Ako sa ESET pripravuje na GDPR, teda nové nariadenie o ochrane osobných údajov, ktorým sa aj slovenské firmy budú musieť riadiť už od tohto mája?
Prípravu ESETu na GDPR môžem rozdeliť na dve časti. Súčasťou prvej sú veci súvisiace s informačnou bezpečnosťou, tú zastrešujem ja. Druhá, väčšia časť sa týka skôr súhlasov dotknutých osôb, prenositeľnosti osobných údajov či dôvodu zhromažďovania údajov. O tú sa stará kolega z právneho oddelenia.
Prečo podľa vás Európska komisia s GDPR vôbec prišla?
Páči sa mi názor, ktorý som počul na konferencii ISACA (profesijná organizácia v oblasti riadenia, bezpečnosti a kontroly informačných technológií – pozn. red.). Hovoril o tom, že na trhu sa poskytujú isté služby, a tie od zákazníkov vyžadujú osobné údaje. Teória voľného trhu sa na to pozerá tak, že ak zákazníci nie sú spokojní s množstvom osobných údajov, ktoré musia službe poskytnúť, môžu prejsť ku konkurencii. Na druhej strane je teória sociálno-protekcionistická. Tá hovorí, že je tu štát, ktorý môže zákazníka chrániť. Aby organizácie od neho nevyžadovali niečo, čo by im nemal dávať. GDPR je práve o ochrane zákazníka. Ak sa totiž pozrieme spätne na niektoré služby, zákazník nemal na trhu vždy dostatočne veľkú konkurenciu na to, aby si mohol vybrať dodávateľa, ktorý chcel menej osobných údajov.
Ako sú podľa vás firmy na Slovensku na GDPR pripravené?
Regulovaný priemysel, hlavne ten finančný, je pripravený lepšie. Napríklad banky sú zvyknuté na regulácie, a tým ich berú vážnejšie.
Keďže ste v minulosti pracovali aj ako bezpečnostný konzultant, čo sú najčastejšie alebo najväčšie chyby, ktoré firmy robia pri ochrane alebo narábaní s osobnými údajmi?
Najväčšia chyba, ktorú som si všímal hlavne u menších firiem, je, že to neriešili vôbec. Kúpili generický projekt na ochranu osobných údajov, ktorý spĺňal zákonné požiadavky. Formálne bolo všetko v poriadku, ale reálne firma fungovala ako predtým. Nikto sa teda ani nezamyslel nad tým, že niektoré veci sa dajú robiť lepšie. Druhou chybou bolo aj to, že ak už s tým firma chcela niečo robiť, väčšinou to pristálo na hlave šéfky personálneho oddelenia alebo na IT oddelení. A oni reálne nevedeli, čo s tým majú robiť.
Vo firmách je to teda tak, že manažment si myslí, že ochrana osobných údajov je skôr technickou záležitosťou, a tak túto tému deleguje na IT oddelenie?
Presne tak. Pre firmu by bolo naozaj pridanou hodnotou mať zodpovednú osobu alebo Data Protection Officera, ako ho opisuje doterajší zákon na ochranu osobných údajov a aj nové nariadenie GDPR. Je to totiž človek, ktorý by mal poznať problematiku ochrany osobných údajov a vie lepšie nasmerovať firmu k tomu, aby bola v súlade či už s existujúcim zákonom, alebo s GDPR.
Máte zo svojej praxe pocit, že vedenie firiem reálne počúva rady alebo odporučenia vás konzultantov v oblasti ochrany osobných údajov?
Konzultantov a audítorov počúvať zvyknú, pretože si za ich rady platia. Väčšie firmy si zároveň dávajú vyškoliť zamestnancov, aby mohli byť takzvanými Data Protection Officermi. Pri predchádzajúcej verzii zákona tieto osoby museli prejsť skúškou. Pri interných IT tímoch je to však iné. Firmy, žiaľ, neinvestujú do ich ďalšieho vzdelávania v oblasti ochrany osobných údajov. Dobrá prax bezpečnosti hovorí, že IT administrátor by mal absolvovať istý základný tréning v oblasti IT bezpečnosti. Niečo podobné v oblasti ochrany osobných údajov neexistuje. Ani som nevidel, že by takéto školenie na trhu niekto ponúkal. Väčšinou IT tím dostane len to isté školenie o ochrane osobných údajov ako radový zamestnanec pracujúci napríklad za priehradkou. U nás v ESETe je manažment dosť špecifický, pretože sme vo svojej podstate bezpečnostnou firmou a na tieto veci dosť reaguje.
