slider

GDPR: Aleš Špidla (ČIMIB) je realista!

05.09.2017

Vstoupení nařízení GDPR v platnost se blíží skutečně mílovými kroky (začne platit dnem 25. 5. 2018), a proto jsme položili několik praktických otázek Ing. Aleši Špidlovi, prezidentovi Českého institutu manažerů informační bezpečnosti (ČIMIB). Ten vidí problém GDPR naprosto realistickýma očima.

Jak vlastně vidíte připravenost firem na GDPR?

Obecně se dá říci, že téměř všichni začali s řešením problematiky Obecného nařízení o ochraně osobních údajů – GDPR – pozdě, a to i přesto, že nařízení platí od dubna roku 2016. Účinnost se kvapem blíží a ten, kdo se začíná až teď rozkoukávat, tak už má malou naději, že to stihne. Vše je totiž závislé na velikosti firmy, na rozsahu zpracování a množství zpracovávaných dat. Vážná situace je ve státních institucích, kde zatím probíhá kompetenční ping-pong a hledá se ten, kdo za to bude zodpovídat. Viděl jsem už i snahu přenést zodpovědnost za GDPR na jednotlivé vlastníky aktiv. Ti mají za úkol sami pro systémy, které používají pro svoji práci, vyřešit GDPR. Bez koordinace, bez komplexního přístupu. Toto je cesta do pekla, která nevede k řešení, vede jen k zbavování se zodpovědnosti. Je nutno si uvědomit, že GDPR je záležitost průřezová, která prochází napříč institucí a za její řešení zodpovídá vrcholové vedení. I z pohledu trestněprávní odpovědnosti. 

Dá se tedy ještě poradit, co teď dělat, pokud procesy s GDPR souvisejícími, se ještě nerozeběhly?

V prvé řadě je třeba se uklidnit. V klidu a s rozvahou si udělat analýzu a položit si tyto otázky:

  • Dodržovali jsme dosud striktně a prokazatelně ustanovení zákona o ochraně osobních údajů 101/2000 Sb.?
  • Jsme správce nebo zpracovatel nebo obojí?
  • Jaké osobní údaje jsou zpracovávány – zaměstnanci, klienti, pacienti apod.?
  • Za jakým účelem jsou osobní údaje jsou zpracovávány?
  • Je k tomu zákonný důvod nebo jiné důvody, uvedené v nařízení GDPR?
  • Odpovídá zpracování nařízení GDPR z pohledu účelnosti, transparentnosti, časové omezenosti zpracování apod.?
  • Je zajištěn přístup k osobním údajům prokazatelně jen oprávněným osobám?
  • Jsou prokazatelně vytvořeny role s jasnou zodpovědností v oblasti zpracovávání osobních údajů?
  • Jaká technická a organizační opatření k zajištění bezpečného zpracování osobních údajů jsou v tomto okamžiku a jak jsou účinná.
  • Jakým způsobem je nastavena komunikace se subjekty osobních údajů.
  • Jakým způsobem je nastavena komunikace s dozorovým orgánem – tím je Úřad pro ochranu osobních údajů.

Je nutno si uvědomit, že GDPR se netýká jen osobních údajů, zpracovávaných v informačních systémech.

Po tomto zhodnocení současného stavu je nutno si udělat datový audit, který zjistí, kde všude osobní údaje jsou, a to i v „šedém“ IT. Datové audity vedou často k velmi překvapivým výsledkům. Osobní údaje se totiž často bez jakékoliv kontroly potulují napříč institucí a bez kontroly opouštějí její hranice.

Dále je nutno ujasnit si, jaká další opatření z pohledu GDPR je nutno přijmout, velký zásah je nutno udělat v procesech – to znamená dojde k velkým změnám v interních dokumentech institucí. Zaměstnanci musí vědět, jak mají chránit osobní údaje – musí být zaveden systém vzdělávání. Z GDPR vyplývají i povinnosti vůči dozorovému orgánu, a proto je nutno analýzu opatření GDPR udělat velmi pečlivě. Dále je nutno si uvědomit, že zavedením opatření GDPR práce nekončí. Ochrana osobních údajů je nekonečný proces, který musí být trvale monitorován, musí být pravidelně hodnocena jeho účinnost a musí být neustále komunikován.

Můžete sdělit, jaké jsou informace jdou od našich úřadů směrem k firmám? Jsou dostatečně konkrétní?

GDPR není technickým manuálem k zajištění ochrany osobních údajů. Technická a organizační – zde patří i procesní – opatření jsou vždy záležitostí správce/zpracovatele. Vzhledem k tomu, že drtivá většina osobních údajů je zpracovávána v informačních systémech, doporučuji vzít jako podklad zákon o kybernetické bezpečnosti, respektive vyhlášku o kybernetické bezpečnosti.

Petr Smolník, šéfredaktor

Související články

Konference Kybernetická bezpečnost státu již 20. září!

ICT NETWORK NEWS vás jako mediální partner zve na konferenci Kybernetická bezpečnost státu, kterou pořádá institut ČIMIB , ve spoljupráci s CEVRO institutem. Konference bude zaměřena na ochranu...

S GDPR bylo dobré začít už předevčírem!

Na otázky odpovídá Ing. Aleš Špidla, prezident ČIMIB (Českého institutu manažerů informační bezpečnosti). Na konferencích se často hovoří GDPR, jak může v této situaci...

Webinář: Plnění požadavků GDPR s podporou poskytovatele cloudových služeb

  Regulace oblasti osobních údajů se s příchodem GDPR (General Data Protection Regulation) výrazně rozšiřuje. S cílem lépe zabezpečit osobní údaje občanů EU se nově...

GDPR: Realita je krutá

Jen asi 10 procent organizací si je vědomo výše možných sankcí a dalších postihů v případě nedodržování nařízení GDPR. GDPR však nejsou jen sankce, je...

kalendář akcí
SimpleCell / Sigfox

Sigfox World IoT Expo

25.9.2017 - 26.9.2017
VŠE

Startup Festival 2017

27.9.2017
Acomware

Emailing 2020

5.10.2017
Veletrhy Brno

Automatizace 2017

9.10.2017 - 13.10.2017
Progres Partners Advertising s.r.o.

SCADA BEZPEČNOSTNÍ KONFERENCE 2017

12.10.2017 - 13.10.2017
Sabris

DOCURIDE

12.10.2017
UNIT s.r.o.

Konference Radiokomunikace

17.10.2017 - 19.10.2017
IDC

IOT FORUM 2017

19.10.2017
Reliant Group

SpeedCHAIN

1.11.2017 - 2.11.2017
Internet Info

WebTop100

15.11.2017
BusinessIT

Datová centra pro business 2017

23.11.2017
Terinvest

Amper 2018

20.3.2018 - 23.3.2018