GDPR – průlom v ochraně osobních údajů

GDPR, neboli General Data Protection Regulation, je nařízení EU, které platí v celé Evropské unii včetně ČR od 25. května 2018.  

Stručně řečeno jde o revoluční změnu v oblasti ochrany osobních údajů každého člověka, kdy bude povinné zabezpečit proti úniku osobní údaje zákazníků, zaměstnanců apod. pro jakýkoliv subjekt shromažďující takového údaje. To vše pod extrémními pokutami, které mohou být pro danou společnost až likvidační. Zároveň došlo k rozšíření specifikace, co vlastně „osobní údaj“ přesně znamená, jde o údaje počínaje jménem, fotografií, e-mailovou adresou, ale patří sem i údaje týkající se bankovního spojení, lékařské informace, emailovou adresu nebo IP adresu počítače aj.

GDPR má tak výrazný dopad na správu identit. Primárním způsobem ochrany je jednak bezpečné uložení dat a zároveň zabezpečení přístupů k těmto datům. Nutné je tedy evidovat, kdo má přístup k osobním údajům, jakým způsobem a na základě jakého pravidla je mu tento přístup umožněn. 

Organizace by proto měly realizovat kroky, které tato pravidla naplní a zabezpečí tak ochranu citlivých osobních údajů, které jsou zpracovávány v rámci činnosti společnosti.

Prvním z těchto kroků je vytvoření uceleného obrazu o tom, kde jsou citlivé údaje uloženy, tedy v jakých systémech a jakým způsobem mají být data chráněna. Ještě před několika lety to bylo poměrně jednoduché, většina informací byla uložena ve strukturovaných databázích nebo aplikacích, které mohly být uzamčeny. Dnes jsou tato data rozmístěna v aplikacích jako jsou crm, dokumenty na sharepointu, v ekonomických systémech a mnoha dalších. Informatici dnes mají těžkou situaci v tom smyslu, že musí správně kombinovat bezpečnost a uživatelskou přívětivost. Firemní uživatelé chtějí pohodlí, ale zároveň je nutné, aby data byla zabezpečená. Nutností se tedy stává zajištění bezpečnosti přístupů v rámci celého životního cyklu zaměstnance, tedy od jeho nástupu, přes změnu pracovního zařazení až po jeho odchod ze společnosti, což je klíčový okamžik pro zamezení ztráty osobních dat.

GDPR má významný dopad na ty společnosti, které doposud nezavedly řízení přístupů na základě business rolí, tedy podle pracovní činnosti uživatele. Naši specialisté se dlouhodobě věnují poradenství v oblasti definice business rolí, definice správy uživatelských účtů a přístupů k informacím na základě pracovní náplně uživatelů. Poradenství v této oblasti můžeme nabídnout i organizacím, které již Identity Management zavedený mají, ale zatím bez definovaných procesů správy business rolí.

Organizace, které nebudou schopné zabezpečit ochranu osobních údajů, budou čelit vysokým pokutám ve výši až 550 miliónů korun. Společnosti se tak musí zaměřit na zajištění přístupů k citlivým datům pouze na základě nutných oprávnění a řídit přístup k informacím uloženým jednak v aplikacích, v datových souborech např. na sdílených úložištích, a to bez ohledu na to, zda jsou data umístěná v cloudu nebo na serverech přímo u zákazníka.

Tato úroveň správy zamezuje možnosti úniku informací a naprosto minimalizuje riziko vystavení extrémní pokuty za nedodržování pravidel ochrany zákaznických osobních údajů.

Úzce spolupracujeme s Komorou pověřenců a můžeme poskytnout konzultace ohledně GDPR, ať už ve formě jednorázové konzultace konkrétního problému nebo podpory implementace konkrétních GDPR opatření.