Popisek: Dalibor Lukaštík
Mají se firmy obávat implementace Obecného nařízení na ochranu osobních údajů neboli GDPR? A jaké důsledky bude mít jeho zavedení v ČR pro běžného občana? Security magazín se zeptal odborníka na kybernetickou bezpečnost Dalibora Lukaštíka, jednatele společnosti 4Stars.
Pane Lukaštíku, co soudíte o skandálu britské konzultační společnosti Cambridge Analytica, která se nepovoleně dostala k osobním datům 87 milionů uživatelů Facebooku? Existují nějaké účinné mechanismy, jak zabránit tak rozsáhlému úniku osobních dat?
V zásadě je to velký průšvih. Ono se totiž šeptá o tom, že podobné firmy tato data využívají k něčemu podobnému, že si data předávají navzájem. Já na to upozorňuji dlouhodobě. V podstatě jediná obrana z mého pohledu je ta, že lidé budou více odpovědní a nebudou o sobě poskytovat veškeré své osobní údaje a názory. Tyto informace, které o sobě dáváme, jsou to nejcennější, co máme, protože na jejich základě můžeme vyhodnocovat, jak se člověk chová, jaké má například nákupní návyky a podobně. Takže zodpovědnost lidí je v tomto ohledu velmi důležitá.
Mohu si jako uživatel Facebooku sám ochránit svá osobní data před zneužitím, nebo mám v tomto směru omezené možnosti?
V zásadě ta data nemáte pod kontrolou. Vy jste v podstatě uživatelem a nevíte, jak s nimi nakládají. Kdokoliv sice může prohlásit, že Vaše data chrání, nicméně na druhé straně, co se s nimi děje „v pozadí", už nikdo neví.
Pojďme nyní k Obecnému nařízení o ochraně osobních údajů, známém jako GDPR. Je podle Vás ČR dostatečně připravená na přijetí GDPR z hlediska vlastních zákonných předpisů a dalších nezbytných procedur?
Samozřejmě ještě nemáme přijatý adaptační zákon, takže platí stále zákon č. 101/2000 Sb. o ochraně osobních údajů. Ten je v zásadě takovým „malým GDPR", akorát GDPR z dílny EU rozšiřuje a sjednocuje evropskou legislativu, aby všechny členské státy pokud možno chránily osobní data a informace stejným způsobem. Otázkou je, jestli je na přijetí GDPR také připravena Česká republika. V podstatě je i není. Je to spíše záležitost jednotlivých firem a jejich odpovědnosti. Některé z nich byly a stále jsou z hlediska ochrany osobních údajů neodpovědné, měly chaos v datech a osobních údajích a účinně je nechránily. Zejména pak shromažďovaly nadbytečné osobní údaje. Pozitivní je rovněž fakt, že GDPR přinesl s sebou velký zájem jak mediální, tak právě ze strany podnikatelů. Ti mají konečně možnost si v datech udělat pořádek.
Jaký je hlavní účel či smysl GDPR, který k nám byl „importován" z EU?
Je to již zmíněný pořádek v datech. Firmy si kromě toho budou muset říci, jaké osobní údaje chtějí o lidech uchovávat, proč chtějí zrovna tyto konkrétní údaje a po jakou dobu. Samozřejmě je nutné si uvědomit velikost firmy či organizace. Domnívám se, že GDPR jde proti společnostem, jako je například Facebook a další velké nadnárodní společnosti. Ty totiž systematicky shromažďují obrovské množství citlivých dat, a proto je nutné se zaměřit právě na podobné společnosti, aby v tomto směru byly pod drobnohledem. EU se tímto postavila za jednotlivé národní státy, které samy o sobě neměly sílu se nadnárodním společnostem postavit a vyžadovat dodržování ochrany osobních údajů, ať již v jejich vyjednávací pozici, či ve velikosti pokut za porušení ochrany osobních údajů.
V médiích je nyní rozvířena debata o tom, že GDPR může představovat bezpečnostní riziko a je drahé. Vy říkáte opak a tvrdíte, že lze jej zavést s nízkými náklady do většiny firem. Nemají ale velké korporace oprávněný strach z fungování GDPR, které je podle nich nepřehledné a za jeho nedodržování v praxi hrozí vysoké pokuty?
