Software pro GDPR je označení pro širokou škálu různého software a aplikací, které podporují nařízení GDPR, umožňují jeho zavedení nebo splnění jeho požadavků v organizaci. Na trhu je mnoho aplikací, software a firemních řešení, které se vezou s vlnou GDPR a prohlašují o sobě, že jsou “GDPR software” nebo “software pro GDPR”. Co to ale vlastně znamená a co může pod štítek GDPR software patřit? Uvádíme zde přehled různých typů GDPR software.
Jaké typy GDPR software jsou na trhu k dispozici?
S trochou nadsázky lze říct, že téměř každý podnikový software působící v Evropě v roce 2018 využívá nálepku GDPR. Téměř každý druhý výrobce tvrdí, že jeho “software podporuje GDPR” nebo že je “GDPR ready”. Většinou je to pravda, co to ale ve skutečnosti znamená? Co znamená, že nějaký software nebo řešení je v souladu s GDPR? Celkem nesourodou skupinu různých řešení a aplikací můžeme rozdělit do zhruba šesti základních skupin.
- Software, který bezpečně uchovává, zpracovává nebo přenáší osobní údaje
- Software, který přenáší osobní údaje
- Bezpečnostní software, který chrání počítače, počítačovou síť nebo chrání jiný software nebo jiný majetek organizace
- Software, který pomáhá zhodnotit připravenost organizace na GDPR (GDPR assessment software)
- Software, který pomáhá prokazovat shodu s GDPR (GDPR compliance software)
- Software, který pomáhá zavádět změny v souvislosti s GDPR (GDPR change management software)
Každý z uvedených typů software určitým způsobem pomáhá splnit požadavky GDPR. První i druhá skupina je de-facto nezbytná pro každou organizaci, protože každá organizace musí udržovat údaje minimálně o svých zaměstnancích a téměř každá organizace osobní údaje někam zasílá. Co jednotlivé typy software znamenají ve vztahu k osobním údajům a jejich ochraně je rozepsáno v následujících kapitolách.
Software, který bezpečně uchovává, zpracovává nebo přenáší osobní údaje
Pokud není organizace čistě papírová (tedy neuchovává všechny své informace v šanonech a papírových evidencích), pak má zcela jistě nějakou firemní aplikaci, která by měla splnit požadavky na uchovávání osobních údajů. Vzhledem k tomu, že osobní údaje vedou organizace a firmy především o zaměstnancích (osobní údaje zaměstnanců), potenciálních zaměstnancích (osobní údaje uchazečů o práci), zákaznících (osobní údaje zákazníků) a dodavatelích (osobní údaje dodavatelů), tak do této skupiny patří většina velkých podnikových řešení, které uchovávají, zpracovávají nebo přenášejí údaje nebo data o jedné z výše uvedených skupin. Patří sem tedy velká skupina firemních aplikací jako jsou:
- Personální software a software pro řízení lidských zdrojů
- ERP Software a ERP systémy
- CRM systémy a software
- Účetní software
- Mzdový software
Může to být ale i jednoduchá evidence v excelu. Záleží na velikosti a potřebách organizace.
Co musí takový software z pohledu GDPR zajistit?
Požadavky kladené GDPR jsou především na bezpečné uchovávání osobních dat, a to jak ve smyslu řízení přístupu k datům, čili udělením přístupu pouze oprávněným zaměstnancům (či uživatelům), tak ve smyslu ochrany proti útočníkům nebo zlodějům. Zjednodušeně řečeno jde o ochranu údajů proti neoprávněnému přístupu uvnitř firmy, ale i ochranu proti neoprávněnému přístupu a útokům zvnějšku firmy. Co to v důsledku znamená? Požadavky samotného GDPR jsou v tomto ohledu poměrně široké a nedávají konkrétní odpovědi na to, co musí takový software splnit. GDPR pouze říká, že správce a zpracovatel musí provést vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, například:
- pseudonymizace a šifrování osobních údajů
- zajištění permanentní důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování
- zajištění schopnosti včasného obnovení dostupnosti osobních údajů a přístupu k nim pro případ fyzických či technických incidentů
- zavedení procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Nařízení dále říká, že tato opatření budou provedena s přihlédnutím ke stavu techniky, nákladům provedení a povaze, rozsahu, kontextu a účelům zpracování.
