Ochrana osobních údajů v kontextu nařízení GDPR

Evropské nařízení GDPR přináší od května 2018 zásadní změny v ochraně a přístupu k osobním údajům. Za porušení pravidel vedoucí k úniku dat zavádí velmi vysoké finanční sankce a ukládá organizacím povinnost všechny takové incidenty oznamovat.

Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna.

V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51%) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

"Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody. Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické. Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie," říká Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas.

Tři hlavní cesty možného úniku dat:

• Inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy. Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá. Marketingová tvrzení firem vyrábějících tzv. DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům.

• Špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu. Zde je možné se chránit technickými prostředky - používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit.

• Opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy.

Článek GOPAS, a.s. ze dne úterý 14. března 2017

Další články od GOPAS, a.s.