aneb Kde končí pověřenectví a začíná kyberbezpečnost
Hranice mezi jednotlivými rolemi se v každodenním provozu obcí a škol často rozplývají. Ne vždy je jasné, zda konkrétní otázku řeší ještě pověřenec pro ochranu osobních údajů, nebo už spadá do oblasti IT a kyberbezpečnosti. Právě ve chvílích, kdy je potřeba opora a jistota, mohou následující řádky nabídnout přehledné vymezení rolí i doporučení, jak si úkoly efektivně předávat. Pod pojmem „choreografie“ je zde myšlena praktická koordinace a vzájemný respekt mezi oběma rolemi. A je dobré mít na paměti, že skutečným choreografem je v konečném důsledku správce, tedy vedení obce nebo školy, které určuje pravidla hry a zadání. Pověřenec hlídá soulad s právem a kyber tým převádí požadavky do technického provedení.
Kdo je pověřenec a v čem spočívá jeho pohled
Na jedné straně stojí pověřenec pro ochranu osobních údajů. Jeho prostředím jsou právní předpisy, zásady zpracování, práva subjektů údajů, dokumentace a vysvětlování. Dbá na to, aby se s osobními údaji zacházelo zákonně, přiměřeně a s respektem k člověku. Pověřenec se dívá na procesy očima občana nebo žáka a ptá se, zda je daný zásah do soukromí opodstatněný a zda je pro něj právní opora.
Kdo stojí na technické straně: kyberbezpečnostní role
Na druhé straně stojí role kyberbezpečnosti, které mohou mít v praxi různá označení. Větší organizace mají manažera kybernetické bezpečnosti nebo ředitele informační bezpečnosti (CISO), menší obce a školy často pracují s kombinací interního ajťáka a externích dodavatelů. Jejich svět je technický. Zajímají se o sítě, servery, koncová zařízení, cloudové služby, zálohování, plány obnovy a odolnost vůči útokům.
Dva úhly pohledu, jeden cíl
Přestože se oba světy mohou jevit jako vzdálené, ve skutečnosti sledují podobné situace z odlišných úhlů. Pověřenec se ptá, zda konkrétní řešení neohrožuje soukromí lidí a zda je v souladu s GDPR. Kyber tým se ptá, zda je řešení bezpečné z hlediska celé infrastruktury a provozu organizace. Cíl je společný. Nemá dojít k úniku dat, provoz obce nebo školy má zůstat funkční a občané i žáci se musí na instituci spolehnout.
Kdo určuje choreografii: role správce
Správce, tedy starosta, ředitelka nebo jiné vedení organizace, není a nemá být jen pasivním příjemcem doporučení. Právě správce rozhoduje, jaké informační systémy pořídí, jaké údaje bude zpracovávat, jaká opatření zvolí a v jaké podobě. Zároveň nese odpovědnost za důsledky. Pověřenec ani kyber tým nejsou držiteli finální odpovědnosti, jejich úkolem je upozorňovat, vysvětlovat a doporučovat. Pověřenec popisuje právní rizika, kyber tým technická rizika a na základě obou pohledů má správce činit informovaná rozhodnutí. Pokud se pověřenec nechá vtáhnout do role, kdy rozhoduje za vedení, přebírá na sebe břemeno, které mu nenáleží. Pokud naopak vedení předá veškerá rozhodnutí IT oddělení s tím, že to nějak vyřeší, vzdává se vlastní role choreografa.
Jádro práce pověřence: přehled, proporcionalita a právní tituly
Co tedy patří do jádra práce pověřence. V prostředí obcí a škol je to především přehled o všech zpracováních osobních údajů od personální agendy přes evidenci žáků a rodičů až po kamerové systémy a docházkové aplikace. Pověřenec posuzuje právní tituly, tedy na jakém právním základě organizace údaje zpracovává a zda zvolený titul odpovídá účelu. Sleduje proporcionalitu, tedy zda se sbírají jen nezbytné údaje a zda nejsou uchovávány déle, než je nutné. Radí při návrhu nových projektů a služeb, navrhuje úpravy v dokumentaci, pomáhá s informační povinností a zajišťuje, aby organizace zvládala i výkon práv subjektů. Pokud dojde k porušení zabezpečení osobních údajů, posuzuje dopad na dotčené osoby a pomáhá rozhodnout, zda a jak incident oznámit dozorovému úřadu a dotčeným.
