Informacijska varnost skozi prizmo GDPR

Prav zaradi zgoraj navedenega smo za odgovore na nekaj perečih vprašanj poprosili odvetnika Matija Jamnika, strokovnjaka za GDPR pri Pravni pisarni JK Group.

Splošna uredba o varstvu podatkov (GDPR) govori o varnosti obdelave osebnih podatkov. V 32. členu vsebuje pravilo, da morajo tako upravljavci kot tudi obdelovalci osebnih podatkov z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti podatkov; pri tem pa morajo upoštevati najnovejši tehnološki razvoj, stroške izvajanja ukrepov, naravo, obseg, okoliščine in namen obdelave ter tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.

Precej nerazumljiva določba, če sem iskren.

“Res je, žal zelo v duhu celotne GDPR. Bistvo je, da uredba konkretno izvedbo ukrepov za zagotovitev informacijske varnosti prepušča zavezancem. V uredbi bi zaman iskali pravila glede politike gesel ali navodila za konfiguracijo strežnikov. Na upravljavcih in obdelovalcih je, da ocenijo tveganja in sprejmejo ukrepe, ki ta tveganja zmanjšujejo. Kako konkretno tehnično to izvesti, pa je prepuščeno njim samim.”

Pa GDPR vendarle pojasni, kaj misli s tehničnimi in organizacijskimi ukrepi?

“Primeroma jih nekaj našteje: psevdonimizacija in šifriranje; zagotavljajne stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo podatkov; zagotavljanje razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta (backup) ter – zelo zanimivo – redno testiranje, ocenjevanje in vrednotenje učinkovitosti ukrepov za zagotavljanje varnosti obdelave. To zadnje z očitno namero, da torej ti ukrepi ne bi bili sami sebi namen ali zgolj mrtva črka na papirju. A spet: katere ukrepe bomo izbrali, je odvisno od naše lastne ocene tveganja, ki jo konkretna obdelava podatkov predstavlja. ‘Lepota’ in hkrati ‘bolečina’ GDPR.”

Če torej v podjetju izvajamo ustrezne oziroma primerne ukrepe za varovanje podatkov, ali potem lahko rečemo, da smo skladni z GDPR?

“Žal ne in to je past, v katero se ujamejo mnoge stranke: ‘Naši IT-jevci so poskrbeli za varnost, imamo celo ISO certifikat, zaposleni so seznanjeni z ukrepi in jih izvajajo … torej smo skladni z zahtevami GDPR.” To ni nujno res, ker je informacijska varnost le ena od komponent varstva osebnih podatkov. Preveriti je potrebno še precej drugih vidikov: ali imamo ustrezno pravno podlago za zbiranje in obdelavo osebnih podatkov; ali glede na namene obdelave res potrebujemo vse tipe osebnih podatkov, ki jih zbiramo (načelo minimizacije); ali je obdobje hrambe primerno; ali zagotavljamo vse informacije, do katerih so posamezniki upravičeni; ali so te informacije predstavljene in dostopne na ustrezen način in tako dalje.”

GDPR torej ne določa, katere ukrepe konkretno je potrebno izvesti za zagotovitev varnosti podatkov. Kako naj potem vemo, ali delamo prav in ali smo varni pred astronomskimi globami?

“Na tri stvari se lahko opremo. Prva je t.i. zdrava kmečka pamet oziroma prava mera: pretirana brezbrižnost je nevarna, pretirana paranoja je nepotrebna, če ne delamo res kakšnih občutljivih zadev ali če ne obdelujemo ogromnih količin podatkov. Druga je pomoč strokovnjakov, ki imajo znanje in izkušnje s tega področja (pri čemer so seveda predvsem spomladi leta 2018 ti “strokovnjaki” vznikali kot gobe po dežju, zato ni vedno enostavno ločiti zrnja od plev). Gre za kompleksno področje, kjer samo dobro pravno znanje ali samo IT veščine ne bodo dovolj; področji morata iti z roko v roki. Tretji pripomoček so, zaenkrat, dokler ZVOP-2 ni sprejet, lahko primeri izrečenih glob in drugih primerov iz tujine – kar je tam zmotilo nadzorne organe (informacijske pooblaščence). Odločbe so javno objavljene, obstajajo pa tudi agregatorji, npr. https://gdpr-fines.inplp.com/, ki omogočajo iskanje po različnih kriterijih, npr. po členu uredbe, ki je bil kršen.”

