Fyzická bezpečnost dat

Únik osobních údajů si většina lidí představuje jako hackerský útok přes internet. Statistiky však ukazují, že značná část incidentů má původ v nedostatečné fyzické ochraně – otevřené dveře do serverovny, ztracený notebook bez šifrování nebo spisy ponechané na stole. GDPR proto v článku 32 jasně uvádí, že organizace musí přijmout „vhodná technická a organizační opatření“, mezi nimiž má fyzická bezpečnost zásadní místo. Malá a střední firma, která si myslí, že se jí to netýká, se mýlí. Stačí neopatrně odložený šanon s údaji zákazníků nebo nezabezpečený vstup do kanceláře a problém je na světě.

Zajímavé je, že požadavky na fyzickou bezpečnost nejsou jen doménou GDPR. Podobná pravidla existují i v jiných regulacích – od nového zákona o kybernetické bezpečnosti přes evropské nařízení DORA pro finanční sektor až po zákon o ochraně utajovaných informací. Každý předpis má trochu jiný důvod, proč nařizuje zabezpečení, ale ve výsledku se často překrývají. To je pro podnikatele výhoda – pokud už mají opatření z jedné oblasti, často je lze využít i pro GDPR. Přesto je nutné vnímat rozdíly: zatímco zákon o utajovaných informacích určuje přesná pravidla, bodové hodnocení a povinné projekty fyzické bezpečnosti, GDPR pracuje flexibilněji. Neříká, že musíte mít trezor určité třídy nebo ozbrojenou ostrahu, ale očekává, že vy sami vyhodnotíte rizika a nastavíte ochranu přiměřeně.

Pro menší firmu je nejdůležitější pochopit, že fyzická bezpečnost není jen o kamerách na chodbě. Jde o celé prostředí, ve kterém se data nacházejí. Pokud provozujete e-shop a máte serverovnu v pronajatých prostorách, musíte zajistit kontrolu přístupu a evidenci vstupů. Pokud uchováváte papírové dokumenty, nestačí je mít v regálu, ale v uzamykatelné skříni nebo trezoru. A pokud zaměstnanci nosí notebooky domů, je nutné myslet na riziko krádeže – statisticky se v ČR ročně odcizí několik tisíc notebooků a mobilů, což pro firmu znamená nejen finanční ztrátu, ale hlavně riziko úniku osobních údajů.

Z pohledu praktického nastavení se vyplatí dívat se na fyzickou bezpečnost jako na kombinaci čtyř vrstev. První vrstvu tvoří samotný prostor – zamčené dveře, alarmy, perimetr budovy. Druhou vrstvu představují pracovní prostory, tedy kanceláře, archivy nebo serverovny, kam by měl mít přístup jen omezený okruh osob. Třetí vrstvou jsou zařízení a dokumenty – uzamykatelné skříně, šifrované disky, bezpečná likvidace papírových záznamů. Čtvrtou vrstvu pak tvoří procesy – kdo má klíče, kdo je zodpovědný za evidenci vstupů, jak se postupuje při ztrátě zařízení. Bez těchto procesů se i drahá technologie stává zbytečnou investicí.

Užitečné je sledovat i inspiraci z jiných regulací. Nový zákon o kybernetické bezpečnosti vyžaduje od regulovaných subjektů mimo jiné zabezpečení serveroven, kamerové systémy a kontrolu vstupu – tato opatření jsou přitom ideální i pro GDPR. Nařízení DORA zase zdůrazňuje odolnost datových center, což je přístup, který ocení i menší firma, pokud využívá cloudové služby. V praxi to znamená ptát se poskytovatelů hostingu, zda mají fyzicky zabezpečené servery, záložní napájení a řízený přístup. Zákon o utajovaných informacích pak ukazuje extrémně přísný model – s certifikovanými trezory a detailním režimem – ten sice SME většinou nepotřebují, ale některé prvky, například evidence vstupů do chráněných prostor, mohou být užitečnou inspirací.

Podstatné je uvědomit si rozdíl mezi formální a skutečnou ochranou. Není důležité mít složku s nápisem „fyzická bezpečnost“, ale reálně zajistit, že dokumenty se nedají odnést z kanceláře nepozorovaně a že server nepadne při první bouřce. Proto se doporučuje provést vlastní analýzu rizik – i malá firma si může jednoduchým způsobem vypsat, kde uchovává data, kdo k nim má přístup a co se stane, když dojde k požáru, vloupání nebo výpadku proudu. Výsledkem je seznam opatření, která nejsou samoúčelná, ale odpovídají reálným hrozbám.

Fyzická bezpečnost se často podceňuje, protože není „sexy“ jako kybernetické hrozby. Přitom právě fyzické incidenty patří k nejčastějším příčinám úniků dat. Úřad pro ochranu osobních údajů v několika rozhodnutích pokutoval firmy za to, že nechaly volně přístupné spisy klientů, nebo že nebyly schopny doložit, kdo měl přístup k archivním dokumentům. Pokuty se pohybovaly v řádu statisíců korun – a to jsou částky, které pro menší firmu mohou znamenat vážný problém.

Praktická rada tedy zní: začněte od základů. Zkontrolujte, kdo má klíče od kanceláře a zda se evidují vstupy. Přemýšlejte, kde leží vaše nejcennější data – není to vždy server, často jde o šanony s účetnictvím nebo smlouvami. A ujistěte se, že pokud dojde k nehodě, máte plán, jak obnovit provoz. GDPR vám nepředepisuje konkrétní kroky, ale očekává, že se dokážete obhájit, že vaše opatření jsou přiměřená. A právě to je pro SME nejdůležitější – mít nastavenou fyzickou bezpečnost tak, aby dávala smysl, byla udržitelná a hlavně chránila to, na čem vaše podnikání stojí.