Obecné nařízení o ochraně osobních údajů (GDPR) platí v Evropské unii od května 2018 – a vztahuje se i na malé firmy s 5 zaměstnanci v Praze. Přesto řada podnikatelů stále neví, jaké konkrétní technické požadavky musí jejich IT infrastruktura splňovat. V tomto článku vám ukážeme praktický přehled toho, co GDPR vyžaduje z pohledu IT bezpečnosti, a jak jednotlivé požadavky implementovat bez zbytečných nákladů.

Co GDPR požaduje z technického hlediska

Článek 32 GDPR hovoří o „zabezpečení zpracování” a ukládá správcům i zpracovatelům osobních údajů povinnost přijmout přiměřená technická a organizační opatření. Nařízení záměrně neuvádí konkrétní technologie – místo toho vyžaduje, abyste rizika posoudili a opatření přizpůsobili povaze zpracovávaných dat.

Konkrétně článek 32 zmiňuje tyto oblasti:

• Pseudonymizaci a šifrování osobních údajů
• Schopnost zajistit důvěrnost, integritu, dostupnost a odolnost systémů
• Schopnost obnovit dostupnost osobních údajů v případě incidentu
• Pravidelné testování a hodnocení účinnosti přijatých opatření

Pro malou firmu to v praxi znamená několik konkrétních kroků, které si nyní rozebereme.

1. Šifrování dat – základ ochrany

Šifrování je jediné technické opatření, které GDPR výslovně jmenuje. Pro malou firmu to znamená:

• Šifrování disků – zapněte BitLocker (Windows) nebo FileVault (Mac) na všech firemních počítačích a noteboocích. Pokud někdo notebook ztratí, data zůstanou chráněná.
• Šifrování emailové komunikace – používejte TLS pro přenos emailů (většina moderních mailserverů to podporuje automaticky).
• HTTPS na webu – pokud sbíráte osobní údaje přes kontaktní formulář, musí být web zabezpečený SSL certifikátem.
• Šifrované zálohy – zálohy obsahující osobní údaje musí být šifrované, ať už jsou na externím disku nebo v cloudu.

Podle studie Evropské agentury pro kybernetickou bezpečnost (ENISA) je šifrování dat v klidu a při přenosu považováno za minimální standard ochrany osobních údajů.

2. Řízení přístupů – kdo se dostane k čemu

Princip „need-to-know” je základem GDPR compliance. Ne každý zaměstnanec potřebuje přístup ke všem datům. Implementujte:

• Unikátní účty pro každého zaměstnance – žádné sdílené přihlašovací údaje. Každý musí mít vlastní uživatelské jméno a heslo.
• Vícefaktorové ověření (MFA) – zejména pro přístup k systémům obsahujícím osobní údaje, emailovým schránkám a cloudovým službám.
• Oddělení oprávnění – účetní nepotřebuje přístup k CRM, obchodník nepotřebuje přístup k personálním složkám.
• Pravidelná revize přístupů – minimálně jednou ročně zkontrolujte, kdo má přístup kam, a odeberte nepotřebná oprávnění.

Více o správě hesel a MFA najdete v našem článku Jak na bezpečná hesla ve firmě.

3. Zálohování a obnova dat

GDPR vyžaduje schopnost obnovit dostupnost osobních údajů „včas” po fyzickém nebo technickém incidentu. To znamená funkční zálohovací strategii:

• Pravidlo 3-2-1 – 3 kopie dat, na 2 různých médiích, 1 kopie mimo pracoviště (cloud nebo jiná lokace).
• Automatické zálohy – ruční zálohování selhává. Nastavte automatické denní zálohy.
• Testování obnovy – záloha, kterou jste nikdy neotestovali, je k ničemu. Minimálně jednou za čtvrt roku proveďte testovací obnovu.
• Šifrování záloh – zálohy obsahují stejná data jako originály, musí být stejně chráněné.

Podrobný návod na implementaci zálohování najdete v našem článku o zálohování na cloud.

4. Zabezpečení sítě a koncových zařízení

Firemní síť je branou k osobním údajům. I malá firma musí zajistit:

• Firewall – hardwarový i softwarový. Moderní routery (např. UniFi) nabízejí pokročilý firewall i pro malé firmy.
• Antivirus / EDR řešení – na všech zařízeních. Doporučujeme centrálně spravovaná řešení jako ESET Protect, která umožňují správci sledovat stav zabezpečení celé firmy z jednoho místa.
• Aktualizace softwaru – neaktualizovaný systém je otevřenými dveřmi pro útočníky. Nastavte automatické aktualizace OS, prohlížečů a dalšího SW.
• Segmentace sítě – oddělte síť pro hosty od firemní sítě. Ideálně oddělte i IoT zařízení.

Detailní návod na zabezpečení firemních dat najdete v článku Jak zabezpečit firemní data v malé firmě.

