TECHTERRA SERVICES

+420 606 200 600

GDPR A KYBERNETICKÁ BEZPEČNOST

Dvě strany téže mince aneb proč nestačí jen souhlas

Na první pohled jde o dvě různá témata – ochranu osobních údajů (GDPR) a kybernetickou bezpečnost. Ve skutečnosti však tvoří nerozlučný celek.

Pro organizaci, která spravuje data klientů, pacientů, zaměstnanců nebo občanů, není možné být v souladu s GDPR, aniž by byla zajištěna odpovídající úroveň kybernetické bezpečnosti.

A platí to i naopak – jakákoliv technologická bezpečnost je málo, pokud nemáte právní rámec, procesy a dokumentaci. V době cloudu, práce na dálku, BYOD a AI hrozeb typu deepfake se obě oblasti stávají základními pilíři digitální důvěry.

GDPR a bezpečnost – co říká zákon?

Obecné nařízení o ochraně osobních údajů (GDPR) ve článku 32 ukládá správcům a zpracovatelům povinnost:

“zajistit odpovídající úroveň zabezpečení”, včetně:

  • pseudonymizace a šifrování,

  • zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů,

  • schopnosti obnovy dat a systémů po incidentu,

  • pravidelného testování a vyhodnocování přijatých opatření.

Tedy: GDPR přímo vyžaduje implementaci technických a organizačních opatření kybernetické bezpečnosti. Neexistuje “právní” a “technická” stránka zvlášť. Je to společná odpovědnost.

Kde se GDPR a kyberbezpečnost přímo protínají?

🔐 Řízení přístupů a identit

  • K osobním údajům (např. v HR systému) nesmí mít přístup nikdo, kdo jej nepotřebuje.

  • Platí princip “need-to-know” + vícefaktorové ověření (MFA).

  • Auditovatelnost přístupů (logy) je klíčová.

☁️ Zabezpečení cloudových služeb

  • GDPR nezakazuje cloud, ale ukládá:mít zpracovatelské smlouvy (DPA),vědět, kde data fyzicky jsou (ideálně EU),řídit bezpečnost a přenos dat (šifrování, certifikace).

  • Viz i souvislosti s DORA, ISO 27001, TISAX.

🏡 Bezpečný home office a BYOD

  • Osobní data (např. smlouvy, výsledky testů, fotky) nelze zpracovávat na nechráněném zařízení nebo otevřené Wi-Fi.

  • MDM (správa zařízení), VPN, šifrování, monitoring = nutnost.

  • Firemní politika BYOD musí zahrnovat i ochranu dat dle GDPR.

🧠 Školení a povědomí uživatelů

  • GDPR vyžaduje, aby s daty nakládaly pouze vyškolené osoby.

  • Kybernetická bezpečnost je tedy i otázkou lidského faktoru – schopnosti rozpoznat phishing, deepfake, sociální inženýrství.

🔄 Incidenty a hlášení úniků dat

  • Únik osobních údajů je podle GDPR považován za bezpečnostní incident.

  • Do 72 hodin je třeba jej nahlásit ÚOOÚ (případně i subjektům údajů).

  • To vyžaduje:plán reakce na incidenty,monitoring,schopnost rychle eskalovat a analyzovat dopad.

Povinnosti stran – kdo je za co odpovědný?

✅ Správce osobních údajů

  • Určuje účel a prostředky zpracování.

  • Zajišťuje bezpečnost, školení, dokumentaci, odpovídá za výběr poskytovatelů.

  • Musí vést záznamy, zajišťovat práva subjektů údajů, provádět DPIA (hodnocení dopadu).

✅ Zpracovatel (např. IT firma, cloud provider)

  • Provádí zpracování jménem správce.

  • Musí mít smlouvu, řídit přístup, implementovat ochranu.

  • Je spoluodpovědný za incidenty.

  • Musí povolit audit, spolupracovat s dozorovým úřadem.

GDPR, NIS2 a ISO 27001 – co mají společného?

Oblast

GDPR

Ochrana osobních údajů ✅ 
Řízení přístupů a identit  ✅
Incident management     ✅
Risk management            ✅ (DPIA)
Dokumentace a audity    ✅
Dodavatelské riziko         ✅ (smlouvy)

Oblast

NIS2

Ochrana osobních údajů 🔸 (implikace)
Řízení přístupů a identit  ✅
Incident management     ✅ (72/24h)
Risk management            ✅ 
Dokumentace a audity    ✅
Dodavatelské riziko         ✅ 

Oblast

ISO 27001

Ochrana osobních údajů 🔸 
Řízení přístupů a identit  ✅
Incident management     ✅ 
Risk management            ✅ 
Dokumentace a audity    ✅
Dodavatelské riziko         ✅ 

= přímý požadavek
🔸 = nepřímo obsaženo / vyžadováno ve specifických případech

Jak přistoupit ke kyberbezpečnosti
v kontextu GDPR?

1. Zavést ISMS (např. dle ISO/IEC 27001)

  • Poskytne rámec pro bezpečnostní politiku, řízení aktiv, přístupů, incidentů a auditů.

  • Zajistí systematické zajištění souladu s GDPR i NIS2.

2. Mapovat osobní údaje a datové toky

  • Vědět, jaká data zpracováváte, kde, proč a kdo k nim má přístup.

3. Zavést technická a organizační opatření (TOMs)

  • VPN, šifrování, zálohování, školení, monitoring, logging, klasifikace dat.

4. Provádět pravidelné interní audity

  • Přezkoumat nejen techniku, ale i lidské chování, procesy a smluvní vztahy.

5. Zajistit podporu a reakci 24/7

  • Incident se nestane v pondělí dopoledne.

  • Rychlá eskalace a profesionální reakce může minimalizovat právní i reputační dopad.

Závěr - neoddělujme právo a technologie

GDPR není jen papírová směrnice. Je to legislativní rámec, který vyžaduje aktivní, technicky podložený přístup k ochraně dat.

Kybernetická bezpečnost není jen o firewallech a antivirech. Je to komplexní řízení rizik, procesů a odpovědnosti – s dopadem na právní postavení organizace.

Pomáháme organizacím:

  • propojit GDPR, NIS2, ISO 27001 a další standardy,

  • nastavit efektivní ISMS,

  • řídit a dokumentovat bezpečnostní opatření,

  • proškolit zaměstnance,

  • auditovat dodavatele i cloud,

  • reagovat na bezpečnostní incidenty.

GDPR + kybernetická bezpečnost = ochrana dat, důvěra zákazníků a udržitelnost vašeho podnikání.