Jaké technologie vlastně mohou pomoci s GDPR?

16. 1. 2018. (redaktor: František Doupal, zdroj: DCD Publishing a ISECO)
Vzhledem k aktuálnímu datu je již snad zcela nadbytečné, se zde věnovat otázce, co je Obecné nařízení o ochraně osobních údajů (dále též jen jako „GDPR“) a upozorňovat, že se prakticky dotkne většiny společností, a to nejen v Evropské unii. Pojďme si ale blíže osvětlit otázku, zda a případně jaké technologie mohou pomoci s řešením GDPR, resp. jakým způsobem.

V úvodu zmiňme jeden ze základních pilířů GDPR, který je nazýván jako tzv. přístup založený na riziku, v angličtině též označovaný jako Risk-Based Approach (neboli „RBA“). Ten je v dnešních dnech (dle aktuální legislativy, resp. dle § 16 zákona č. 101/2000 Sb.) řešen tím, že je správce povinen oznámit písemně svůj záměr (včetně taxativně uvedených parametrů), ještě před vlastním započetím samotného zpracovávání, a to dozorovému úřadu. Ten aktuálně provedl, na základě sdělených skutečností, vlastní posouzení, a to právě za použití přístupu založeném na riziku. Tato povinnost správcům s účinností GDPR (od 25. 5. 2018) odpadne, a posouzení veškerých rizik, dopadající na práva a svobody zpracovávaných fyzických osob, již bude posuzovat přímo sám správce. Posouzení bude založeno samozřejmě na veškerých okolnostech, jako například i na implementovaných technicko-organizačních opatřeních bezpečnostního charakteru, které se přímo dotýkají zpracování, tedy celého životního cyklu osobních údajů. Je nutno podotknout, že správce sám odpovídá za dodržení veškerých zásad zpracování osobních údajů dle GDPR a musí být schopen dodržení souladu doložit (zásada odpovědnosti).   

GDPR tedy v konečném důsledku může vést na velké množství technologií, které by klienti měli nasadit. Které technologie ale opravdu usnadní uvedení té, které společnosti, do souladu s Obecným nařízením? Odpověď nikdy nebude vyčerpávající, protože vždy záleží na konkrétní situaci, kontextu, a právě výše uvedeným rizikem zpracování, jenž se může časem neustále měnit. GDPR tedy ponechává vhodnou volbu technologických opatření na správci osobních dat.

Pokud hledáme vhodné technologie, o kterých se dá s klidným svědomím tvrdit, že k následnému udržení souladu s GDPR opravdu pomůže, je nutné se dívat dvěma pohledy. Prvním, jaké technologie pomohou s vlastním projektem k dosažení souladu s požadavky GDPR a druhým, které pomohou s následným provozem a plněním povinností během platnosti.

Nástrojů, které opravdu pomohou během projektu dosažení souladu, není mnoho. Praxe ukazuje, že jde jen o jednu skupinu nástrojů, označovaných jako data discovery. Jde o technologie, které umožní instituci získat reálnou představu o osobních údajích (obecně datech), které se uvnitř zpracovávají. Nástroje se nasazují na vybranou aplikaci/databázi/úložiště a prochází obsah. Pomocí mnoha parserů, a v závislosti na nastavení pravidel/patternů, se snaží identifikovat, o jaká data jde. Například tedy umožní detekovat, že se v databázích nebo v souborech na sdíleném disku ukládají rodná čísla, adresy, jména či jiné osobní údaje. Nesporná výhoda použití je, že tam, kde neexistuje dostatečná dokumentace nebo není lidsky možné rozklíčovat povahu zpracovávaných dat, nástroje dají (po následném extenzivním ručním zpracování) poměrně přesný obrázek.

V případě nástrojů pro následné udržení instituce v souladu s požadavky v době rutinního provozu je výběr již širší. Především pomohou následující typy technologií:

Bezpečnostní monitoring (SIEM, log management). Pro plnění povinnosti detekování, vyhodnocování a nahlašování bezpečnostních incidentů je potřeba je především umět vůbec detekovat. Nástroje typu Security Incident and Event Management jsou na trhu již mnoho let, a toto je přesně jejich účel. V případě, že již instituce SIEM nástrojem disponuje, jde o patřičnou úpravu v pravidlech a korelacích.