Kde začíná úloha kyber týmu: technická opatření v praxi
Pověřenec může a má mluvit i do bezpečnostních opatření, ale vždy optikou ochrany osobních údajů. Může například trvat na tom, že u systému s citlivými údaji musí být zavedené logování přístupů nebo že databáze musí být šifrovaná. Nemá však být tím, kdo tyto mechanismy sám technicky nastavuje a spravuje. Tam už vstupuje do hry kyber tým.
Kyberbezpečnostní role naopak zajišťují ochranu všech informací, nejen osobních údajů. Týká se to technické bezpečnosti sítě, správného nastavení serverů, správy identit a přístupů, aktualizací, záloh a plánů obnovy. U povinných subjektů podle zákona o kybernetické bezpečnosti jde také o plnění konkrétních povinností, které vyplývají z tohoto zákona a jeho prováděcích předpisů. Pro IT specialistu je přirozené dívat se na problém očima dostupnosti služby, integrity dat a odolnosti vůči útokům, tedy třemi klasickými pilíři informační bezpečnosti. Práva subjektů údajů a právní tituly zpracování nejsou jeho každodenním chlebem. Proto se bez pověřence neobejde tam, kde se technické opatření dotýká soukromí lidí.
Kamera jako modelová situace: střet rolí v praxi
Jedním z nejčastějších míst, kde se role pověřence a kyber týmu potkávají, je zavádění kamerového systému. Škola chce monitorovat vstup do budovy, obec dvůr technických služeb nebo příjezd ke sběrnému dvoru. Pověřenec zde řeší, zda je kamera nezbytná, jaký právní základ využít, jak budou osoby informovány a jak dlouho se záznam bude uchovávat. Kyber tým současně řeší volbu zařízení, způsoby přenosu a uložení záznamu, nastavení přístupových práv, pravidla pro aktualizace a zálohování. Pokud spolupracují od začátku, vznikne řešení, které je přiměřené a technicky bezpečné. Pokud jedna role druhou obejde, končí to buď zbytečně invazivním systémem, nebo naopak technicky podceněným řešením.
Incident jako zkouška koordinace
Dalším typickým místem, kde se světy prolínají, jsou incidenty. Představme si klasický scénář. Zaměstnanec na obecním nebo školním počítači otevře přílohu phishingového e mailu. Dojde k zašifrování dat, případně k jejich odcizení. Pro kyber tým je to bezpečnostní incident, který začne řešit. Izoluje napadené stanice, zjišťuje, jak k útoku došlo, aktivuje zálohy, komunikuje s dodavateli. Zároveň posuzuje, zda má organizace povinnost incident nahlásit podle předpisů kybernetické bezpečnosti. Pověřenec mezitím zjišťuje, jaké osobní údaje byly incidentem dotčeny, kolika osob se týká, a zda hrozí riziko pro jejich práva. Na základě toho doporučuje, jestli je nutné incident oznámit Úřadu pro ochranu osobních údajů a zda mají být informovány i dotčené osoby. Po skončení akutní fáze se oba pohledy setkají při společném vyhodnocení a návrhu nápravných opatření. Teprve spojení právního a technického pohledu umožní, aby se organizace z incidentu poučila a snížila pravděpodobnost opakování.