5. Evidence zpracování a dokumentace

GDPR vyžaduje, abyste vedli záznamy o činnostech zpracování (článek 30). I když malé firmy pod 250 zaměstnanců mají částečnou výjimku, musí záznamy vést, pokud zpracování:

• Není příležitostné
• Zahrnuje citlivé údaje (zdravotní data, biometrické údaje)
• Může představovat riziko pro práva subjektů údajů

V praxi to znamená, že většina firem záznamy vést musí – protože zpracování dat o zaměstnancích a zákaznících rozhodně není „příležitostné”.

Co dokumentovat z IT pohledu:

• Jaké systémy zpracovávají osobní údaje (CRM, účetnictví, email, HR systém)
• Kde jsou data uložena (lokální server, cloud, u dodavatele)
• Kdo má přístup k jakým datům
• Jaká bezpečnostní opatření jsou implementována
• Jak probíhá zálohování a mazání dat

6. Plán reakce na bezpečnostní incident

Článek 33 GDPR ukládá povinnost oznámit narušení zabezpečení osobních údajů do 72 hodin Úřadu pro ochranu osobních údajů (ÚOOÚ). Bez připraveného plánu toto není reálné splnit.

Minimální plán reakce na incident by měl obsahovat:

1. Detekce – jak zjistíte, že k incidentu došlo (monitoring, antivirus, hlášení zaměstnanců)
2. Izolace – jak zabráníte dalšímu šíření (odpojení zařízení, změna hesel)
3. Vyhodnocení – jaká data byla zasažena, kolik subjektů je dotčeno
4. Oznámení – kdo a jak oznamuje ÚOOÚ a dotčeným osobám
5. Náprava – odstranění zranitelnosti a prevence opakování

Podle zprávy Úřadu pro ochranu osobních údajů je většina hlášených incidentů v ČR způsobena lidskou chybou nebo phishingovým útokem – tedy oblastmi, které lze preventivně řešit.

7. Školení zaměstnanců

Sebelepší technická opatření selžou, pokud zaměstnanci nevědí, jak s daty zacházet. GDPR sice explicitně školení nenařizuje, ale princip odpovědnosti (accountability) z článku 5 odst. 2 jej fakticky vyžaduje.

Školení by mělo pokrývat:

• Rozpoznání phishingových emailů a podvodných zpráv
• Správné zacházení s hesly (neposílat emailem, nelepit na monitor)
• Pravidla pro práci z domova (VPN, zabezpečená wifi)
• Postup při podezření na bezpečnostní incident
• Jak správně reagovat na žádosti subjektů údajů (právo na přístup, výmaz)

Kolik to stojí malou firmu?

Dobrá zpráva – většina technických opatření GDPR není finančně náročná:

• Šifrování disků – zdarma (BitLocker je součástí Windows Pro)
• MFA – zdarma (Microsoft Authenticator, Google Authenticator)
• Antivirus/EDR – cca 500–1 500 Kč/zařízení/rok
• Zálohovací řešení – od 200 Kč/měsíc za cloudovou zálohu
• Firewall – kvalitní router od 3 000 Kč (jednorázově)

Celkově se náklady na GDPR-compliant IT pro firmu s 10 zaměstnanci pohybují řádově v tisících korun měsíčně – což je zlomek případné pokuty, která může dosáhnout až 20 milionů EUR nebo 4 % ročního obratu.

FAQ – Nejčastější otázky

Musí malá firma jmenovat pověřence pro ochranu osobních údajů (DPO)?

Ne automaticky. DPO musí jmenovat orgány veřejné moci a firmy, jejichž hlavní činností je pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu, nebo zpracování citlivých údajů ve velkém rozsahu. Běžná malá firma s 10 zaměstnanci DPO jmenovat nemusí.

Stačí mít antivirus pro splnění GDPR?

Ne. Antivirus je jen jedním z mnoha opatření. GDPR vyžaduje komplexní přístup zahrnující šifrování, řízení přístupů, zálohy, dokumentaci a školení.

Co se stane, když malá firma GDPR nedodržuje?

ÚOOÚ může uložit pokutu až do výše 20 milionů EUR (nebo 4 % celosvětového ročního obratu). V praxi jsou pokuty pro malé firmy nižší, ale i pokuta v řádu statisíců korun může být pro malou firmu existenční. Navíc hrozí poškození reputace a ztráta důvěry zákazníků.

Platí GDPR i pro živnostníky?

Ano. GDPR se vztahuje na každého, kdo zpracovává osobní údaje v rámci své ekonomické činnosti – bez ohledu na právní formu.

Shrnutí: Co udělat hned

Pokud jste s GDPR compliance teprve začínáte, zaměřte se na tyto kroky v tomto pořadí:

1. Zapněte šifrování disků na všech firemních zařízeních
2. Aktivujte MFA pro všechny firemní účty
3. Nastavte automatické zálohy s pravidlem 3-2-1
4. Omezte přístupy k datům na principu need-to-know
5. Připravte plán reakce na bezpečnostní incident
6. Proškolte zaměstnance v základech kybernetické bezpečnosti

Potřebujete pomoc s nastavením IT bezpečnosti ve vaší firmě? Nabízíme bezplatný IT audit, při kterém zkontrolujeme stav vašeho zabezpečení a navrhneme konkrétní kroky pro GDPR compliance. Kontaktujte nás nebo volejte na 228 222 752.