Omenili ste primere iz tujine. Kaj nam sporočajo?

“Predvsem to, da se inšpektorji ne ustavljajo pred vprašanji tehnologije. Če smo bili iz časov pred GDPR navajeni, da je bil fokus nadzorov bolj na pravnih podlagah, privolitvah, posredovanju osebnih podatkov tretjim osebam, obstoju ter vsebini pravilnikov in podobno, se zdaj dejansko zgodi, da se nadzorni organi poglobijo v tehnične rešitve in jih kritično ocenijo. Tuji primeri nam sporočajo tudi, da se bomo praviloma težko izgovorili na zunanje vzroke, kot so npr. hekerski vdori ali brezbrižni sodelavci. Ko so npr. hekerji Uberju odtujili podatke o potnikih in voznikih, so bili (poleg plačila milijonske poravnave v ZDA) oglobljeni v Franciji, Britaniji in na Nizozemskem, saj je bilo ugotovljeno, da so pri IT varnosti zagrešili kup napak, ki bi se jim bilo mogoče izogniti. Da so vdor prikrivali več kot eno leto, jim seveda tudi ni šlo v prid. Jim je pa šlo v prid dejstvo, da v času vdora GDPR še ni veljala in so bile globe sorazmerno simbolične. Podobnih primerov je veliko.”

Je skrb za informacijsko varnost lahko konkurenčna prednost?

“Naj vam zaupam zanimivo zgodbo: Stranko smo opozarjali, da je kot pogodbeni obdelovalec dolžna poskrbeti za varnost obdelave osebnih podatkov, ki jih bodo s pomočjo njene programske opreme obdelovali njeni naročniki. Sprva so nas gledali precej nejeverno, saj so na zadevo gledali s (še vedno pogosto prisotnega) “lastniškega” vidika: naša aplikacija, naši naročniki, naši podatki. Šele ko so ugotovili, da naročnike zanima (ker jih skladno z GDPR pač mora), kako je poskrbljeno za varnost podatkov, in da se težko odločajo za naročila, so se odločili za povsem drug pristop, in sicer za popolno anonimizacijo osebnih podatkov na ravni aplikacije, ki se izvede že pri naročniku. Samo naročnik tako ve, na katero konkretno osebo se nanaša določena vrednost ali podatkovni niz v aplikaciji, stranka pa tega ne more vedeti (razen če bi ji sam naročnik v nasprotju s pogodbo, ki smo jo pripravili, to razkril). Ko je bila izvedena ta sprememba, je tudi prodaja stekla. Tudi sami smo bili presenečeni.”

A ta izvedba anonimizacije na ravni aplikacije ni bila zastonj.

“Seveda ne. Nihče ne pravi, da je zagotavljanje skladnosti z GDPR poceni ali enostavno. Je pa in bo vedno bolj nuja, tako kot plačevanje davkov ali okoljskih dajatev. Po moji oceni podjetje, ki ne bo resno jemalo tega področja ter vprašanja zasebnosti uporabnikov na splošno, niti v nekaj letih ne bo moglo biti poslovno uspešno. Ne toliko zaradi glob – čeprav si (do) 4 % globalnega letnega prometa najbrž lahko privošči plačati le malo podjetij, pač pa predvsem zaradi izgube zaupanja kupcev.”

Najboljši nasvet ali dva, ki ju lahko daste za konec?

“Podajte se na pot zagotavljanja skladnosti z uredbo … včeraj! Najtežje je začeti, takoj zatem gre lažje. Čakanje na ZVOP-2 zagotovo ni pravi pristop. Če imate izzive in dileme, se posvetujte s strokovnjaki. Vključite svoje IT-jevce, a ne pustite jim edine in zadnje besede.”