Keďže nároky na zodpovednú osobu za spracovanie osobných údajov (DPO - Data Protection Officer), ako aj jej právomoci sú vysoké, mali by jej výberu firmy venovať veľkú pozornosť.
Pripraviť sa na nové úlohy môže vybraná DPO aj na odbornom školení, ktoré ponúka TÜV SÜD Slovakia v spolupráci s odbornými školiteľmi. Jedným z nich je aj certifikovaný etický hacker a odborník na kybernetickú bezpečnosť Ľubomír Kopáček.
Regulácia GDPR (General Data Protection Regulation) vyžaduje ustanoviť u prevádzkovateľov zodpovednú osobu pre spracúvanie osobných údajov, takzvaného Data Protection Officera (DPO) v troch konkrétnych prípadoch.
Zodpovednú osobu by mali firmy určiť na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť požadované úlohy. Medzi relevantné zručnosti a odborné znalosti DPO by mali patriť odborné znalosti z vnútroštátneho a európskeho práva a postupov v oblasti ochrany údajov vrátane dôkladného porozumenia všeobecnému nariadeniu o ochrane údajov, porozumenie vykonávaným spracovateľským operáciám, porozumenie informačným technológiám a bezpečnosti osobných údajov, znalosť podnikateľského sektora organizácie, či schopnosť presadzovať kultúru ochrany osobných údajov v rámci organizácie.
Odborníci pomerne často upozorňujú na bežnú chybu vo vzťahu k osobným údajom – že ich firmy nemažú. Poznáte to z vlastnej praxe?
Áno, údaje sa nemažú. To je taká choroba. Aj na školení GDPR sme riešili otázku, ako naložiť s údajmi po uplynutí doby ich spracovania. Či ich archivovať, alebo zmazať. V tomto účastníci nemali úplne jasno.
Jednoznačná odpoveď?
Často sa používa na bežné vymazanie takzvaný „soft delete“. No ja hovorím, že ak ide o dáta, ktoré už nebudeme ďalej používať, treba ich zmazať úplne. Pokiaľ však potrebujeme s týmito dátami ďalej narábať, povedzme pre štatistiky, tak ich treba anonymizovať. Tak, ako to vymyslela Únia v regulácii, tak je to správne.
GDPR určuje tri okruhy prevádzkovateľov, ktorí sú povinní mať zodpovedného úradníka pre osobné údaje – DPO. Mierne nejasnosti vyvoláva druhá charakteristika (monitorovanie vo veľkom rozsahu). Ako má firma prísť na to, že do tohto okruhu patrí?
Pracovná skupina číslo 29 (WP29) vydala usmernenie, ktoré to popisuje celkom názorne. Výstupmi a metodickými pokynmi tejto skupiny sa dá v drvivej väčšine prípadov dobre riadiť. Pre vysvetlenie, Working Party 29, alebo presnejšie Article 29 Working Party je skupina pri Európskej komisii, je to oficiálna pracovná skupina, ktorá bola zriadená na základe pôvodnej regulácie 95/46/EC ešte z roku 1995, z ktorej sa neskôr vyvinulo GDPR. Táto pracovná skupina sa snaží vydávať metodické pokyny, usmernenia na implementáciu opatrení týkajúcich sa ochrany súkromia. No treba zároveň povedať, že je vnímaná pomerne kontroverzne, pretože niektoré jej vyhlásenia a metodické pokyny sú zvláštne. Ale vo všeobecnosti WP29 urobí väčšinu práce pri návrhu opatrení za nás. Tie však treba upraviť na konkrétnu krajinu. Nie všetko, čo funguje napríklad v Nemecku, sa dá zadaptovať na Slovensku, a naopak.
Čo znamená veľký rozsah monitorovania?
Pod veľkým rozsahom si nepredstavujme iba veľké množstvo spracúvaných údajov, ale aj napríklad dlhú dobu ich uloženia, veľký rozsah samotných dát, ktoré sú zbierané. Čo však problém je, že ten veľký rozsah nie je nikde kvantifikovaný. Posúdenie veľkého rozsahu je naozaj na posúdení, na základe expertného odhadu. Nikde nie je explicitne povedané, koľko to je.
...a dlhá doba?
