Prepojenie GDPR a zákona o kybernetickej bezpečnosti: Prečo nestačí riešiť každú oblasť samostatne?
V súčasnom digitálnom ekosystéme sa slovenské firmy často dopúšťajú strategickej chyby: vnímajú ochranu osobných údajov (GDPR) a kybernetickú bezpečnosť (zákon č. 69/2018 Z. z.) ako dva izolované svety. Zatiaľ čo GDPR je vnímané skôr ako administratívna záťaž spojená s personálnym oddelením a marketingom, zákon o kybernetickej bezpečnosti (ZoKB) sa považuje za čisto technickú záležitosť IT oddelenia. Pravdou však je, že tieto dva právne rámce sú neoddeliteľne prepojené a tvoria spoločný štít vašej firmy. V tomto článku sa pozrieme pod povrch bežných školení a ukážeme si, kde presne sa tieto regulácie stretávajú, prečo je ich integrácia kľúčová pre prežitie podniku a aké konkrétne kroky musíte podniknúť, aby ste sa vyhli drakonickým pokutám z oboch strán. Pochopenie tejto synergie vám umožní vybudovať robustný systém, ktorý chráni nielen súkromie jednotlivcov, ale aj integritu vašich kľúčových služieb.
Článok 32 GDPR ako most k zákonu o kybernetickej bezpečnosti
Mnoho manažérov prehliada fakt, že samotné nariadenie GDPR v rámci svojho článku 32 priamo vyžaduje implementáciu primeraných technických a organizačných opatrení na zaistenie úrovne bezpečnosti. Tu sa GDPR prestáva pýtať na súhlasy a začína hovoriť jazykom IT špecialistov. Zákon o kybernetickej bezpečnosti ide ešte hlbšie a definuje konkrétne bezpečnostné štandardy, ktoré musia prevádzkovatelia základných služieb a poskytovatelia digitálnych služieb spĺňať.
Prepojenie spočíva v tom, že ak zlyhá technické zabezpečenie definované v ZoKB, takmer vždy dôjde k porušeniu ochrany osobných údajov podľa GDPR. Ak útočník prenikne do vašej siete pre slabé šifrovanie (porušenie ZoKB), automaticky dochádza k neoprávnenému prístupu k údajom (porušenie GDPR). V praxi to znamená, že:
- Bezpečnostné opatrenia prijaté podľa zákona o KB (napr. segmentácia sietí, riadenie prístupov) priamo napĺňajú požiadavky GDPR na integritu a dôvernosť údajov.
- Analýza rizík by mala byť spoločná – nemôžete efektívne posúdiť riziko pre práva fyzických osôb (DPIA), ak nepoznáte technické zraniteľnosti svojej infraštruktúry.
- Kontinuita prevádzky, ktorú vyžaduje zákon o KB, je kľúčová aj pre GDPR, ktoré vyžaduje schopnosť včas obnoviť dostupnosť osobných údajov v prípade incidentu.
Dvojité ohlasovanie incidentov: Pasca na nepripravených
Jedným z najkritickejších bodov prepojenia oboch legislatív je proces hlásenia kybernetických bezpečnostných incidentov. Tu nastáva moment, kedy firma musí konať extrémne rýchlo a koordinovane na dvoch frontoch. Featured snippet: Aký je rozdiel v nahlasovaní? Kým GDPR vyžaduje nahlásenie porušenia ochrany údajov Úradu na ochranu osobných údajov SR do 72 hodín, zákon o kybernetickej bezpečnosti ukladá povinnosť hlásiť incident Národnému centru kybernetickej bezpečnosti (SK-CERT) bezodkladne, spravidla hneď po jeho zistení.
Problémom je, že nie každý kybernetický incident je zároveň porušením GDPR, a naopak. Ak však dôjde k zašifrovaniu databázy zákazníkov ransomvérom, musíte komunikovať s dvoma rôznymi dozornými orgánmi s rôznymi formulármi a časovými rámcami. Nesúlad v poskytnutých informáciách medzi týmito úradmi môže viesť k podozreniu z neodbornosti alebo snahy o zakrytie rozsahu škôd, čo zvyšuje riziko kontroly.
3 hlavné rozdiely v zameraní, ktoré musíte zosúladiť
Napriek prepojeniu majú tieto zákony odlišné priority, ktoré musíte vo svojej stratégii vyvážiť. Ich pochopenie vám pomôže pri prioritizácii investícií do bezpečnosti:
- Objekt ochrany: GDPR chráni konkrétneho človeka a jeho súkromie. Zákon o KB chráni stabilitu štátu, ekonomiku a kontinuitu poskytovaných služieb (napr. dodávku elektriny alebo fungovanie e-shopu).
