Obecné nařízení o ochraně osobních údajů (GDPR) bylo zavedeno 25. května 2018. Jeho účelem je posílit práva fyzických osob na údaje a vynutit několik povinností institucím, které údaje spravují a zpracovávají. Soulad s GDPR má široký rozsah, který pravděpodobně ovlivní mnoho podniků po celém světě.
Rozsah GDPR zahrnuje všechny organizace z Evropské unie (EU), které shromažďují, uchovávají nebo zpracovávají osobní údaje jakékoli osoby s bydlištěm v EU (bez ohledu na jejich státní příslušnost), stejně jako všechny organizace mimo EU, které nabízejí zboží a služby obyvatelům Evropy. nebo organizace mimo EU, které zpracovávají osobní údaje.
Pokud se zjistí, že některá organizace porušuje GDPR, může jí být uložena pokuta až do výše 20 milionů EUR nebo 4 % jejího celosvětového ročního příjmu. EU již začala pokutovat organizace porušující soulad s GDPR; těžké váhy, jako je Google, čelí pokutám (pokuta 44 milionů EUR v případě Google), přičemž Amazon, Apple, Netflix a Spotify také hrozí pokutou za ochranu dat.
Evropská unie očekává, že poskytovatelé spravovaných služeb (MSP) po celém světě budou splňovat legislativu GDPR. Převážná většina MSP zpracovává osobní údaje pro evropské klienty nebo evropské zákazníky. MSP si často nemusí být vědomi toho, jaké údaje se zpracovávají, protože dříve bylo povinností vlastníka údajů dodržovat pravidla ochrany údajů. Vzhledem k tomu, že MSP jsou kategorizováni jako zpracovatelé dat, technické služby nabízené koncovým klientům spadají do působnosti GDPR – GDPR v podstatě vyžaduje, aby MSP věděli o typu zpracovávaných údajů.
Vezměme si například MSP, který poskytuje infrastrukturu jako službu pro klienta a jeho oddělení lidských zdrojů pomocí souborových serverů ke zpracování žádostí o zaměstnání potenciálních zaměstnanců; tyto obsahují osobní údaje. Vzhledem k tomu, že tato data jsou hostována v infrastruktuře úložiště MSP, MSP a klient mají společnou odpovědnost za soulad s GDPR.
Podle pokynů GDPR mají MSP povinnost chránit data způsobem, který zajistí bezpečnost všech osobních údajů, včetně ochrany před neoprávněným či nezákonným zpracováním, jakož i před náhodnou ztrátou a poškozením. Musí být zavedeny administrativní, fyzické a technické záruky, protože právo EU klade stejnou odpovědnost na správce údajů a zpracovatele údajů. To vyžaduje model sdílené odpovědnosti mezi všemi stranami.
Typ údajů v rozsahu GDPR jsou jakékoli osobní údaje, které mohou zahrnovat:
- Osobní životopisné údaje – jako je jméno, adresa a rodná čísla, datum narození, telefonní číslo a e-mailové adresy a také podrobnosti o vzhledu osoby, jako je váha, barva očí nebo jiné vlastnosti
- Finanční informace – jako je plat, daňové kódy nebo informace o studentských půjčkách
- Webová data – jako je IP adresa, údaje o uchovávání souborů cookie
- Zdravotní, biometrické nebo genetické údaje – jako je anamnéza, informace o dlouhodobé nemoci, nároky na zdravotní pojištění
- Soukromé informace – jako je sexuální orientace, politické názory, náboženské přesvědčení nebo členství v odborech. To může také zahrnovat informace o geografickém sledování, jako jsou sledovače Fitbit nebo Google Maps.
(Zdroj:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
Výše uvedené podrobnosti pouze poškrábou povrch datových typů, které spadají do působnosti GDPR. Ve skutečnosti je množství dat, které bude pravděpodobně podléhat souladu s GDPR, rozsáhlé a může zahrnovat téměř jakýkoli software, data, text, audio nebo video obsah. Tento přístup může vyvíjet tlak na zpracovatele dat a zpracovatele dat v rámci divize spravovaných služeb, aby zajistili správné zacházení s daty. Aby to bylo ještě složitější, musí údaje poskytnout klientela, která se výslovně přihlásila zpracování jejich osobních údajů.
