Směrnice NIS2 a ochrana osobních údajů: Souvislosti a dopady na GDPR
Během posledních let bylo v oblasti ochrany osobních informací opakovaně zmiňováno nařízení General Data Protection Regulation, známé pod zkratkou GDPR. Pravděpodobnost, že byste doposud o tomto evropské nařízení neslyšeli, je v podstatě mizivá. Každý z nás jako fyzická osoba pohybující se v Evropě je nařízením ovlivněn a prakticky každý den s ním přichází do styku. Nepochybně jste alespoň jednou podepisovali například dokument v práci nebo ve škole, který pojednával o sběru, ochraně a využití vašich osobních informací. Z našich osobních informací se díky GDPR stala chráněná komodita a nařízení určitým způsobem také nastavilo zrcadlo jiným částem světa v otázkách ochrany osobních informací.
Nyní však do hry přichází také námi opakovaně zmiňovaná směrnice NIS2. Často se lze setkat se snahou porovnat právě GDPR a NIS2. Je pak dokonce nazývána jako “GDPR na steroidech”. V některých ohledech se skutečně není co divit, nicméně je nutné takové tvrzení uvést na pravou míru. V čem jsou tedy podobnosti těchto dvou legislativních norem? A proč nám nestačí pouze jeden z nich, když si jsou údajně natolik podobné?
NIS a GDPR, aneb hrušky a jablka
Vztah mezi GDPR a NIS2 bychom radši než podobností, nazvali spíše souvislostí. Často se můžeme setkat právě s mylnou snahou srovnávat tyto normy vedle sebe. Mylně především pro to, že každá z norem se zaměřuje na diametrálně odlišné skupiny informací. Neznamená to však, že jsou normy od sebe naprosto oddělené. Pravdou je, že se vzájemně poměrně šikovně doplňují. Důležité je tak pochopit, co se pod oběma právními úpravami skrývá. Stavebním kamenem GDPR je ochrana základních práv a svobod občanů v podobě práva na nedotknutelnost osoby a jejího soukromí. Směrnice NIS2 pak spíše než ochranu občanů sleduje ochranu právnických osob s přidruženým know-how, technologiemi a dalšími chráněnými zájmy, kdy komplexním zastřešujícím tématem je odolnost a konkurenceschopnost celého evropského systému. Neznamená to tedy, že z obsahu NIS2 by byly osobní údaje vyloučeny. Spíše jen nejsou explicitně zmiňovány. Na právnické osoby, o kterých NIS2 prioritně hovoří, jsou totiž standardně navázány data fyzických osob, ať už v podobě dat zaměstnanců nebo například zákazníků. Tudíž apeluje-li NIS2 na kompletní ochranu dat, které má například firma v držení, zasahuje definice směrnice i do ochrany dat obsahující osobní údaje.
Dvě právní úpravy neznamenají dvojnásobek problémů
Je vhodné zmínit to, že obě právní úpravy byly tvořeny takovým způsobem, aby do sebe takříkajíc zapadaly, ale zároveň se nepřekrývaly a netvořily tak více problémů. Představme si následující situaci. Vzhledem k tomu, že osobní informace uživatelů jsou standardně žádanou komoditou, dojde k útoku na databázi osobních informací zákazníků a následkem neadekvátní ochrany dojde k úniku těchto informací. V takovém případě by za únik informací byla právně zodpovědná ona právnická osoba, která měla data v držení, a to jak v mantinelech GDPR, tak NIS2. Právnická osoba je dle NIS2 v takovém případě zodpovědná útok nahlásit. A to nejen z toho kreditu, aby mohl být útok prošetřen, ale také proto, aby se předešlo zdvojení trestu. Osobní informace totiž v první řadě spadají do kompetencí GDPR. Právní osoba by tak byla zodpovědná za únik dat a následně potrestána dle nařízení GDPR, nikoli dle obsahu směrnice NIS2, a už v žádném případě dle GDPR a NIS2 současně ve vztahu k jednomu incidentu.
Prolínání GDPR a NIS2 v praktické rovině
Co tedy existence obou norem znamená pro mě jako garanta kybernetické bezpečnosti firmy nebo instituce? Obsah GDPR lze shrnout do několika zásad:
- Zákonnost, korektnost, transparentnost
Zpracování osobních údajů na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně
- Omezení účelu
Shromažďování osobních údajů pro určité a legitimní účely, nesmějí být zpracovávány neslučitelným způsobem s těmito účely
- Minimalizace údajů
Osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
- Přesnost
Osobní údaje musí být přesné
- Omezení uložení
Uložení osobních údajů by mělo umožňit identifikaci subjektu jen po dobu nezbytnou pro dané účely, pro něž jsou zpracovávány
- Integrita a důvěrnost
Technické a organizační zabezpečení osobních údajů
V kontextu zásad NIS2 je pak prakticky důležitá primárně poslední šestá zásada “integrita a důvěrnost”. Ta totiž hovoří o tom, že osobní údaje by měly být adekvátně technicky a organizačně zabezpečené. Jak však takové zabezpečení má vypadat v případě ukládání dat, včetně těch elektronických, již GDPR konkrétně nedefinuje.
V tuhle chvíli přichází na řadu NIS2, které určuje, co a jakým způsobem je právnická osoba povinna zajistit pro ochranu systému subjektů, včetně dat a to i těch osobních. O tom, jaké povinnosti jsou všechny subjekty povinny naplnit v rámci NIS2, jsme již psali ZDE. Ve výsledku bychom tudíž mohli říci, že v oblasti ochrany osobních informací nám GDPR říká, jaké informace chránit a jak s nimi nakládat, a NIS2 řeší praktické provedení jejich ochrany. Jinak řečeno, pro naplnění technických požadavků ochrany dat dle GDPR je vhodné aplikovat požadavky NIS2. Pokud je totiž splníte, splníte zároveň i náležitosti sledované zásadami integrity a důvěrnosti, které vyžaduje GDPR.
Je nutné mít na paměti, že přesné a finální definování technických požadavků NIS2 bude k nalezení až ve finální zákonné úpravě během první poloviny roku 2024. Ve všech případech bychom se však spolehli na to, že splníte-li zodpovědně požadavky NIS2, naplníte tak i skutkovou podstatu integrity a důvěrnosti osobních údajů dle GDPR.
GDPR nastavilo standard pro metodiku ochrany osobních informací. A věříme, že NIS2 bude mít obdobný efekt a stane se standardem v oblasti ochrany činnosti, technologií a dat institucí i firem. A to včetně dat v podobě osobních údajů, kterými tyto subjekty disponují a které jsou chráněny skrze GDPR.