Musíme si uvědomit, že Českou republiku tvoří zejména malé a střední firmy. Ty podle mého názoru strach mít nemusejí, pokud zavedou GDPR přiměřeně s ohledem na svou činnost, protože vesměs z našich zkušeností mají data v pořádku, co se rozsahu zpracování týče – chtějí pouze takové informace, které vyžadují pro svou činnost. Většinou zpracovávají informace o zaměstnancích, zákaznících a dodavatelích, mají přiměřeně zabezpečenou IT infrastrukturu a vědí, jak s těmito daty pracovat či nakládat a většinou neevidují zbytečnosti. Na druhé straně máme velké korporace, které zpracovávají velké množství dat hromadně a systematicky v celé řadě informačních systémů a podsystémů. Dokonce zpracovávají celou řadu osobních údajů, které nyní budou muset legalizovat nově souhlasem a musí se připravit na odvolatelnost takto evidovaných údajů. Tedy rozdíl v zavádění GDPR a jeho složitosti vysloveně souvisí s rozsahem zpracovávaných dat, kdy některé korporace požadují až nesmyslné osobní údaje, které nijak nesouvisí s jejich činností, a to je ten problém.
Na koho se bude vztahovat povinnost GDPR? Budou nějaké povolené výjimky?
Bude důležité počkat na adaptační zákon, o němž jsme se už bavili. Bylo by nešťastné povolovat výjimky, které by mohly do systému přinést chaos. Lepší by bylo zpřesnit výklad, například, definovat jednoznačně kdo má mít pověřence, co znamená hromadné a systematické zpracovávání atd. Takže stát či příslušný úřad by měl vynést jednoznačný výklad, aby veřejnost nebyla zbytečně strašena, protože GDPR ve své podstatě není složité.
Jak dlouho podle Vás bude trvat průměrné české firmě implementace GDPR?
To vychází z toho, jaký pořádek či nepořádek má konkrétní firma v datech. Dám Vám typický příklad. Máme výrobní firmu, která dělá B2B byznys, a jež zpracovává evidenci zaměstnanců, takže jejich účetní ví, kde má jaké šanony s daty zaměstnanců. Většinou má firma i nějaký docházkový i kamerový systém. Když si vezmeme obchodní firmu, ta obchoduje s koncovými zákazníky, takže samozřejmě eviduje i objednávky či smlouvy. Důležité je, aby firmy věděly, kde mají uložené důležité konkrétní dokumenty s osobními údaji, a jak je chrání. Velmi důležité je samozřejmě popsat k čemu tyto data potřebují a po jakou dobu.
Jaká bude cena implementace GDPR?
Ta cena vlastně vychází ze složitosti GDPR. Můžeme mít třeba výrobní firmu o 2 000 zaměstnancích, ale z hlediska ochrany osobních údajů je to velmi jednoduchá firma. Jinak to bude například u neziskových organizací, které pracují s lidmi s nějakým zdravotním postižením. Tam dochází ke zpracování citlivých osobních údajů čili tam už to může být složitější.
Mnozí experti či právníci v této souvislosti poukazují na nejasný výklad jednotlivých ustanovení GDPR. Neobáváte se toho, že toho budou chtít zneužít některé poradenské firmy, které „uměle vyženou" cenu implementace nahoru a udělat si z toho výnosný byznys?
Tady bych upozornil na mediální bublinu, která vznikla na strachu, a především na tom, že některé poradenské či konzultační firmy začaly informovat o GDPR, jak je vše složité, aby právě vyvolaly atmosféru strachu a obav z GDPR. Proto se některé tyto firmy snaží na tomto vydělat a skutečně mnohonásobně nadsadí cenu. To se týká zejména DPIA analýz. Nyní už Úřad pro ochranu osobních údajů vydal prohlášení, že těchto nadstandardních analýz není ve většině případů před implementací GDPR třeba. Nutné však je, a vrátím se opět na začátek, udělat si pořádek v datech.
I někteří odborníci tvrdí, že GDPR je ve stávající formě komplikované a v mnoha bodech nejednoznačné. Nehrozí, že některé členské státy EU si budou jednotlivá ustanovení GDPR vykládat odlišně?
