Všeobecné nariadenie o ochrane údajov alebo GDPR už čoskoro ovplyvní všetky organizácie, ktoré zaobchádzajú s informáciami o občanoch Európskej únie. Prečo je táto regulácia taká dôležitá a ako sa na ňu môžeme pripraviť?
Ochrana údajov je o súkromí nás všetkých a úzko súvisí s našou slobodou. Slobodné rozhodnutie a právo mať pod kontrolou akékoľvek informácie o sebe sú jednými zo základných práv. Možno sa to bude niekomu zdať ako prehnaný odpor proti ére „veľkých dát“, ale pozrime sa na to podrobnejšie.
Každý človek nad 35 rokov má spomienky na to, ako dospieval. Niektoré sú skvelé, iné by sme najradšej z pamäti vymazali. Našťastie, tieto príbehy sa uchovávajú zväčša iba v našej mysli. Dnešní tínedžeri však vyrastajú vo svete sociálnych médií, ktoré zachytávajú všetky digitálne stopy. Chytré veci okolo nás, ale i najtrápnejšie okamihy. Predstavme si dve celkom odlišné životné situácie. V tej prvej je zástupca generácie Y na pracovnom pohovore. V tej druhej ho niekto odfotografoval na búrlivom večierku a následne to zdieľal na sociálnej sieti. Keď sa tieto dve informácie prepoja, mladík môže prísť o vysnívanú pracovnú pozíciu…
Do 25. mája 2018 bude treba zaistiť súlad so všeobecným nariadením v oblasti ochrany údajov. Na prvý pohľad sa zdá, že času je dosť. Má to však háčik: za súlad je považovaný stav, keď je organizácia dostatočne pripravená na to, aby mohla bezpečne zaobchádzať s osobnými údajmi. Ľudí pracujúcich na odlišných typoch zariadení, ktoré fungujú na množstve rôznych sietí. Organizácia nebude schopná bezpečne riadiť informačné toky, ak nebude mať prehľad a kontrolu nielen nad osobnými údajmi, ktoré spracúva, ale aj nad identitami ľudí, ktoré k nim môžu mať prístup.
Je tu ešte jeden zádrh: veľkosť organizácie nezohráva úlohu v tom, aké opatrenia treba podniknúť. Záleží len na množstve a type osobne identifikovateľných informácií, ktoré spravujete. Napríklad pri zistení prelomenia ochrany údajov bude povinnosť informovať do 72 hodín príslušný dozorný orgán. Pre pokrokové organizácie s dobre nastavenou detekciou a krízovým plánom to problém nebude. Pre ostatných, najmä pre menšie firmy, však môžu byť investície do bezpečnosti IT tvrdým orieškom.
Dobrá správa je, že mnoho poskytovateľov služieb už pripravuje cloudové riešenia, ktoré môžu pomôcť zaistiť súlad so zákonom. Predovšetkým menšie a stredné firmy môžu nájsť v prechode na cloud výhodnejšie a bezpečnejšie riešenie, ako naplniť niektoré z požiadaviek nariadenia.
Akékoľvek riešenie by vždy malo obsahovať prvky ochrany, detekcie a reakcie. V prípade, že budú dáta adekvátne zabezpečené, zákazník bude schopný odhaliť prípadné anomálie, incidenty a bude mať nastavený solídny krízový plán, bude firma oveľa lepšie pripravená na zabezpečenie súladu s nariadením GDPR. V súčasnosti majú organizácie ešte čas začať s testovaním a môžu posúdiť, kde majú rezervy a ako môžu zvýšiť ochranu zákazníckych údajov.