V praxi to tedy znamená, že aby byl software v souladu s GDPR, nemusí nutně obsahovat pouze šifrovaná nebo pseudonymizovaná data. Navíc to, že konkrétní software splňuje všechny požadavky ještě neznamená, že v konkrétní firmě bude bezpečný. Každý software je jen tak bezpečný, jak bezpečně s ním pracují jeho uživatelé. Je to stejné jako u například u auta, sebebezpečnější auto se špatným řidičem může nabourat.
Pokud tedy nařízení neudává konkrétní standard nebo konkrétní požadavky, které by dokazovaly, že konkrétní software splňuje či nesplňuje GDPR, jak tedy poznáme, zda je software v souladu s GDPR? Vždy záleží na konkrétní situaci - co bude vyhovovat živnostníkovi, nemusí vyhovovat velké firmě. Například u malých firem, kde s osobními daty pracují jeden nebo dva lidé, může být dostačující soubor v excelu nebo dokonce jenom papírová podoba.
Vysvětleno na příkladu obyčejné excelové tabulky - pokud bude živnostník používat takovou evidenci sám a bude dodržovat další principy bezpečnosti, lze říci, že i evidence osobních údajů vedená v excelu požadavkům vyhovuje. Zcela jiná situace bude, pokud by takto fungovala velká firma, kde s evidencí osobních dat pracuje více lidí. V takovém případě je excelová evidence pro vedení osobních údajů bezpochyby nevyhovující.
Je to podobné, jako kdybychom posuzovali bezpečnost jízdního kola. Stejně jako autobus nebo dopravní letadlo, i kolo má požadavky na materiály, ze kterých musí být vyrobeno, aby bylo bezpečné. Bezpečné ovšem je, jen pokud na něm jede jeden člověk. Když se na něm bude snažit svézt pět lidí, je velká pravděpodobnost, že se jim něco nepěkného přihodí. Ani nezkušený cyklista jedoucí na bezpečném kole nemusí skončit dobře.
Podobné je to i se software - to, co je vhodné pro jednotlivce, nebude vyhovovat velké firmě. Při dodržení dalších zásad bezpečnosti může splňovat požadavky i excelová nebo papírová dokumentace, záleží vždy na konkrétní situaci, podmínkách a procesech. Požadavky na software tedy nelze vytrhnout z kontextu toho, jak a kým je používán.
Software, který přenáší osobní údaje
Sem patří různé formy komunikace a přenosu informací nebo dat - od e-mailových zpráv, přes přenášení jednotlivých souborů, komunikaci pomocí chatovacích nástrojů, až po telefonickou komunikaci nebo videokonference.
- e-mailový server a e-mailový klient
- Telefonie, přenos hlasu
- On-line komunikace - chat, skupinový chat
- Videokonference - přenos hlasu a obrazu
- Fax
- FTP, přenos souborů
Z hlediska komunikace je bezpečnost poměrně jasně daná. Na rozdíl od aplikací, které pracují uvnitř organizace, komunikace se téměř vždy odehrává směrem ven, nebo alespoň teče přes venkovní zařízení (například při telefonování dvou lidí z jedné firmy). Tím je téměř jakákoliv komunikace náchylná k odposlechu nebo narušení třetí stranou. Chránit komunikaci proti odposlechu lze samozřejmě volbou důvěryhodného poskytovatele informačních služeb, nicméně jediným bezpečným způsobem je šifrování takové komunikace tak, aby případný odposlech nebyl možný nebo aby zachycená komunikace byla pro třetí stranu k ničemu.
Například nešifrovaná a proto lehce zneužitelná a zfalšovatelná e-mailová komunikace není vhodná pro zasílání důvěrných nebo citlivých osobních dat.
Opět zde ale platí princip přiměřenosti - není nutné přestat používat nešifrovanou komunikaci, není nutné přestat používat e-maily - pro běžnou komunikaci jsou zcela dostačující. Pokud ovšem obsah takové komunikace obsahuje osobní, citlivé nebo jinak důvěrné informace, je vhodné používat nějakou formu chráněné, šifrované nebo jinak zabezpečené komunikace, jako jsou například vnitrofiremní chatovací nebo komunikační nástroje, které šifrují komunikaci na obou stranách (end-to-end šifrování). Možností je i informace a soubory neposílat, ale sdílet pomocí důvěryhodných služeb a produktů, jako jsou například různé aplikace pro týmovou spolupráci.