Cloudová řešení a potřeba dvojího pohledu
Podobně to vypadá i u výběru cloudového systému. Škola si pořizuje novou aplikaci pro správu agendy žáků, komunikaci s rodiči a evidenci úkolů. Pověřenec se zajímá o to, jaké údaje bude systém zpracovávat, kdo je správcem a kdo zpracovatelem, kde jsou data uložená a jak jsou nastavené zpracovatelské smlouvy. Kyber tým zkoumá, jak je systém technicky zabezpečen, jak probíhá autentizace uživatelů, jak funguje zálohování a jaké má dodavatel bezpečnostní standardy. Pokud jeden z těchto pohledů chybí, vedení školy nevidí celý obrázek. Buď může mít smlouvu v souladu s GDPR, ale technicky slabé řešení, nebo naopak robustní technickou službu bez jasně upravené odpovědnosti za zpracování osobních údajů.
Hranice pověřence: proč je důležitá nezávislost
Z pohledu pověřence je důležité umět si nastavit hranice. Pokud je současně vedoucím IT nebo systémovým administrátorem, dostává se do střetu zájmů. Jako pověřenec má totiž kontrolovat úroveň zabezpečení, kterou si jako IT pracovník sám nastavuje. To je situace, kterou legislativa považuje za problematickou. Stejně tak by neměl být pověřenec volán k řešení každého technického výpadku. Výpadek internetu nebo porucha serveru je jeho problémem pouze tehdy, pokud má dopad na osobní údaje, například ztrátou dat bez možnosti obnovy nebo jejich zpřístupněním nepovolaným osobám.
Když IT běží bez pověřence: skryté riziko
Druhá strana mince je naopak situace, kdy IT projekty běží bez vědomí pověřence. Kdykoliv organizace zavádí systém, který pracuje s osobními údaji, měl by u toho být i pověřenec. V ideálním případě už ve fázi záměru, kdy může upozornit na zásady minimalizace, posoudit vhodný právní základ a nastavit rozumné lhůty uchovávání. Pokud je DPO postaven před hotovou věc, často už lze napravit jen detaily, zatímco zásadní parametry jsou dané smlouvou nebo technickou implementací.
Jak spolu mluvit: právo vs. technologie v praxi
Pro každodenní praxi z toho plyne několik prostých věcí. Pověřenec potřebuje umět mluvit s IT a nebát se přiznat, že některým technickým detailům nerozumí. Stačí být schopen převést právní požadavek do věty, které ajťák rozumí. Například říci, že u tohoto systému musí být možné zjistit, kdo kdy přistupoval k osobním údajům, nebo že konkrétní databáze má být šifrovaná, protože obsahuje zvlášť citlivé informace. Zároveň si musí hlídat, aby nerozhodoval za vedení. Jeho úkolem je vysvětlovat rizika, navrhovat možná řešení a občas i trvat na tom, že určité minimum nelze obejít. Není ale jeho rolí podepisovat smlouvy a samostatně schvalovat investice.
Pověřenec jako partner, ne brzda
Pověřenec se zároveň nemá bát ozvat, když vidí, že ho kolegové obcházejí. Pokud se o novém systému nebo projektu dozví až z provozu, je to signál, že je potřeba změnit vnitřní komunikaci. Je na něm, aby vedení vysvětlil, že jeho včasné zapojení není formalita ani brzda, ale způsob, jak předejít problémům a dodatečným nákladům.
Závěrečná choreografie: dvě role, jeden cíl
Dva světy, jedna choreografie tedy neznamená, že z pověřence má být technik a z technika právník. Znamená to, že oba vědí, kde jejich kompetence začínají a kde končí, kde se potkávají a kde si předávají štafetu. A že správce tento tanec řídí vědomě, s respektem k oběma rolím. Pokud se to podaří, nebudou obce a školy reagovat na incidenty chaoticky, ale budou mít svůj scénář. Pověřenec v něm bude mít jasné místo, kyber tým také a společně dokážou udržet citlivé údaje i informační systémy v takové kondici, kterou od nich občané a žáci právem očekávají.
Zuzana Krausová
Autorka je pověřenkyně pro ochranu osobních údajů