čo to môže znamenať pre vývojársku firmu.

Aký je prístup Slovenska k ochrane osobných údajov?

Slovenská republika má zákon o ochrane osobných údajov, ktorý bol viackrát novelizovaný. Stanovuje, akým spôsobom sa majú ukladať osobné údaje, ako sa majú prenášať v rámci firmy a prípadne posielať von, ak je to potrebné.

GDPR (General Data Protection Regulation) je legislatíva Európskej únie, ktorú pre členské štáty navrhla a vypracovala Európska komisia. Slovensko a Nemecko mali svoj zákon dobre zvládnutý a dá sa povedať, že sme na to dosť dobre pripravení.

Ako sa pozerá na bezpečnosť GDPR?

Chrániť majetok je bežné, v našom prípade sú to zdrojové kódy. Takisto je potrebné chrániť osobné údaje a GDPR je vlastne o bezpečnosti, o tom, akým spôsobom sa majú tieto údaje uchovať, kde sa majú uchovať a mala by byť klasifikácia o tom, aké údaje sa uchovávajú.

Na to, aby sme boli v súlade s GDPR, je potrebné sa zaoberať, akým spôsobom je zabezpečený prenos a uloženie údajov, ak sa posielajú mimo našich priestorov a infraštruktúry. V našom prípade je to cloud. Môžu to byť zamestnanecké údaje, ak ich spracovávame, tak aj klientské.

Čo môže byť osobným údajom a čo nové prináša GDPR?

Je to niečo, čo človeka dokáže jednoznačne identifikovať. Napríklad meno a priezvisko samé o sebe nie je osobný údaj. Môže to byť rodné číslo, číslo občianskeho preukazu. Už keď vyšiel zákon o ochrane osobných údajov, viedli sa debaty o tom, čo môžeme za osobný údaj považovať a čo nie. GDPR to celé rozširuje a vnáša nové pravidlá.

GDPR hovorí napríklad o práve na zabudnutie. Na príklade by sme mohli povedať, že fyzická osoba má telefónne číslo u operátora a odstúpi od zmluvy. Podľa tejto európskej legislatívy má právo požiadať, aby ju vymazali zo všetkých systémov. Nie je to možno úplne realizovateľné a takisto v banke, pretože niekedy sa musia podľa iných zákonov údaje archivovať.

Ďalší pojem, ktorý GDPR zaviedol je profilácia. Za osobný údaj sa môže považovať profil, ktorý sa vytvorí návykmi používania. Napríklad, poskytovateľ energie si môže o užívateľovi zhromažďovať údaje o tom, kedy, koľko energie spotrebuje a viesť si štatistiku o vekovej skupine, na základe čoho môžu robiť cielený marketing. S týmto treba podľa GDPR nakladať opatrne a chrániť ako osobný údaj so všetkými bezpečnostnými požiadavkami. Zákon aj GDPR vyžaduje zmapovať, kde všade sa osobné údaje vyskytujú a ukladajú.

Aké opatrenia sme zaviedli v Creatixe?

V systéme na zadávanie úloh sme odstránili osobné údaje. Klienti, ktorí potrebujú prístup k supportu, pri zadávaní úloh uvidia len meno. Ideálne by bolo uviesť len rolu, alebo riešiteľskú skupinu. Klient by mohol taktiež úlohu zadať všeobecnému helpdesku, ktorý by ju distribuoval a klient by neprichádzal do styku s konkrétnym človekom.

Zameriavame sa na to, aby sme identifikovali, kde všade osobné údaje uchovávame a ďalej spracuvávame. Začali sme zo širšia, keďže neriešime len GDPR ale aj súlad s ISO 27001. Určíme metódy zabezpečenia celej infraštruktúry a teda aj osobných údajov.

My sa primárne nezaoberáme spravovaním osobných údajov, ak by sme boli autorizačným centrom pre kartové operácie, alebo poisťovňa, operátor, poskytovateľ energií, museli by sme sa intenzívnejšie zaoberať tým, kde všade tie údaje sú a ako sa pohybujú.

Ako IT firma môžeme pristupovať k dátam našich klientov. To by malo byť zmluvne ošetrené. Ak s tým nesúhlasia, môžu nám dať prístup do vývojového prostredia. Problematické dáta môžu byť anonymizované alebo vymazané.

Máme sa obávať sankcií?

Keď prišiel do platnosti zákon o ochrane osobných údajov, nejaké pokuty boli, no určite nie likvidačné. Ako bude Úrad na ochranu osobných údajov sankcionovať nedodržanie práv podľa nových pravidiel, to zatiaľ nie je jasné.

Môže si firma určiť spôsob, ako zabezpečí svoje údaje?

GDPR je všeobecný normatívny predpis, pri konkrétnych technikách na zabezpečenie sa postupuje podľa best practises - dobrej praxe, alebo iných noriem, napríklad ISO, ktorá má popísané kontrolné mechanizmy, avšak nie do detailov. Organizácia si teda musí sama určiť, do akej úrovne nasadí ochranné prvky a metódy na zabezpečenie, aby bolo IT prostredie v súlade s danou legislatívou.