Bezpečnostní software
Další velkou skupinou, která pomáhá firmám naplnit požadavky GDPR, je bezpečnostní software. Sem patří veškerý software, který se stará o to, aby data nebyla vynesena, ukradena nebo aby systémy, aplikace či jiný software nebyl napaden útočníkem nebo škodlivým software. Tento typ software aktivním způsobem zajišťuje bezpečnost koncových počítačů, serverů nebo celé firemní počítačové sítě. Patří sem rozmanitá škála různých řešení, které vás chrání bez ohledu na GDPR (bez ohledu na to, jestli uchováváte a zpracováváte osobní data). Vlna GDPR dala těmto nástrojům jen další impuls k prosazení.
Bezpečnostní software všeho druhu je jistě nedílnou součástí ochrany počítačů, počítačových sítí, serverů nebo různé další komunikace tak, aby nemohlo dojít k nejrůznějším druhům útoků, včetně trestných činů, mezi které patří krádež dat, odposlech komunikace a celá řada dalších zásahů do soukromí. Využití bezpečnostního software je v podstatně nutností nejen z pohledu ochrany osobních dat, tedy GDPR, ale také ve smyslu ochrany jiných důvěrných dat, kterými firma disponuje. Bezpečnostní software chrání osobní data jak před spoluuživateli, tak před nezvanými hosty. Mezi bezpečnostní software, který pomáhá chránit osobní údaje, patří zejména:
- Antivirus (Antivirový software)
- Antispyware
- Antispam
- Antimalware
- Firewall
- Zálohovací software (Backup Software)
- Monitorovací a dohledový software
- Šifrovací software (Encryption Software) - chrání data při přenosu nebo při uchování
- Software pro šifrování komunikace
- Software pro skartaci dat
- Autentizační software
- Identity management software
- Firmware routerů a dalších aktivních síťových prvků
- Software pro sledování aktivit uživatelů
- Software pro prevenci ztráty dat (Data Loss Prevention)
- Vstupní systémy
- Kamerové a jiné bezpečnostní systémy a další
Software, který pomáhá zhodnotit připravenost organizace na GDPR (GDPR assessment software)
Další skupinou je software, který pomáhá zhodnotit připravenost organizace na GDPR. Tento typ software je založený většinou na dotazníku připravenosti jednotlivých oblastí a procesů ve firmě. Jeho vyplnění pomáhá určit slabá místa a nedostatky, které je třeba kvůli souladu s GDPR odstranit nebo napravit. Může také obsahovat průvodce se šablonami dokumentů (například smluv nebo směrnic k GDPR) nebo navrhovat další konzultační služby, které firma potřebuje.
- Zhodnocení slabin v připravenosti na GDPR
- Šablony k GDPR
Organizéry - software, který pomáhá prokazovat a řídit shodu s GDPR (GDPR compliance software)
Další velkou skupinou software jsou řešení, která pomohou prokázat shodu s nařízením GDPR. V praxi je totiž důležité nejen shody dosáhnout, ale v případě kontroly umět prokázat, že tomu tak opravdu je. Stejně tak v případě vyřizování žádostí a dotazů subjektů údajů potřebuje mít organizace po ruce dokumentaci, ze které bude vycházet, případně mít vyřešený celý management souhlasů. Tyto organizéry GDPR neřeší přímo bezpečnost dat, ale jsou důležité pro samotné prokazování shody, mapování záznamů o zpracování, řízení rizik a s nimi spojená protiopatření, hlášení bezpečnostních incidentů nebo odpovídání na dotazy a vyřizování požadavků subjektů údajů.
- Mapování dat - záznamy o zpracování údajů
- Řízení a hodnocení rizik zpracování osobních údajů
- Řízení opatření ke snížení rizik
- Vyřizování žádostí subjektů údajů
- Management souhlasů
- Ohlašování bezpečnostních incidentů dozorovému úřadu (Incident management)
- Řízení procesu a komunikace mezi správcem a zpracovatelem
Software, který pomáhá zavádět změny v souvislosti s GDPR (GDPR change management software)
Poslední skupinou jsou řešení, která pomáhají s realizací návazných opatření na GDRP. Na tento typ software, stejně jako u dvou předchozích skupin, neklade samotné GDPR žádné požadavky. Tento software má pouze pomoci správcům a zpracovatelům uřídit technické a organizační změny, které u nich nařízení vyvolalo. Podle velikosti organizace se jedná o nejrůznější řešení pro týmovou spolupráci, správu úkolů nebo i řízení projektů.
- Software pro týmovou spolupráci
- Software pro řízení úkolů (Task Management Software)
- Software pro řízení projektů (Project Management Software)