Jakmile je poskytovateli dat uděleno povolení, je poskytovatel spravovaných služeb odpovědný za to, že dodržuje článek 5 GDPR, který uvádí, že osobní údaje musí být:
- Zpracováno zákonně, spravedlivě a transparentně
- Zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně ochrany před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničením nebo poškozením, za použití vhodných technických nebo organizačních opatření („integrita a důvěrnost“)
- Jakmile zpracovaná data, musí být v dohodnutou dobu zákonně zničena
(Zdroj:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
Klasifikace podle článku 5 týkající se zpracování dat vede k tomu, že MSP musí zajistit, aby software a služby, které poskytují, včetně jakéhokoli cloudového softwaru, byly také v souladu s GDPR. To zahrnuje položky, jako je virtualizační software, poskytovatelé hardwaru a síťové vrstvy, všechny ověřené MSP jako vyhovující. Pokud MSP využívá privátní, veřejný nebo hybridní cloudový model, musí být postaven na bezpečném architektovi v souladu s pokyny GDPR.
Pro MSP je zásadní vést přesné záznamy o zálohování a archivaci dat pro všechna data v rozsahu GDPR. MSP musí být schopni rychle identifikovat data koncových uživatelů, poskytovat záznamy o datech (jako jsou protokoly zálohování) a v případě potřeby data odstranit nebo obnovit. To vše ve vztahu k právu jednotlivců, které uznává GDPR, požadovat kopie údajů, které jsou o nich uchovávány.
GDPR také vkládá vlastnictví na MSP, aby vytvořily bezpečnostní zásady a postupy, které zajistí, že všechna data v rozsahu budou chráněna. Technická zabezpečení se mohou lišit, ale obvykle zahrnují pseudonymizaci a šifrování dat v klidu a při přenosu, přísné zásady pro hesla a pravidla pro uchovávání dat, která zajišťují trvalou integritu a dostupnost dat.
MSP také zodpovídají za zajištění bezpečnosti veškeré fyzické infrastruktury budovy a prosazují zásady, jako jsou seznamy řízení přístupu, sledování dohledu, fyzická ochrana majetku a uváznutí nebo dokonce 24×7 bezpečnostní personál na místě.
Poskytovatelé cloudu stále častěji nabízejí obchodní služby v souladu s GDPR, jako jsou kontroly přístupu a identity (IAM), zabezpečené služby Active Directory, služby správy datových klíčů (KMS) a služby federace dat SAML při veřejném nebo soukromém odesílání a stahování dat.
Dalším klíčovým prvkem GDPR je požadavek kladený na MSP zpracovávající údaje v případě úniku dat. MSP musí být schopni prokázat, kdy k porušení došlo, a přesně identifikovat, jaké informace byly zpřístupněny nebo změněny. MSP musí také informovat příslušné orgány pro ochranu údajů a dokonce i osoby, kterých se narušení týká. A co je nejdůležitější, porušení musí být potvrzeno do 72 hodin od zjištění.
MSP často implementují technická řešení k zajištění souladu; antivirové služby, jako je Trend Micro, obsahují nástroj zvaný vzdálené vymazání. Například pokud dojde ke ztrátě nebo odcizení notebooku obsahujícího data v rozsahu, může být zařízení vymazáno, aby byla data chráněna a zmírněno riziko narušení dat. Lze nasadit i další nástroje, jako je software pro analýzu hrozeb, který monitoruje neoprávněný přístup třetích stran k IT systémům, a síťové firewally. Důležité je také podrobné sledování a protokolování činnosti služeb.
Závěrem lze říci, že GDPR je stále velmi nová legislativa EU, která se týká organizací po celém světě, a tak mnoho organizací stále bojuje o dosažení souladu s GDPR kvůli značně složitým a stále se vyvíjejícím rozhodnutím podle nového zákona. Tuto složitost dále prohlubují práva osob na prohlížení, úpravu a mazání svých osobních údajů. Většina MSP bude muset aktualizovat své procesy a postupy nakládání s daty a dohodnout se na modelu sdílené odpovědnosti s osobami zpracovávajícími data. EU nakonec začne pravidelněji uplatňovat sankce GDPR, aby zajistila, že GDPR bude v popředí agendy všech globálních podniků.