- Dôsledky výpadku: Ak vám uniknú e-maily klientov, je to problém GDPR. Ak vám útok vyradí rezervačný systém na tri dni, je to primárne problém kybernetickej bezpečnosti, aj keby k úniku údajov nedošlo.
- Rozsah kompetencií: Kým GDPR sa vzťahuje na takmer každú firmu spracúvajúcu údaje, zákon o KB sa cielene zameriava na subjekty, ktorých výpadok by mal dopad na spoločnosť (hoci s príchodom smernice NIS2 sa tento okruh dramaticky rozširuje aj na stredne veľké podniky).
Kolízia rolí: Môže byť DPO zároveň Manažérom kybernetickej bezpečnosti?
Toto je otázka, ktorú odborníci často obchádzajú. Podľa zákona o kybernetickej bezpečnosti musí mať prevádzkovateľ základnej služby určenú rolu Manažéra kybernetickej bezpečnosti (MKB). Zároveň GDPR vyžaduje pre mnohé subjekty Zodpovednú osobu (DPO). Hoci sa zdá efektívne spojiť tieto funkcie do jednej osoby, legislatíva a aplikačná prax to neodporúčajú kvôli konfliktu záujmov.
MKB sa zameriava na technickú odolnosť systémov a často navrhuje opatrenia, ktoré môžu byť v rozpore s minimalistickým prístupom GDPR (napr. detailný monitoring aktivity zamestnancov v sieti). DPO musí naopak dohliadať na to, aby boli práva zamestnancov a klientov zachované. Tieto dve roly by mali fungovať v partnerskom vzťahu: MKB navrhuje „ako“ veci zabezpečiť technicky a DPO posudzuje „či“ je to v súlade s právom na súkromie. Ak vo vašej firme tieto dve osoby nekomunikujú, vaša dokumentácia je pravdepodobne len mŕtvym papierom, ktorý pri prvej kontrole neobstojí.
Dodávateľský reťazec ako najslabší článok oboch svetov
Moderná firma sa nezaobíde bez cloudových služieb, externých IT správcov či mzdových účtovníkov. Z hľadiska GDPR sú to vaši sprostredkovatelia, s ktorými musíte mať uzavretú zmluvu podľa článku 28. Z hľadiska zákona o kybernetickej bezpečnosti sú to dodávatelia služieb, ktorí môžu predstavovať bezpečnostné riziko pre vašu infraštruktúru.
Odborníci často zabúdajú zdôrazniť, že vaše previerky dodávateľov (due diligence) musia byť spoločné. Pri výbere nového softvéru nestačí preveriť, či je v súlade s GDPR. Musíte preveriť aj to, kde sú dáta fyzicky uložené, akú majú úroveň šifrovania a či dodávateľ spĺňa certifikácie ako ISO 27001. Ak váš dodávateľ nespĺňa štandardy kybernetickej bezpečnosti, automaticky ohrozuje vašu zhodu s GDPR. V zmluvách by ste preto mali trvať na doložkách, ktoré pokrývajú obe oblasti súčasne – od povinnosti hlásiť incidenty až po právo na audit bezpečnosti.
Efektívna správa moderného podniku si vyžaduje opustenie silového myslenia, kde ochrana osobných údajov a technické zabezpečenie fungujú ako samostatné ostrovy. Ako sme si ukázali, GDPR a zákon o kybernetickej bezpečnosti sú dve strany tej istej mince, ktorou je digitálna dôvera a kontinuita podnikania. Integrácia týchto dvoch oblastí do jedného funkčného celku prináša nielen vyššiu mieru bezpečnosti, ale v konečnom dôsledku aj úsporu nákladov na duplicitné procesy a administratívu. V čase narastajúcich ransomvérových útokov a sprísňujúcej sa legislatívy, akou je napríklad nová smernica NIS2, už nie je otázkou, či tieto oblasti prepojiť, ale ako rýchlo to dokážete zrealizovať.
Vytvorenie spoločnej stratégie riadenia rizík, v ktorej spolupracuje IT oddelenie, právnici a manažment, je jedinou cestou k skutočnej odolnosti. Nezabúdajte, že dozorné orgány pri kontrolách čoraz častejšie skúmajú nielen dokumentáciu, ale reálne prepojenie procesov v praxi. Ak dokážete preukázať, že vaše technické opatrenia priamo podporujú ochranu súkromia a že vaše procesy hlásenia incidentov sú zosúladené, nielenže minimalizujete riziko pokút, ale budujete si aj neoceniteľnú povesť bezpečného a spoľahlivého partnera na trhu. Investícia do synergie medzi GDPR a kybernetickou bezpečnosťou sa tak stáva vašou najlepšou poistkou v neistom digitálnom svete.
