Implementace GDPR ve firmě poskytující ekologické služby - případová studie

3.6.3.1.19

Implementace GDPR ve firmě poskytující ekologické služby – případová studie

Ing. Monika Becková

Cílem této případové studie je nastínit jednoduché, ale konkrétní řešení pro inspiraci i jako "návod k použití" v organizaci zabývající se ekologií s nadějí, že stejné či podobné řešení bude prospěšné i pro vás.

 NahoruÚvod: Proč vznikla tato případová studie

Problematika GDPR (Nařízení Evropského parlamentu a rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů) se týká všech správců i zpracovatelů: organizací i fyzických osob, které zpracovávají osobní údaje (dále v textu jen "OÚ") v jakékoli oblasti, agendu související s životním prostředím nevyjímaje.

V praxi poradců i auditorů systémů managementu se setkáváme s nejrůznějšími organizacemi. Některé začaly s přípravou na GDPR ještě před účinností zmíněného nařízení, jiné stále ještě čekají (možná na zázrak). Některé firmy zaplatily nemalé částky za poradenství, jiné si poradily samy, ať dobře, nebo špatně. V některých případech přijalo vedení firmy (nutno říci, že většinou mylné) stanovisko, že jich se vlastně toto téma vůbec netýká, neboť žádné osobní údaje nespravují.

Část právníků tvrdí, že toto téma umějí zpracovat výhradně oni, odborníci z řad ICT jsou názoru, že je to pouze záležitost IT. Aniž se chceme dotknout kterékoli z obou skupin, praxe ukazuje, že problematika ochrany osobních údajů je podstatně širší a zahrnuje obě oblasti, a nejen to. Stále se lze setkat s cenovými nabídkami nejrůznějšího charakteru (mnohdy značně nadhodnocenými) na implementaci požadavků GDPR. Organizace rovněž často používají různé vzory souhlasů se zpracováním osobních údajů, které jsou mnohdy nesprávné a někdy dokonce zbytečné.

V praxi jsme si s řadou našich klientů poradili s GDPR, aniž to stálo velké finanční zdroje a přehnané úsilí. Naším cílem je přesvědčit vás formou příkladu, že GDPR opravdu není a nemusí být složitým problémem.

Cílem této případové studie je nastínit jednoduché, ale konkrétní řešení pro inspiraci i jako "návod k použití" v organizaci zabývající se ekologií s nadějí, že stejné či podobné řešení bude prospěšné i pro vás.

 NahoruPostup implementace

V praxi se nám osvědčil dále uvedený postup v etapách implementace, který lze doporučit všem organizacím bez ohledu na jejich velikost, typ a činnosti. Nicméně je nutno poznamenat, že vlastnímu postupu ale musí předcházet nabytí alespoň základních znalostí odborné problematiky.

Etapy implementace:

a) Počáteční audit souladu, zahrnující následující hlavní etapy:

• přezkoumání stávající dokumentace a procesů (procedur)

• místní šetření v organizaci, jejích odděleních, útvarech (doporučujeme žádné nevynechat – někdy zjistíme, že tam, kde nepředpokládáme žádné zpracování, se osobní údaje ve skutečnosti zpracovávají)

• zhodnocení stavu ochrany (zabezpečení) osobních údajů

• zpracování zprávy z auditu

b) Analýza rizik v oblasti GDPR, zahrnující následující hlavní etapy:

• Detailní identifikaci nebezpečí

• Hodnocení nebezpečí

• Analýzu rizik

• Zpracování návrhu opatření pro minimalizaci rizik včetně priorit

c) Realizace opatření dle schválených priorit. Příklady opatření:

• Určení odpovědné osoby

• Vytvoření záznamů o činnostech zpracování

• Školení zaměstnanců z pravidel bezpečnosti informací

• Revize interních dokumentů (např. Směrnic, manuálů a další dokumentace týkající se ochrany OÚ; zpracování procedur)

• Revize externích dokumentů (např. Smlouvy, obchodní podmínky apod.)

