Jaké technologie vlastně mohou pomoci s GDPR?
V úvodu zmiňme jeden ze základních pilířů GDPR, který je nazýván jako tzv. přístup založený na riziku, v angličtině též označovaný jako Risk-Based Approach (neboli „RBA“). Ten je v dnešních dnech (dle aktuální legislativy, resp. dle § 16 zákona č. 101/2000 Sb.) řešen tím, že je správce povinen oznámit písemně svůj záměr (včetně taxativně uvedených parametrů), ještě před vlastním započetím samotného zpracovávání, a to dozorovému úřadu. Ten aktuálně provedl, na základě sdělených skutečností, vlastní posouzení, a to právě za použití přístupu založeném na riziku. Tato povinnost správcům s účinností GDPR (od 25. 5. 2018) odpadne, a posouzení veškerých rizik, dopadající na práva a svobody zpracovávaných fyzických osob, již bude posuzovat přímo sám správce. Posouzení bude založeno samozřejmě na veškerých okolnostech, jako například i na implementovaných technicko-organizačních opatřeních bezpečnostního charakteru, které se přímo dotýkají zpracování, tedy celého životního cyklu osobních údajů. Je nutno podotknout, že správce sám odpovídá za dodržení veškerých zásad zpracování osobních údajů dle GDPR a musí být schopen dodržení souladu doložit (zásada odpovědnosti).
GDPR tedy v konečném důsledku může vést na velké množství technologií, které by klienti měli nasadit. Které technologie ale opravdu usnadní uvedení té, které společnosti, do souladu s Obecným nařízením? Odpověď nikdy nebude vyčerpávající, protože vždy záleží na konkrétní situaci, kontextu, a právě výše uvedeným rizikem zpracování, jenž se může časem neustále měnit. GDPR tedy ponechává vhodnou volbu technologických opatření na správci osobních dat.
Pokud hledáme vhodné technologie, o kterých se dá s klidným svědomím tvrdit, že k následnému udržení souladu s GDPR opravdu pomůže, je nutné se dívat dvěma pohledy. Prvním, jaké technologie pomohou s vlastním projektem k dosažení souladu s požadavky GDPR a druhým, které pomohou s následným provozem a plněním povinností během platnosti.
Nástrojů, které opravdu pomohou během projektu dosažení souladu, není mnoho. Praxe ukazuje, že jde jen o jednu skupinu nástrojů, označovaných jako data discovery. Jde o technologie, které umožní instituci získat reálnou představu o osobních údajích (obecně datech), které se uvnitř zpracovávají. Nástroje se nasazují na vybranou aplikaci/databázi/úložiště a prochází obsah. Pomocí mnoha parserů, a v závislosti na nastavení pravidel/patternů, se snaží identifikovat, o jaká data jde. Například tedy umožní detekovat, že se v databázích nebo v souborech na sdíleném disku ukládají rodná čísla, adresy, jména či jiné osobní údaje. Nesporná výhoda použití je, že tam, kde neexistuje dostatečná dokumentace nebo není lidsky možné rozklíčovat povahu zpracovávaných dat, nástroje dají (po následném extenzivním ručním zpracování) poměrně přesný obrázek.
V případě nástrojů pro následné udržení instituce v souladu s požadavky v době rutinního provozu je výběr již širší. Především pomohou následující typy technologií:
Bezpečnostní monitoring (SIEM, log management). Pro plnění povinnosti detekování, vyhodnocování a nahlašování bezpečnostních incidentů je potřeba je především umět vůbec detekovat. Nástroje typu Security Incident and Event Management jsou na trhu již mnoho let, a toto je přesně jejich účel. V případě, že již instituce SIEM nástrojem disponuje, jde o patřičnou úpravu v pravidlech a korelacích.
Identity and access management. Nástroje sjednocující elektronické identity uživatelů a zaměstnanců a jednotné místo nastavení přístupových práv a rolí. Zvláště pro plnění povinností vyplývajících z práv subjektů údajů (kde je stěžejní identifikace a unifikace datových množin k jednoznačné identitě) a jako prostředek pro omezení přístupu k osobním údajům těm, kteří nemají povolení pro jejich zpracování, jsou tyto nástroje velmi vhodným pomocníkem.
Data governance. Nástroje pro evidenci datových transformací v celé infrastruktuře v případě kvalitního zavedení a naplnění aktuálními daty velmi výrazně pomohou roli DPO při posuzování zákonnosti zpracování a zároveň usnadní nepříjemné dotazy jednak od vlastních subjektů údajů, co a kde se s jejich osobními daty děje, ale i od samotného dozorového orgánu v případě kontroly.
Data leak prevention. Tento typ bezpečnostních technologií není ve světě ničím novým. Vhodným zavedením dojde k výraznému snížení rizika zneužití nebo odcizení osobních údajů. Možnosti granulárního nastavení povoleného zacházení s daty a logování manipulace s nimi je vhodným podkladem jak pro odhalení případného nekalého chování, tak jako podklad pro kontrolu.
Business proces management. Platformy pro podporu obchodních procesů se v případě GDPR opatření uplatní jako místo pro evidenci výkonu práv subjektů údajů. Tedy v případě uplatnění práva (například práva na výmaz) je vlastní výkon procesem o řadě kroků, který musí končit potvrzením pro žadatele. Povinnosti v Nařízení vedou na schopnost být schopen vždy přesně vědět, kolik takových žádostí je proti instituci vzneseno, v jakém stavu řešení jsou, kolik jich bylo odbaveno a s jakým výsledkem. Toto vše je nutné dokumentovat a archivovat, což tyto nástroje s elegancí zastanou.
Na závěr je potřeba důrazně připomenout, že neexistuje žádný specializovaný software, o kterém lze prohlásit, že jeho nasazením se společnost dostává do suladu s Obecným nařízením GDPR. Každého správce i zpracovatele čeká velká práce, která zahrnuje revizi veškerých procesů, dokumentů, fyzických umístění, technologií a dalších míst, kde se ve společnostech nakládá s osobními údaji. Dále je nutné identifikovat nedostatky a napravit je. Doporučit lze tedy provedení pre-auditu, jehož cílem je zodpovědět základní otázky, které pomohou nejen technikům, ale i vedení společnosti se s požadavky GDPR vypořádat.
Autoři:
Jiří Slabý, head of consulting ve společnosti ISECO
Radek Beneš, senior security consultant ve společnosti ISECO