Pri nej platí presne to isté. Treba naozaj zvážiť, čo zbierame a na aký účel. Z toho by nám malo vyplynúť, či je to primeraná doba, alebo nie. Vstupuje do toho veľa faktorov - sektorové regulácie, účtovníctvo, právne veci.
Odporúčate zriadenie DPO aj firmám, ktorým nevyplýva táto povinnosť?
Je to dvojsečná zbraň. Keď si dobrovoľne ustanovíte DPO a zabezpečíte ju aj zmluvne, dozorný orgán naňho bude prihliadať tak, ako keby to bol DPO určený z regulácie. To znamená, že bude mať úplne rovnaké právomoci, ale aj povinnosti. Pre firmy, ktoré DPO nepotrebujú, je vhodnejšie vybrať si napríklad konzultanta, alebo iný druh pomoci, ktorý nie je oficiálne DPO. Napríklad Data Protection Coordinator. Tak DPO nebude môcť mať neprimerané požiadavky. Právomoci DPO sú naozaj široké.
Umožnia podľa vášho názoru firmy svojim DPO v plnom rozsahu uplatňovať ich právomoci?
Budú musieť. Vyžaduje to priamo regulácia a priestor na diskusiu nepripúšťa.
Sú nároky na DPO väčšie, než na zodpovednú osobu v minulosti?
Rozhodne áno. Zodpovedná osoba v minulosti bola z môjho pohľadu viac menej formálna záležitosť. Nevyžadovala sa žiadna odborná príprava. Stačilo, že zložila skúšku na Úrade a bola zodpovednou osobou. Regulácia o DPO hovorí, že musí mať primerané odborné znalosti. K tomu je však tiež možné mať isté výhrady. Lebo ak by sme sa striktne držali odporúčaní WP29, tak tí požadujú, aby DPO mala „dokonalé znalosti“ v minimálne troch náročných odboroch - v práve, tak lokálnom ako aj európskom, v kybernetickej bezpečnosti a v procesnom riadení.
To znie ako pomerne nereálna kombinácia, alebo ako niekto, kto bude najlepšie plateným zamestnancom vo firme.
Vyzerá to nereálne. Jeden človek, ktorý je špičkový právnik, špičkový expert na kybernetickú bezpečnosť a zároveň expert na procesy je naozaj prehnaná požiadavka. Nemám vedomosť, že by sme na Slovensku niekoho takého mali. Presne pre podobné požiadavky je WP29 niekedy vnímaná kontroverzne.
Keby ste hľadali DPO do svojej firmy, na ktorú z týchto troch odborností by ste stavili najviac?
Spoľahol by som sa na ľudí, ktorí majú praktické skúsenosti s kybernetickou bezpečnosťou a zároveň s ochranou osobných údajov. Tam je predpoklad, že sú zorientovaní aj v legislatíve. Na školeniach odporúčam nájsť človeka, ktorý daným oblastiam rozumie a je v tej problematike zorientovaný.
Kto posúdi, že odbornosť DPO je dostatočná?
Jednou z možností by mohli byť certifikácie, ktoré potvrdia nejakú úroveň kompetencie. Inou možnosťou je napríklad dokazovanie svojich odborných schopností podobne, ako keď sa napríklad uchádzate o prácu.
Budú sa firmy snažiť motivovať svojich zamestnancov, aby sa stali DPO? Ponúknu finančnú motiváciu tomu, kto sa ním stane?
Obávam sa, že firmy sa budú snažiť držať od DPO čo najďalej. Pretože si myslím, že z DPO sa vo veľmi krátkom čase stane veľmi lukratívna pozícia, čo sa týka finančného ohodnotenia. Všetko tomu nasvedčuje. Keďže sa v tejto funkcii stretli široké požiadavky na kompetencie a regulácia garantuje rozsiahle právomoci, tak vyústenie do veľmi slušne zaplatenej pracovnej pozície mi príde ako celkom logické. Asi by nikto nezveril tak citlivú a ľahko zneužiteľnú oblasť do rúk človeka, ktorého by udržiaval systematicky finančne podvyživeného. Katastrofa by bola iba otázkou času.
Aké osobnostné predpoklady by mal mať DPO?