Identity and access management. Nástroje sjednocující elektronické identity uživatelů a zaměstnanců a jednotné místo nastavení přístupových práv a rolí. Zvláště pro plnění povinností vyplývajících z práv subjektů údajů (kde je stěžejní identifikace a unifikace datových množin k jednoznačné identitě) a jako prostředek pro omezení přístupu k osobním údajům těm, kteří nemají povolení pro jejich zpracování, jsou tyto nástroje velmi vhodným pomocníkem.

Data governance. Nástroje pro evidenci datových transformací v celé infrastruktuře v případě kvalitního zavedení a naplnění aktuálními daty velmi výrazně pomohou roli DPO při posuzování zákonnosti zpracování a zároveň usnadní nepříjemné dotazy jednak od vlastních subjektů údajů, co a kde se s jejich osobními daty děje, ale i od samotného dozorového orgánu v případě kontroly.

Data leak prevention. Tento typ bezpečnostních technologií není ve světě ničím novým. Vhodným zavedením dojde k výraznému snížení rizika zneužití nebo odcizení osobních údajů. Možnosti granulárního nastavení povoleného zacházení s daty a logování manipulace s nimi je vhodným podkladem jak pro odhalení případného nekalého chování, tak jako podklad pro kontrolu.

Business proces management. Platformy pro podporu obchodních procesů se v případě GDPR opatření uplatní jako místo pro evidenci výkonu práv subjektů údajů. Tedy v případě uplatnění práva (například práva na výmaz) je vlastní výkon procesem o řadě kroků, který musí končit potvrzením pro žadatele. Povinnosti v Nařízení vedou na schopnost být schopen vždy přesně vědět, kolik takových žádostí je proti instituci vzneseno, v jakém stavu řešení jsou, kolik jich bylo odbaveno a s jakým výsledkem. Toto vše je nutné dokumentovat a archivovat, což tyto nástroje s elegancí zastanou.

Na závěr je potřeba důrazně připomenout, že neexistuje žádný specializovaný software, o kterém lze prohlásit, že jeho nasazením se společnost dostává do suladu s Obecným nařízením GDPR. Každého správce i zpracovatele čeká velká práce, která zahrnuje revizi veškerých procesů, dokumentů, fyzických umístění, technologií a dalších míst, kde se ve společnostech nakládá s osobními údaji. Dále je nutné identifikovat nedostatky a napravit je. Doporučit lze tedy provedení pre-auditu, jehož cílem je zodpovědět základní otázky, které pomohou nejen technikům, ale i vedení společnosti se s požadavky GDPR vypořádat.

Autoři:
Jiří Slabý, head of consulting ve společnosti ISECO
Radek Beneš, senior security consultant ve společnosti ISECO

Štítky: 

Podobné články

Jak COVID-19 (podle výrobců) ovlivnil ukládání a zálohování dat

7. 5. 2021. (redaktor: František Doupal, zdroj: DCD Publishing)
Jak se události z posledních měsíců promítly do přístupu k ukládání a zálohování dat jsme zjišťovali přímo u poskytovatelů souvisejícího hardwaru, softwaru a služeb. Některé z nastíněných trendů pravděpodobně vytuší každý, řada z nich vás však možná překvapí. Čtěte více

Trendy v tiskárnách a multifunkcích v polovině roku 2020

29. 9. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
Tiskárny a multifunkce jsou nedílnou součástí drtivé většiny firem, úřadů i domácností. Spolu se spotřebním materiálem jsou navíc také velmi důležitým prodejním artiklem. Jak se trh vyvíjí a jaké trendy můžeme v době, kterou stále výrazně ovlivňuje současná koronavirová situace, sledovat nebo již brzy očekávat? Čtěte více

Trendy v segmentu ukládání a zálohování dat – co nás čeká a nemine?

1. 7. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
Práce s daty je široká oblast rozprostírající se napříč různými segmenty produktů a služeb. V případě hardwaru se kromě NAS serverů a specializovaných úložišť stále setkáváme také s páskovými řešeními, ale jednoznačným trendem je růst důležitosti cloudu, softwaru a služeb… Čtěte více

Internet věcí v roce 2020: Jaký je a kam se bude ubírat

12. 5. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
IoT lze bez nadsázky označit za jednu z nejrychleji se rozšiřujících a rozvíjejících ICT technologií dneška. Celá oblast internetu věcí v sobě skrývá obrovský potenciál pro všechny zúčastněné, ať již hovoříme o výrobcích a dodavatelích, poskytovatelích služeb, partnerech či implementátorech nebo koncových zákaznících. Na současnost a budoucnost IoT jsme se ptali odborníků z různých oborů české IT scény. Čtěte více