• Návrh / revize souvisejících informačních systémů / technologií

• Návrh postupu pro reportování a zpracování opatření pro minimalizaci důsledků porušení pravidel a zabezpečení

• Návrh technických a organizačních opatření

• Dodatky smluv

• Vytvoření smlouvy o zpracování OÚ

A nyní tedy samotný příklad. Předmětem případové studie je implementace požadavků GDPR v organizaci poskytující služby v oblasti ekologie právnickým i soukromým osobám.

Informace o klientovi:

Jedná se o organizaci poskytující služby v oblasti ekologie právnickým i soukromým osobám charakteru technických a komunálních služeb. Z důvodů zachování bezpečnosti informací jej však označíme fiktivním názvem SOVA.

Název firmy: SOVA s.r.o.

Místo podnikání: středočeský kraj

Počet zaměstnanců: 80

Počet zaměstnanců v managementu a THP: 10

Počet zaměstnanců, kteří mají na starost ISŘ a řízení procesů obecně: 0.5

Počet zaměstnanců v personalistice: 0.3

Počet interních auditorů: 0

Obor podnikání: technické a komunální služby v rozsahu:

• Správa, úpravy, čištění a údržba komunikací a veřejných prostranství

• Správa, údržba a výsadba veřejné zeleně a hřbitovů

• Provádění staveb, jejich změn a odstraňování

• Správa, údržba a výstavba veřejného osvětlení a elektropráce

• Silniční motorová doprava nákladní

• Provoz řízené skládky odpadů a sběrného dvora

• Provozování vodovodů a kanalizací a rozvod vody

Předmět a rozsah certifikace: technické a komunální služby dle ISO 9001 a ISO 14001.

Náš klient stál v květnu tohoto roku před problémem, jak se vypořádat s problematikou GDPR. Management organizace SOVA řešil konkrétně zejména následující otázky:

1. Jak to do této doby u nás fungovalo? (Jsme v souladu, nebo nám hrozí sankce?)
2. Kdo se o to bude starat? (Nemáme na to lidi.)
3. Kolik to bude stát? (Dostali jsme nabídku na zavedení ve výši zhruba 500.000,- Kč. Tolik dát nechceme. Je to vůbec adekvátní?)

Problémem firmy SOVA byl tedy zejména nedostatek personálu a snaha šetřit finanční zdroje na jedné straně, na straně druhé se její vedení obávalo problémů a případných sankcí. (Velmi pochopitelné v době, kdy pokutami ve věci GDPR strašili poradci, právníci a téměř všechna média.)

V té době se současně blížil ve firmě SOVA audit certifikačního orgánu a v rámci přípravy na něj bylo dohodnuto provést interní audit "externě" (SOVA nemá vlastní vyškolené interní auditory). Řešení se tedy nabízelo samo: v rámci interního auditu kvality a environmentu se zaměříme i na problematiku ochrany OÚ. V závěrečné zprávě pak bude prostor pro neshody, slabá místa i doporučení ke zlepšení zohledňující GDPR. Jejich další realizace bude na rozhodnutí vedení organizace SOVA v návaznosti na zmapování skutečného stavu a určení priorit.

Parametry poskytnuté služby byly dohodnuté takto:

• Interní audit bude proveden v rozsahu dle ISO 9001, ISO 14001 a GDPR

• Navýšení doby potřebné pro interní audit nad rámec původního (který měl být zaměřen pouze na kvalitu a ekologii): 0.5 dne

• Navýšení nákladů na interní audit nad rámec původního: 20 % (celková částka nepřekročila 10.000,- Kč)

Naše řešení:

Proč se klient rozhodl pro naši nabídku:

Klient na řešení svého problému neměl žádné specifické požadavky s výjimkou přání, abychom nezasahovali do běžného chodu firmy. Pro výše uvedený způsob se rozhodl ze tří dobrých důvodů:

1. Nesnažili jsme se přesvědčit ho o obrovské složitosti problematiky evokující velké náklady. (Naší zásadou je: "v jednoduchosti je síla".)
2. Nestrašili jsme ho sankcemi. (Koneckonců, i představitelé Úřadu na ochranu osobních údajů na veřejných prezentacích podporují spíše přístup založený na správné praxi, nikoli na sankcích).
3. Netvrdili jsme, že můžeme vše posoudit na dálku, bez naší fyzické přítomnosti na jeho pracovištích. (Jakýkoli skutečně funkční systém nelze zavést jen po telefonu a emailu.)