Chybou firiem je teda aj to, že zamestnancov nevzdelávajú v tom, čo s osobnými údajmi robiť nemôžu, a ako reagovať, ak spravia chybu?
Povedomie od manažmentu až po radových zamestnancov je veľmi dôležité. Bežní zamestnanci nemusia tušiť, že ich činy môžu firme dosť uškodiť. Napríklad sa niekto v e-mailovej komunikácii pomýli a pošle niekomu poistnú zmluvu, ktorá je písaná na niekoho iného. To je neoprávnené sprístupnenie osobných údajov ďalšej osobe. Môže sa to chybne riešiť tak, že človek prepošle správu správnej osobe a považuje to za vybavené. V konečnom dôsledku je to však z hľadiska GDPR narušenie ochrany osobných údajov a firma má z toho vyplývajúce povinnosti, napríklad povinnosť informovať Úrad na ochranu osobných údajov a dotknutú osobu.
Aké najzásadnejšie zmeny prináša GDPR firmám?
V kontexte nášho zákona nie je rozdiel taký výrazný ako napríklad v Českej republike, kde bol zákon nastavený inak. Napríklad v ňom nemali Data Protection Officera. Slovenský zákon na ochranu osobných údajov bol totiž už v minulosti dosť striktný. GDPR je skôr o tom, že nám pribudli nové povinnosti. Napríklad portabilita údajov a notifikačné povinnosti smerom na úrad. Zdvihli sa nám sankcie, ktoré majú dosah na výšku rizík, ktoré organizácia identifikovala alebo identifikuje. Pribudla napríklad certifikácia, o ktorej ešte nie je úplne jasné, ako bude vyzerať.
Má GDPR oblasti, ktoré sú pre firmy časovo náročné?
Určite už spomínané vzdelávanie zamestnancov. Vyžaduje si to veľmi veľa energie a výsledok nemusí byť vždy taký, ako si firma želá. Vzdelávanie preto musí byť kontinuálne. Pri technických opatreniach, čo je v rámci internej bezpečnosti moja parketa, to závisí od toho, ako dobre si firma spraví analýzu rizík a čo jej z nej vyplynie. GDPR nedáva veľký návod na to, ktoré opatrenia vo firme aplikovať, a ktoré nie. Explicitnejšie sa tam spomína jedine šifrovanie dát. Ak nejakým spôsobom uniknú a sú šifrované, nie je potrebné kontaktovať dotknuté osoby. Čiže minimalizuje sa poškodenie dobrého mena spoločnosti.
Ak teda firma používa šifrovanie a dôjde k úniku osobných údajov, ako úradu dokáže, že uniknuté údaje boli naozaj zašifrované?
Je bežné, že šifrovacie riešenia obsahujú záznamy o tom, že obsah nejakého zariadenia bol zašifrovaný. Optimálne je, aby firma mala alebo hľadala riešenia, ktoré jej pokrývajú konkrétne riziká a zároveň poskytujú možnosť overiť si, že riešenie funguje alebo fungovalo v konkrétnom čase v minulosti. Napríklad pri krádeži mobilného zariadenia obsahujúceho firemné údaje. V takomto príde by mala mať firma riešenie s centralizovanou konzolou, v ktorej si vie pozrieť, že toto ukradnuté zariadenie bolo v súlade s firemnou politikou a zašifrovalo sa dostatočne silným kľúčom.
Keď v Európe alebo v USA uniknú osobné dáta, je badať rozdielnosť týchto dvoch regiónov. Ak dôjde k úniku zdravotných údajov vo Veľkej Británii, médiá informujú o vysokej pokute, ktorú daná inštitúcia dostala. V USA akoby pokuty neudeľovali, hoci aj tam dochádza k závažným únikom. Prečo je to tak?
To sú práve tie dve cesty. Európa je sociálna, nastavená na ochranu bežných občanov. Na druhej strane v Amerike je skôr podpora silných jedincov, ktorí sa o seba dokážu postarať sami, a tak štát necíti potrebu reagovať pokutou. Je to však závislé od konkrétneho federálneho štátu USA. Kalifornia napríklad má povinnú notifikáciu osôb v prípade úniku údajov. Ak si teda konkrétny štát USA povie, že chce byť v tejto oblasti prísnejší, má túto možnosť. Rovnako ako členské krajiny Európskej únie.