Pro tyto účely byla zřízena pracovní skupina WP29, která právě pracuje na těchto výkladech, a dále je zpřesňuje. Jinými slovy ušil se zákon a nyní se pojďme podívat, co tím chtěl „básník" říci. Nicméně chápu, že ten zákon má být obecný proto, že tu je zejména kvůli novým technologiím. Vezměte si, že před 15 lety neexistoval Facebook, auta již pomalu řídí za nás, svět je stále více globalizovaný, takže ten zákon musí být obecný. Záleží na pracovní skupině WP29, aby výklad sjednotila a náš úřad na ochranu osobních údajů předkládal jasná stanoviska.
V čem se kvalitativně zlepší ochrana osobních údajů běžného občana po zavedení GDPR?
To, co je meritem GDPR, představuje především možnost požádat toho, kdo o Vás zpracovává osobní údaje, jaké informace o Vás evidují. Doposud jste měl tuto možnost také, ale bylo to možné zpoplatnit. Firmy se musí připravit, na to, že je požádáte, jaká data o něm evidujete, a také proč. Díky dezinformacím si některé firmy myslely, že musí mazat i zákonem požadovaná data, což není pravda, ale musí být připraveny odpovědět na takto základní otázku. Díky mediální bublině jsou fyzické osoby lépe informovány o svých právech a dá se předpokládat, že se kvalita ochrany osobních údajů zlepší.
V oblasti ochrany osobních údajů byl hlavním českým regulátorem Úřad pro ochranu osobních údajů. Jakou roli bude mít úřad po přijetí GDPR v ČR? Změní se či přibydou některé kompetence?
To vše bude řešit adaptační zákon. Úřad pro ochranu osobních údajů bude mít každopádně kompetence nadále kontrolovat, pokutovat a dohlížet. Byl bych rád, kdyby tento úřad více informoval veřejnost i podnikatele, aby jasněji formuloval, co je možné a co naopak možné není. Je to proto, aby veřejnost ani firmy nepodléhaly vlně strachu z GDPR, která je podle mého názoru zcela zbytečná.
Vymysleli jste ve Vaší společnosti 4Stars aplikaci na GDPR s názvem XGDPR Express. Mohl byste čtenářům prozradit, jakým způsobem zařízení funguje?
My jsme vytvořili tuto aplikaci s tím, že ona jde metodicky v souladu s tím, co chce GDPR. Jednoduše řečeno: zavedeme do aplikace informace o naší firmě, aby se vědělo, jak společnost zpracovává osobní údaje. Nastavíme si, kteří zaměstnanci u nás mají přístup k osobním údajům. Popíšeme si, kde se nacházejí dokumenty s osobními daty a jak jsou zabezpečeny v listinné podobě. Řekneme si, kde se nacházejí elektronická data, například faktury atd., jak jsou zabezpečeny počítače. V aplikaci popíšete záznamy s osobními údaji, které v organizaci evidujete. Toto vlastně popisuje naše aplikace. Ptá se Vás jen na to, co znáte vy. Aplikace vygeneruje konkrétní analýzu rizik – například máte dokument v nějaké skříni, ale ta není zabezpečena. Takže ta analýza, která Vás vede krok po kroku, v podstatě vygeneruje to, co dokáže říct konzultant. Aplikace pak generuje celou řadu vzorových dokumentů a usnadňuje zavedení GDPR svépomocí. Ještě bych rád zmínil, že data, která do aplikace vložíte, jsou uložena na vašich počítačích a nejsou nikam přenášena bez Vašeho vědomí. Cena aplikace je 14 990 Kč.
Viz také rozhovor Dalibora Lukaštíka na XTV: //xtv.cz/archiv/velke-firmy-o-nas-sbiraji-data-je-to-nebezpecna-vec-studuji-nas-rika-odbornik-na-gdpr-dalibor-lukastik
Nepřehlédněte na Security magazínu: Defence - tanky, lodě, letadla, obrněné vozy. Jaké jsou nejnovější trendy ve zbrojním a obranném průmyslu? S námi víte více