Náš postup korespondoval s výše uvedeným postupem implementace. Pro představu uvádíme dále konkrétní příklady. (Pozn.: dále uvedené dokumenty jsou ilustrativní a neobsahují vždy zcela kompletní výčet položek.)

 NahoruInterní audit GDPR:

Zpracovali jsme následující plán auditu, aby každý v organizaci SOVA věděl, proč, kdy a na co se ho přijdeme ptát:

Metody použité při auditu:

• Posouzení dokumentovaných informací

• Pohovory se zaměstnanci

• Pozorování při auditu na místě

• Obchůzky (místní šetření ve firmě)

• Použití checklistu

Prostřednictvím auditu dle výše uvedeného plánu jsme zjistili, jaké druhy OÚ firma SOVA zpracovává a jak s nimi nakládá. To jsme pak porovnali se zásadami a nařízením GDPR. Mimo jiné jsme zkoumali, kde všude se nacházejí OÚ, jaké je technické zabezpečení dat, kdo má k datům přístup a za jakých okolností, jak probíhá zálohování a archivace, kde jsou data fyzicky uložena, zda nedochází k duplicitnímu ukládání dat mimo zabezpečený systém a podobně. Odpověď na naši otázku: "žádné osobní údaje nezpracováváme!" jsme nepovažovali za relevantní, dokud jsme se sami nepřesvědčili na místě.

 NahoruZávěrečná zpráva z auditu:

Na základě posouzení shody jsme připravili závěrečnou zprávu z auditu shrnující slabé stránky včetně možných neplnění relevantních požadavků a jejich potenciálního dopadu. Zprávu jsme rozdělili z důvodů přehlednosti do dvou samostatných částí: SMK/EMS a GDPR, jejíž část uvádíme dále:

1. O auditu:

Dne xx-xx-xx byl v prostorách organizace SOVA s.r.o. proveden úvodní audit souladu zpracování osobních údajů s požadavky GDPR. Audit byl zaměřen na zpracování osobních údajů a jejich zabezpečení. Audit byl zároveň zaměřen na související problematiku systému managementu kvality a systému environmentálního managementu (EMS), zjištění související přímo s požadavky těchto norem jsou předmětem samostatné zprávy.

2. Prověřovaná organizační místa a osoby:

Předmětem auditu byly následující organizační místa/útvary/osoby:

• Jednatel společnosti SOVA

• Asistentka jednatele

• Představitel vedení společnosti SOVA

• Vedoucí provozu

• Vedoucí ekonomického úseku a personálního oddělení

• Externí mzdová účetní (dodavatel = zpracovatel OÚ pro správce SOVA s.r.o.)

3. Zjištění:

3.1 Osobní údaje

Organizace SOVA s.r.o. je správcem i zpracovatelem osobních údajů (dále jen OÚ) o zaměstnancích, zákaznících a dodavatelích, součástí jsou i citlivé OÚ (zvláštní kategorie OÚ ve smyslu GDPR), např. záznamy o zdravotním stavu zaměstnanců.

3.2 Síť

Počítačová síť je tvořena propojením (kabeláží) počítačů tzv. "pracovní skupina" se sdílenými složkami a tiskárnami. Do sítě je zapojen NAS server s připojeným krátkodobým zdrojem energie UPS.

Na NAS (a rovněž na flash disk – bez zabezpečení) je prováděna záloha PC. WiFi je mimo PC síť, přístup na WiFi je zabezpečen prostřednictvím WPA2.

