GDPR pro průmyslové podniky
Když se objeví zkratka GDPR, firmám se vybaví, díky velké medializaci, především strašák vysokých pokut. Současně může některý management tvrdit, že jde o další zbytečný „výmysl“ EU. Nejde však o zbytečnost, ale o ochranu fyzických osob, které dané společnosti zapůjčily svoje osobní údaje, a to za nějakým účelem a na předem definovanou dobu.
Hlavním záměrem zavedení nových pravidel zacházení s osobními údaji je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. A netýká se to zdaleka jen marketingových aktivit a dalších operací charakteristických shromažďováním různých informací.
Specifika průmyslu z pohledu GDPR
Většina obráběcích strojů je číslicově řízená - zpravidla takovým způsobem, že systém dostane výkres ve formátu AutoCADu a převede ho do příkazů CNC stroje - existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery - tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, jejich monitorováním lze zjistit parametry výroby, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musí chránit i databázi zákazníků a subdodavatelů včetně cenových nastavení - pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí stavu přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil či nedodal vůbec.
Část firem se možná bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že mezi jejich zákazníky patří pouze právnické osoby. Nicméně i výrobní a průmyslové společnosti budou muset povinnosti vyplývající z nařízení GDPR splnit. Osobní údaje jsou mj. i kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů, neboť i za právnickou osobou stojí osoba fyzická, s níž bude společnost jednat. Musíme si však uvědomit, že osobní údaje o konkrétních fyzických osobách tyto podniky zpracovávají také - jde o osobní údaje vlastních zaměstnanců. Podobné to je s B2B systémy. Tyto většinou fungují na principu elektronické výměny dat. Těmi mohou být základní informace, např. objednávky, faktury. Mnohdy tyto systémy fungují v cloudovém prostředí, kdy za provoz takového systému odpovídá jiná společnost. I zde najdeme osobní údaje (přihlašovací údaje, informace o účtu), ve velké většině těchto systémů je přihlašovacím údajem e-mailová adresa.
Ochrana dat uchazečů o zaměstnání a sezónních pracovníků
Problém s ukládáním osobních dat sezónních zaměstnanců je podobný jako s uchováváním životopisů uchazečů o práci za účelem dalšího možného oslovování. Pokud si budeme životopisy či kontaktní údaje sezónních zaměstnanců a potenciálních uchazečů o zaměstnání uchovávat za účelem jejich oslovení při novém náboru, jde z pohledu GDPR o sběr osobních údajů, kdy příslušná fyzická osoba musí dát souhlas se zpracováním poskytnutých dat, a to na celou dobu, po kterou budeme tato data uchovávat a zpracovávat. V souhlasu musí být uvedeno, za jakým konkrétním účelem je poskytován a na jakou dobu. Pokud daná fyzická osoba souhlas odvolá, musí existovat proces, který zabezpečí dokonalý výmaz těchto osobních údajů, nebo jejich naprostou anonymizaci. Současná úprava souhlasu se zpracováním osobních údajů tak z pohledu GDPR není dostačující.
Jak naložit s odbory?
V mnoha průmyslových podnicích působí i odborové organizace. Problém odborových organizací vidím v tom, že současně platný zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 4 definuje citlivý osobní údaj jako „osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích,...“ Tyto citlivé (dle GDPR zvláštní) osobní údaje mají vyšší nároky na bezpečnost a nakládání s těmito údaji. Při zpracování těchto údajů je nutný výslovný souhlas dotčené fyzické osoby a musí se provádět další specifická opatření k jejich ochraně.
Jakým způsobem postupovat při implementaci GDPR?
V rámci implementace požadavků GDPR se osvědčily především následující kroky:
1. Inventura dat
Jde o řízené rozhovory (workshopy) s jednotlivými odděleními, kdy se snažíme (převážně metodou brainstormingu) odpovědět na následující otázky:
- Jaká data zpracováváte?
- Kde jsou uložena?
- K čemu jsou využívána?
- Na jakém základě tyto informace sbíráte (zákonné důvody, souhlas fyzické osoby, …)?
2. Procesní inventura
- Jaká existují pravidla pro jejich zpracovávání?
- Kdo k těmto informacím má přístup a v jakém rozsahu?
3. Businessová analýza
Jaké jsou důvody sběru a zpracování těchto údajů:
- Definování vlastníka procesu (účelu sběru zpracování).
- Jaké má toto zpracování přínosy pro společnost?
- Jaká existují rizika při zpracování těchto údajů (ztráta dostupnosti, integrity, důvěrnosti)?
4. Nové procesy a postupy vyžadované GDPR
- Posouzení souhlasů se zpracováním osobních údajů.
- Posouzení smluvní dokumentace (zpracovatelské smlouvy, …).
- Posouzení účelnosti a přiměřenosti zpracování (nastavení doby zpracování a ukládání osobních údajů, nutnost zpracovávání, …).
- Kontrola uživatelských přístupů.
- Kontrola dokumentační základny.
- Definice hrozeb působících na zpracování.
- Analýzy rizik.
5. Návrh bezpečnostních opatření
- Provedení analýzy rizik, určení akceptovatelné míry rizika.
- Seznam bezpečnostních opatření.
- Vytvoření roadmapy a prioritizace implementace bezpečnostních opatření (procesní i technologická rovina).
Těchto 5 základních kroků položí základy pro dosažení souladu s požadavky GDPR, nicméně jde jen o první část celého procesu. Po ní následuje nezbytná část implementační, v níž se musí definovaná bezpečnostní opatření nejen implementovat, ale i popsat (minimálně v rozsahu pracovních postupů) a provozovat.
Implementace požadavků GDPR nebude jednoduchá, povinnost přijmout nutná bezpečnostní opatření však platí pro všechny. V současnosti je přitom nevětším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude (tzn. jinými slovy - stane se neoddiskutovatelnou povinností) od 25. května tohoto roku.
Zbyněk Malý, ANECT
375
