Stále nejasná ochrana osobných údajov?
PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE INFOWARE, MÁJ - JÚN 2014
K napísaniu tohto článku ma podnietila novela Zákona č. 122/2013 o ochrane osobných údajov účinná od 15.4.2013 a schválená novela vyhlášky č. 164/2013 Z.z.. Jeho názov poukazuje na niektoré otvorené otázky, s ktorými sa možno stretnete pri napĺňaní požiadaviek zákona. Verím, že článok bude podnetom na zamyslenie nielen pre právnikov a špecialistov informačnej bezpečnosti a možno pre všetkých, ktorí to myslia s ochranou osobných údajov vážne.
Aké nepríjemnosti nám môže narobiť e-mailový server v spracovaní osobných údajov? Predstavte si, že ste oprávnená osoba a môžete spracúvať osobné údaje pre viacero informačných systémov. Pre zasielanie spracúvaných osobných údajov v tom najjednoduchšom prípade používate e-maily. Možno ich vo vašej e-mailovej schránke aj uchovávate i keď ide o osobné údaje spracúvané podľa zákona v rôznych informačných systémoch. Ide v tomto prípade o združovanie osobných údajov, ktoré boli získané osobitne s rozdielnym účelom? Spracúvate osobné údaje v rozpore so zákonom (§6 ods.2e)? Ak vás to zaujalo, skúste sa zamyslieť nad spracúvaním osobných údajov získaných osobitne s rozdielnym účelom v jednej databáze. Iným príkladom je použitie dátových skladov. Dátový sklad ako centralizovaný systém v pravidelných intervaloch zhromažďuje údaje z rôznych interných a externých zdrojov, spracováva ich a vytvára medzi nimi vzťahy. Uchovávate v dátovom sklade aj osobné údaje z rôznych informačných systémov?
Novela zákona priniesla zrušenie povinnosti mať bezpečnostnú smernice. No podľa novelizovaného zákona zostáva v platnosti, že pri spracúvaní osobných údajov je potrebné prijať primerané technické, organizačné a personálne opatrenia (§19 ods.1) na ochranu osobných údajov. Uvedené platí aj pre tých, ktorí už podľa novely zákona nemusia vypracovať bezpečnostnú smernicu. Ako však preukážete, že ste spomenuté opatrenia prijali (§19 ods.4)? Zdokumentujete ich v dokumente, ktorý po novelizácii nenazvete bezpečnostná smernica?
Slovo „primerané“ opatrenie má zrejme tiež svoje opodstatnenie. Čo ale bude považované za primerané a čo nie? V prípade opatrení vychádzajúcich z rizika poškodenia obsahu, zverejnenia alebo nedostupnosti osobných údajov je možné relatívne dobre tieto opatrenia navrhnúť. Postup, v ktorom sa dostaneme k návrhu primeraných opatrení vychádza z analýzy rizík, ktorá identifikuje bezpečnostné riziká a na základe zistených rizík sa navrhuje ich ošetrenie. Analýza bezpečnosti je požadovanou súčasťou bezpečnostného projektu. Pre mnohé informačné systémy, ktoré nespracúvajú osobitné kategórie osobných údajov ale analýzu bezpečnosti nepotrebujeme (§19 ods.2a). Ako teda v tomto prípade prijmeme primerané opatrenia resp. ktoré opatrenia nie sú primerané?
Pre spracúvanie osobitných kategórií osobných údajov v informačných systémoch pripojených k internetu je nutnosť vykonania analýzy rizík jasne stanovená v obsahu bezpečnostného projektu. V procese analýzy bezpečnosti sa hodnotí dopad porušenia základných cieľov bezpečnosti pri spracúvaní osobných údajov. Sleduje sa dopad na organizáciu v prípade porušenia integrity, dôvernosti a dostupnosti osobných údajov. Nakoľko z novelizovaného zákona vypadla povinnosť udelenia pokuty, veľkosť dopadu na organizáciu nemusí byť jasná. V inom pohľade, v prípade veľkých spoločností aj relatívne vysoká pokuta nemusí mať veľký dopad na jej fungovanie. Treba sa teda pozrieť, aký dopad bude mať porušenie bezpečnosti osobných údajov na udržanie zákazníkov a dobré meno spoločnosti.
Zaujímavou postavou zákona je zodpovedná osoba. Nevyhnutnou podmienkou pre menovanie zodpovednej osoby v zmysle zákona je vykonanie potrebnej skúšky. Po novelizácii zákona existencia zodpovednej osoby u prevádzkovateľa nie je povinná. Na druhej strane vzniká otázka, kto sa bude v organizácii zaoberať ochranou osobných údajov, na koho bude delegovaná manažérska zodpovednosť? Kto bude priebežne riešiť otázky súvisiace so zmenami v informačných systémoch, so zavedením nových aplikácií spracúvajúcich osobné údaje alebo s potrebou na zmenu bezpečnostných opatrení? Či už túto osobu nazveme zodpovednou alebo nie, osobu s uvedenými zodpovednosťami potrebujeme. V opačnom prípade sa vystavujeme riziku, že osobné údaje nebudeme spracúvať v súlade so zákonom. Hroziace pokuty alebo únik osobných informácií môže ohroziť podnikanie.
Existuje spôsob ako prekonať tieto a ďalšie, v článku nemenované problémy? Po našich skúsenostiach v stredne veľkých a veľkých spoločnostiach je nutné, aby organizácia disponovala potrebnými znalosťami a ideálne aj skúsenosťami. V prvom rade je to znalosť legislatívy pre ochranu osobných údajov a tiež ostatnej legislatívy. Dôvodom je najmä zváženie právneho základu spracovania osobných údajov v procese identifikácie informačných systémov. V druhom rade by mala organizácia disponovať znalosťami o riadení informačnej bezpečnosti a schopnosťou vyjadriť sa k technickým otázkam bezpečnosti osobných údajov. V prípade, že plánujete seriózne aktualizovať bezpečnostný projekt na ochranu osobných údajov, mali by ste uvažovať o takomto tíme.
Ak sa domnievate, že vypracovanie bezpečnostnej dokumentácie resp. bezpečnostného projektu je jednorazová záležitosť, netreba opomenúť nasledovné. Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení, aby zodpovedala prijatým zmenám v spracúvaní osobných údajov (§19 ods.3).
Zákon takto stanovuje potrebu nepretržitej starostlivosti o ochranu osobných údajov, ktorá je naviazaná na potrebu ďalších ľudských zdrojov. V tejto veci sú aspoň trochu spokojnejší všetci, ktorí už riešia informačnú bezpečnosť systematicky a cielene. Vedia, že informačná bezpečnosť a jej riadenie je spojitý cyklus pozostávajúci z riadenia rizík. Tieto sa v čase menia tak, ako sa mení prostredie, v ktorom sa nachádzame alebo ako sa mení naša organizácia. Zavedenie zákona do praxe v organizácii, ktorá riadi informačnú bezpečnosť je podstatne ľahšie ako v tej, kde sa to nedeje. A najjednoduchšie zavedenie zákona do praxe sme mali tam, kde dodávateľsky zabezpečujeme riadenie informačnej bezpečnosti.
Črtá sa však aj opačné využitie. Ak sa organizácia skutočne zodpovedne venuje ochrane osobných údajov, blíži sa aj k riadeniu informačnej bezpečnosti. Rozdiel je len v tom, že v prípade informačnej bezpečnosti je cieľom ochrana všetkých aktív spoločnosti oproti výhradnej ochrane osobných údajov, ktoré sú obvykle len ich časťou. Znaky riadiaceho procesu sú badateľné aj v zákone.
Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.