4.3.2016 0 Comments

IT Pro: Ochrana osobných údajov vo svetle novej legislatívy

Databáze so zákazníkmi, zamestnancami a obchodnými kontaktmi – to všetko sú najčastejšie formy osobných údajov, ktoré nájdeme vo väčšine firiem. Ako sú ale tieto zákonom chránené informácie v praxi reálne zabezpečené?

Osobné údaje verejnými

Ochrana osobných údajov je aj vo svetle novo plánovanej regulácie zo strany Európskej únie čím ďalej aktuálnejšou témou. Tieto údaje sú spracovávané v určitej miere v podstate každou organizáciou a platná legislatíva v súvislosti s nimi vyžaduje niekoľko dôležitých povinností. Jednou z najdôležitejších oblastí, ktoré zákon č. 122/2013 Z.z. o ochrane osobných údajov rieši, je zabezpečenie osobných informácií pri uložení a ich používaní. Napriek medializácii porušení zákona a tomu, že súvisiaca legislatíva je v platnosti už niekoľko rokov sa stále stretávame s nepochopením a v niektorých prípadoch aj s neznalosťou zákonných požiadaviek.

Široko medializovanú udalosťou bol napríklad únik dát o rómskych študentoch z Ministerstva školstva, mládeže a telovýchovy v susednej Českej republike pred niekoľkými rokmi. Incident nastal pochybením používateľa, ktorý nahral omylom databázu s 900 študentov do verejného umiestnenia, voľne prístupného z internetu. Citlivé informácie o kontaktoch na žiakov a výšku ich dotácie na štúdium tak boli prístupné prakticky komukoľvek. Okrem negatívnej  medializácie stál MŠMT tento únik takmer 17000 € na pokute od českého Úradu na ochranu osobných údajov.

Incidenty s osobnými údajmi v štátnej správe a veľkých firmách sú často predmetom veľkej medializácie. Čo však zatiaľ nie je tak široko známe, je nová zákonná povinnosť, ktorá vstúpi do platnosti s reguláciou osobných údajov EÚ. Vďaka nej bude povinnosťou úplne každej firmy hlásiť únik alebo zneužitia údajov a čeliť dôsledkom takéhoto incidentu. Okrem kompenzácie dotknutých osôb nový zákon prináša aj prípadné penalizácie v prípade, že firma nepodnikla dostatočné kroky na prevenciu úniku dát.

Nejde však len o to, čo vyžaduje zákon. Obchodné databáze a dáta zo CRM systémov sú jedny z najcennejších typov dát, ktoré firmy všeobecne zhromažďujú. V praxi sa stretávame s mnohými prípadmi, kedy sa pochybením alebo zlým úmyslom dostanú tieto informácie do nesprávnych rúk. Ako jeden príklad za všetky môžeme uviesť situáciu, kedy za majiteľom jednej firmy, ktorá pracuje v obore dílerstva automobilov, prišiel obchodník od konkurencie a ponúkal mu vyexportované všetky kontakty za niekoľko stoviek euro. V tomto konkrétnom prípade celá situácia viedla k projektu ochrany dát, pretože majiteľ si uvedomil dôležitosť informácií, ktoré sám vlastní. V celej rade prípadov si ale tieto informácie kupca nájdu. Pre firmy znamenajú incidenty podobného typu napríklad vznik novej firmy v odbore, alebo stratu zákazníkov, ktoré priamym zacielením s lepšou ponukou osloví konkurencia.

Ako sa pripraviť na novú legislatívu ...

Nariadenie o ochrane osobných údajov pripravuje Európska komisia prostredníctvom odbornej organizácie Article 29 Working Party už niekoľko rokov a koncom minulého roka došlo k dohode o jeho znení medzi Európskym parlamentom a Radou Európy. Táto nová legislatíva zjednotí existujúce zákony o ochrane osobných údajov v členských štátoch a prinesie niekoľko dôležitých zmien:

  • Zavedenie centrálnej autority pre ochranu dát na celoeurópskej úrovni.
  • Povinné nahlasovanie incidentov s osobnými údajmi dotknutým osobám i úradom.
  • Zrušenie povinnosti oznamovať úradom spracovanie osobných údajov.
  • Zníženie nutné operatívy pre menšie a stredné firmy.

Čo sa všeobecne meniť nebude, je informovanosť pre koncovú osobu a požiadavky na bezpečnosť osobných údajov. Už v súčasnosti zákon okrem iného vyžaduje, aby firma chránila dáta pred neautorizovaným prístupom a manipuláciou, a obstarávala auditné záznamy o prístupoch k nim. Tým sa dostávame k technológiám, ktoré vám môžu túto prácu rozhodne zjednodušiť. V praxi sú najčastejšie používané systémy pre podporu šifrovania pri prenose a uložení dát. Pre školenie zamestnancov na manipuláciu dát a ochranu pred ľudskou chybou napríklad zaslania dát na nesprávnu adresu pomôžu Data Loss Prevention (DLP) systémy, ktoré umožňujú tiež nepovolenú akciu priamo zakázať. Audit nad osobnými údajmi je možné získať nastavením logovania v systémoch. Tam, kde logovanie nie je možné, môže pomôcť auditný softvér, ktorý dokáže zaznamenať všeobecne akúkoľvek manipuláciu s dátami.

Je dobré pamätať aj na to, že v dnešnej dobe je stále častejšia práce zamestnancov prostredníctvom mobilných telefónov a tabletov, ktoré často neposkytujú adekvátnu úroveň ochrany v porovnaní s počítačmi. Relevantné riziká v tomto smere pomáhajú pokryť riešenia Mobile Device Management, resp. Enterprise Mobility Management.

... A ako reálne ochrániť dáta

Všeobecne teda môžeme odporučiť niekoľko dôležitých bodov, na ktoré by mala firma pamätať:

  • Zistite, aké typy osobných údajov spracovávate. Personálna a mzdová agenda, informácie o uchádzačoch a kontakty na zákazníkov sú najbežnejšie osobné údaje, ktoré firmy spracovávajú.
  • Preverte, či spĺňate všetky zákonné podmienky. Môže sa na vás vzťahovať oznamovacia povinnosť Úradu na ochranu osobných údajov a spracovanie nutnej dokumentácie k bezpečnostnému projektu.
  • Zabezpečenie osobných dát by malo byť na prvom mieste. K tomu vám môžu pomôcť softvérové nástroje na audit, šifrovanie a ochranu dát (DLP systémy).
  • Nezabudnite ani na mobilné zariadenia a taktiež na dáta, ktoré máte v cloude. Čím lepšia je dostupnosť informácií, tým väčšou výzvou je dáta ochrániť pred ich zneužitím.
  • Buďte pripravení na plánované legislatívne zmeny. Bezpečnosť osobných dát sa stane ešte viac diskutovanou a vynucovanou oblasťou. Vyhnite sa únikom dát a opomenutiam, ktoré môžu stáť vašu firmu nemalé peniaze.

Matej Zachar, Project & Security Manager v Safetica Technologies


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá