Článok 32 GDPR žiada, aby prevádzkovateľ aj sprostredkovateľ prijali primerané technické a organizačné opatrenia zodpovedajúce riziku pre práva ľudí. Nešpecifikuje konkrétne technológie. Ako príklady uvádza šifrovanie a pseudonymizáciu, zabezpečenie dôvernosti, integrity a dostupnosti systémov, schopnosť obnoviť údaje po incidente a pravidelné testovanie účinnosti opatrení.

Obsah

Firma kúpi firewall a antivírus a má pocit, že „bezpečnosť pre GDPR má vyriešenú“. Iná firma naopak čaká, že GDPR jej povie presný zoznam, čo má kúpiť a nainštalovať, a keď ho tam nenájde, je bezradná. Obe vychádzajú z rovnakého nepochopenia toho, čo GDPR o bezpečnosti vlastne žiada.

GDPR totiž zámerne nedáva nákupný zoznam. Nehovorí „kúpte si tento softvér“, hovorí „prijmite opatrenia primerané riziku“. Bezpečnosť osobných údajov nie je vec technológie, ktorú raz kúpite a zabudnete. Je to riadenie rizika aplikované na osobné údaje, a to je dobrá aj zlá správa zároveň. Dobrá, lebo sa prispôsobí vašej veľkosti. Zlá, lebo si vyžaduje premýšľať, nielen nákup bez rozmyslu.

Čo GDPR o bezpečnosti údajov vlastne hovorí?

Celá požiadavka je v článku 32 a je prekvapivo strohá. Máte prijať primerané technické a organizačné opatrenia, aby ste zaistili úroveň bezpečnosti zodpovedajúcu riziku. GDPR pridáva niekoľko príkladov, čo do úvahy prichádza: pseudonymizácia a šifrovanie údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov, schopnosť včas obnoviť dostupnosť údajov po fyzickom alebo technickom incidente a proces pravidelného testovania a hodnotenia účinnosti opatrení.

Všimnite si dve veci. Sú to príklady, nie povinný zoznam, a všetky sa opakovane odvolávajú na riziko. GDPR vám nepovie, že musíte mať konkrétny nástroj. Povie, že úroveň ochrany má zodpovedať tomu, čo by hrozilo ľuďom, keby sa s údajmi niečo stalo.

Čo znamená „primerané“ opatrenia?

Toto slovo je jadrom celej veci a zároveň dôvodom, prečo GDPR nedáva jeden zoznam pre všetkých. Primeranosť znamená, že úroveň bezpečnosti sa posudzuje podľa niekoľkých faktorov naraz: podľa dostupných technológií a nákladov na opatrenia, podľa povahy, rozsahu a účelu spracúvania a hlavne podľa rizika pre práva a slobody dotknutých osôb.

V praxi to znamená, že malá firma s jedným zoznamom klientov objektívne nepotrebuje to, čo nemocnica spracúvajúca údaje o zdraví tisícov pacientov. Čím citlivejšie údaje a čím väčší dosah prípadného úniku, tým vyššia latka. Toto je presne tá istá logika ako v riadení rizík: najprv posúďte, čo môže nastať a aké by to malo následky, a podľa toho volíte opatrenia. Bezpečnosť postavená bez tejto úvahy je buď prehnaná a drahá tam, kde netreba, alebo deravá tam, kde na tom najviac záleží.

Technické verzus organizačné opatrenia

GDPR úmyselne spomína oboje a firmy zvyčajne myslia len na prvé. Technické opatrenia sú tie, na ktoré si spomenie každý: šifrovanie, prístupové práva a heslá, zálohovanie, aktualizácie softvéru, ochrana siete. Sú dôležité, ale sú len polovica.

Organizačné opatrenia sú tá druhá, podceňovaná polovica: interné smernice, kto k čomu má prístup a prečo, školenia zamestnancov, mlčanlivosť, jasný postup pri incidente, kontrola dodávateľov. Sú často lacnejšie než technológie a pritom účinné, lebo veľká časť únikov nevzniká prelomením šifry, ale ľudskou chybou, poslaným e-mailom nesprávnemu adresátovi alebo prístupom, ktorý mal už dávno zaniknúť. Firma, ktorá investuje len do techniky a zanedbá ľudí a procesy, si kupuje falošný pocit bezpečia.

Ako súvisí GDPR bezpečnosť s ISO 27001 a NIS2?