Mal by mať vysokú morálnu integritu. Pri výkone tejto funkcie hrozí každú sekundu únik najviac strážených tajomstiev firiem a tam musíte mať istotu, že človek, ktorý pre vás pracuje, dáta na druhý deň nepredá konkurencii.
Pre ktoré firmy je výhodnejšie zazmluvniť si externú DPO?
Využiť to môže každý. Na začiatku by mala konzultačné služby využiť asi každá firma, pretože je len malý predpoklad, že firmy dokážu na potrebnej odbornej úrovni túto problematiku zvládnuť.
Množstvo firiem má databázy v cloude. Musia ich odtiaľ presunúť?
Ja považujem cloud za zlo (smiech). Cloudu sa dnes nevyhneme. Je všade. Veľké cloudové služby sa snažia dokázať, že sú v súlade s ISO normami pre cloudy (ISO 27017, ISO 27018). Tie by mali vedieť pre potreby GDPR preukázať súlad aspoň s týmito normami.
Za týchto okolností by tam teda mohli databázy ostať?
Ak cloudový poskytovateľ preukáže súlad s týmito cloudovými ISO normami, tak áno. No aj tak by som zvážil minimálne výber typu cloudu. Podľa normy poznáme totiž viacero implementačných modelov cloudu – privátny, verejný, hybridný a komunitný. Určite by som sa vyhýbal verejnému cloudu. Pre spoločnosti, ktoré to myslia s ochranou dát vážne, by som odporúčal privátny cloud.
Sú dnes naše dáta v bezpečí? Prípadne, budú vo väčšom po zavedení GDPR?
Dáta v bezpečí rozhodne nie sú. Nemyslím si ani, že budú. No snáď si aspoň prevádzkovatelia začnú dávať väčší pozor. Aby sa úroveň zabezpečenia našich dát priblížila povedzme Nemecku, to je ešte veľmi dlhá cesta. Musíme zmeniť myslenie a prístup k ochrane dát.
Ste jedným z certifikovaných etických hackerov. Čo to znamená? Čo je vašou úlohou?
Certifikovaný etický hacker, ktorý prejde oficiálnou skúškou musí dodržiavať predpísaný kódex a samozrejme splniť odborné nároky. Vydavateľov týchto certifikátov nie je veľa, za najprestížnejšieho na svete je považovaná EC-Council, ktorá má udelenú akreditáciu aj do americkej NSA alebo DoD (Department of Defense). Od EC-Council mám certifikát aj ja. Etický hacker sa od toho „čierneho“ odlišuje najmä v tom, že pracuje z pohľadu zákona na tej správnej strane a na základe zmluvy.
Na Slovensku vás nie je veľa...
Áno, je nás málo. Môžu za to aj financie, pretože odborná príprava a skúška je pomerne drahá, vyjde na približne 3000 eur. Druhým dôvodom je, že predpoklady na zvládnutie odbornej prípravy sú pomerne vysoké – človek bez predchádzajúcich praktických skúseností a teoretických znalostí v tejto oblasti, nemá veľké šance a samotná skúška je náročná. Nie je to formalita. Certifikačná skúška trvá približne pol dňa a ide sa v nej skutočne po detailoch.
Firmy občas vyhlasujú anonymné výzvy pre hackerov. Nie je tu riziko, že sa zapoja aj neetickí hackeri a tí zneužijú získané dáta? Majú takéto výzvy zmysel?
Tento druh výziev vnímam skôr ako marketingový nástroj. Neviem si úplne predstaviť, že by som odporučil firme, pre ktorú pracujem, takýto druh verejného testovania aj s nejakou finančnou motiváciou.
Priamo v oblasti kybernetickej bezpečnosti pôsobí od roku 2005 prevažne ako konzultant v sektore elektronických komunikácií, priemyselnej výroby a utilít. Bol súčasťou štartu dvoch významných telekomunikačných operátorov. Špecifickej problematike ochrany osobných údajov sa začal venovať „náhodou“ v roku 2011. Je presvedčený, že najväčším bezpečnostným rizikom je človek a za bezpečný systém považuje ten, ktorý je vypnutý.
Vybrať lokalitu
Global
Americas
Asia
Europe
Middle East and Africa