Navrhovaná opatření:

• stanovit pravidla pro případnou manipulaci/likvidaci poškozených disků NAS serveru

• vést přehled hesel – pro přístup do PC/NTB a IS, tento přehled uchovávat např. v zalepené obálce v trezoru

• zpracovat a dokumentovat pravidla pro řízení přístupu do sítě (tvorbu a používání přístupového hesla, vytvoření/změna/zrušení přístupových práv)

• vést záznamy o bezpečnostních událostech

• stanovit povinnosti a pravidla pro provádění aktualizace/správu firmware (router, WiFi, Firewall)

• zvážit vhodnost monitorování komunikace z/do sítě (na routeru, WiFi)

• školení uživatelů sítě – význam ochrany informací, pravidla pro přístup do PC sítě, pravidla pro komunikaci v rámci i vně sítě.

3.3 Uživatelé výpočetní techniky

Vstup do PC/NTB je prostřednictvím přihlašovacího jména a hesla. Je používán antivir ESET.

PC nemají krátkodobý záložní zdroj energie tzv. UPS.

Vzhledem k tomu, že jsou využívány notebooky (dále jen NTB) i mimo stálé pracoviště, je potenciální riziko vzniku bezpečnostního incidentu.

Na některých PC je nainstalován OS Windows 7, upozorňuji, že se blíží konec rozšířené podpory (14.1.2020).

Navrhovaná opatření:

• zpracovat pravidla pro tvorbu a používání přístupového hesla

• zvážit šifrování vybraných složek v NTB přímo operačním systémem (tj. těch složek, v nichž jsou vedeny osobní údaje)

• omezit uživatelům PC/NTB provádět instalaci SW

• stanovit pravidla zabezpečení PC/NTB v případě, že uživatel přestane na PC pracovat (např. automatické odhlášení po pěti minutách nečinnosti)

• k ochraně proti malware používat i další vhodný SW např. jednorázové aplikace

• vést zálohu osobních údajů vedených v el. formě i mimo budovu

• stanovit pravidla pro používání a ochranu NTB mimo stálé pracoviště

• prověřit smlouvy z pohledu bezpečnosti informací s poskytovatelem elektronické pošty/webových služeb

• stanovit pravidla pro užívání el. pošty, tj. zejména výmaz nepotřebné pošty

• stanovit pravidla pro používání komunikačních služeb např. internetu

• zpracovat pravidla pro používání externích datových nosičů (např. identifikace schválených "flešek" pro pracovní účely, manipulace s nimi, co lze na nich uchovávat, jak zabezpečit data, jak vymazat údaje, likvidace poškozených/vyřazovaných nosičů)

• provést seznámení s pravidly uživatele výpočetní techniky

• vést záznamy o správě výpočetní techniky v tzv. deníku administrátora

3.4 Informační systémy

Organizace využívá ke zpracování osobních údajů informační systém xxx, další IS xxxx.

Navrhovaná opatření:

• doložit a posoudit smlouvy s poskytovateli/správci IS z hlediska důvěrnosti

• stanovit pravidla pro tvorbu přístupových práv (i jejich rušení) do IS

• vést záznamy o správě IS a případných bezpečnostních incidentech

3.5 Fyzická bezpečnost

Vstup do budovy mimo pracovní dobu je nemožný bez násilného poškození dveří či oken.

Vstupní dveře do budovy a kanceláří jsou uzamykatelné.

Do prostor areálu je vstup přes vrátnici s ostrahou. Je instalován EZS a EPS.

3.6 Listová forma vedení OÚ

OÚ vedené v listové formě jsou uloženy zčásti v uzamykatelných skříních nebo trezorech, zčásti v neuzamykatelných regálech.

Navrhované opatření:

• projít složky zaměstnanců a zvážit vedení těch osobních údajů, u kterých pominul účel zpracování a těch, ke kterým není doložen souhlas, a nejsou zpracovány na základě zákonných požadavků (pozn.: pokud účel zpracování…