GDPR aneb vyřešte ve firmě správné šifrování dat

Pouhý měsíc zbývá do chvíle, kdy v celé Evropské unii začne platit obecné nařízení o ochraně osobních údajů (GDPR). Od 25. května 2018 musí všechny organizace, které shromažďují osobní data o svých zákaznících nebo zaměstnancích, zajistit jejich účinnou ochranu před únikem nebo zneužitím. Nová povinnost se týká, jak fyzických dokumentů v listinné podobě, tak jejich elektronických verzí, a především pak různých databází s osobními údaji. Nedodržení tohoto pravidla a únik osobních údajů mohou vést k vysokým pokutám, zejména u poboček nadnárodních společností, u nichž se sankce vypočítávají z podílu na obratu mateřského koncernu.

GDPR aneb vyřešte ve firmě správné šifrování dat


Menší firmy se nemusí obávat, že by případné pokuty ukládané Úřadem na ochranu osobních údajů byly likvidační, ale jistě budou citelné. Proto je dobré se na GDPR připravit a neriskovat. Jednou z možností, jak splnit nové evropské nařízení, je osobní údaje vůbec neschraňovat, pokud nejsou nezbytně nutné k dané činnosti zpracování. V takovém případě je vhodné používat tzv. anonymizovaná data.

Anonymizace dat umožňuje sdílet původně citlivé údaje prakticky s kýmkoliv. Vhodná je však jen pro některé společnosti, například agentury, které hromadně zpracovávají data pro statistické účely nebo různé průzkumy,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET, a dodává: „Firmy používají anonymizaci také při zátěžovém testování pro přípravu testovacích dat tak, aby aplikace nebo databáze mohla být otestována na datech blížících se realitě a zároveň nedošlo k úniku důvěrných údajů.“

Anonymizace ale v praxi může být pro řadu společností nereálná, protože ke své činnosti osobní údaje zkrátka potřebují. I v takovém případě se ale nabízí systémové řešení, tzv. pseudonymizace. Její podstatou je rozdělení osobních údajů do několika oddělených částí, které si informační systém podle určité logiky propojí. V případě zcizení části dat pak nelze jednotlivé části informačního systému zneužít k identifikaci konkrétní fyzické osoby.

Další vrstvou ochrany dat je zabezpečení vlastního fyzického úložiště či úložišť. V takovém případě je jednou z vhodných a spolehlivých cest kvalitní šifrování elektronických dat, a to jak jednotlivých souborů, tak i zmíněných úložišť. V případě zcizení či ztráty zašifrovaného datového nosiče nemá nálezce či útočník prakticky možnost se k datům dostat a jsou tak pro něj bezcenná.

Pevné disky a výměnná média dokáže ochránit například ESET Endpoint Encryption, šifrovací aplikace pro firmy všech velikostí. Šifrování souborů, složek a e-mailů umožňuje bezpečnou spolupráci napříč pracovními skupinami i mimo firemní síť. Díky vzdálené správě může správce firemní sítě uplatňovat bezpečnostní politiku na všech pracovních stanicích, i když zaměstnanci zrovna nejsou v kanceláři.

„Ochrana osobních údajů je především o vnitřních procesech a přístupech k jejich zpracování. Softwarové nástroje jsou pouze prostředníkem, který nám pomáhá ochrany dat dosáhnout. Z GDPR nemusí mít obavu společnosti, které ochranu dat již dříve vnímaly odpovědně. Stávající česká legislativa byla velmi podobná. V každém případě kampaň provázející příchod tohoto nařízení všem připomněla, že osobní data nejsou bezcenná a jejich zneužití představuje pro konkrétní fyzické osoby hrozbu,“ uzavírá Dvořák.


Úvodní foto: Alex - Fotolia.com




Komentáře