Toto je miesto, kde sa oplatí odpútať sa od GDPR a pozrieť sa širšie. Bezpečnosť osobných údajov podľa čl. 32 je v skutočnosti tá istá disciplína ako informačná bezpečnosť podľa normy ISO 27001 a ako kybernetická bezpečnosť podľa zákona o kybernetickej bezpečnosti. Líšia sa uhlom pohľadu, GDPR sa pozerá cez ochranu súkromia, ISO 27001 cez systém riadenia a zákon cez odolnosť kritických služieb, ale opatrenia sa z veľkej časti prekrývajú.

Praktický dôsledok je zásadný. Firma, ktorá má zavedené ISO 27001, má väčšinu toho, čo žiada čl. 32 GDPR, a naopak. Kto rieši viac ako jednu z týchto oblastí, nemá stavať tri oddelené systémy, ale jeden spoločný základ. Ako to prakticky prepojiť, rozoberáme v článku o riadení rizík informačnej bezpečnosti podľa ISO 27001 a NIS2.

Kedy treba ísť hlbšie?

Pri bežnom spracúvaní vystačíte s primeranými opatreniami a zdravým úsudkom. Keď ale plánujete niečo, čo môže predstavovať vysoké riziko pre práva ľudí, napríklad rozsiahle monitorovanie alebo spracúvanie citlivých údajov vo veľkom, GDPR žiada urobiť ešte krok navyše, takzvané posúdenie vplyvu na ochranu údajov. To je vlastne dôkladnejšia analýza rizika pre konkrétne spracúvanie a venujeme sa mu v článku o posúdení vplyvu. Bezpečnostné opatrenia z čl. 32 sú potom priamym výstupom tejto analýzy.

Ako zabezpečiť primeranú bezpečnosť

Nezačínajte otázkou „čo si máme kúpiť“, ale otázkou „čo by hrozilo ľuďom, keby sa s našimi údajmi niečo stalo“. Prejdite si najcitlivejšie spracúvania a pri každom zvážte, čo by znamenal ich únik, strata alebo zneužitie. Z toho vyplynie, kam sústrediť opatrenia a kde stačí menej. Konkrétne prijaté opatrenia potom stručne zapíšte, patria aj do vášho záznamu o spracovateľských činnostiach, kde sa uvádza všeobecný opis bezpečnosti.

Zvyčajne tu zaznie námietka: „veď máme antivírus a firewall, čo viac treba“. Lenže technika bez organizačných opatrení je ako dobrý zámok na dverách, ktoré necháte otvorené, keď odchádzate. Najlacnejšie a často najúčinnejšie zlepšenie nie je nový softvér, ale poriadok v prístupoch, zaškolení ľudia a jednoduchý postup pre prípad, že sa niečo pokazí.

Ak si chcete nastaviť bezpečnosť, ktorá zodpovedá vášmu reálnemu riziku, a prípadne ju prepojiť s ISO 27001 alebo povinnosťami v kyberbezpečnosti, a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.

Časté otázky

Aké bezpečnostné opatrenia vyžaduje GDPR?

Článok 32 GDPR žiada primerané technické a organizačné opatrenia zodpovedajúce riziku. Ako príklady uvádza šifrovanie a pseudonymizáciu, zabezpečenie dôvernosti, integrity a dostupnosti systémov, obnovu údajov po incidente a pravidelné testovanie účinnosti opatrení.

Čo znamená primeraná bezpečnosť podľa GDPR?

Znamená úroveň ochrany zodpovedajúcu riziku pre práva ľudí, posudzovanú podľa dostupných technológií, nákladov a povahy spracúvania. Malá firma nepotrebuje to isté čo nemocnica, čím citlivejšie údaje, tým vyššia latka.

Aký je rozdiel medzi technickými a organizačnými opatreniami?

Technické opatrenia sú napríklad šifrovanie, prístupové práva, zálohy a aktualizácie. Organizačné sú smernice, školenia, riadenie prístupov, mlčanlivosť a postupy pri incidente. GDPR vyžaduje oboje.

Stačí na GDPR mať zavedené ISO 27001?

ISO 27001 pokrýva väčšinu bezpečnostných požiadaviek čl. 32 GDPR, keďže ide o tú istú disciplínu. GDPR má ale aj povinnosti mimo bezpečnosti, takže certifikát sám osebe nie je automatické rovnítko k plnému súladu.