• GDPR: Aleš Špidla (ČIMIB) je realista!

    cm 03Vstoupení nařízení GDPR v platnost se blíží skutečně mílovými kroky (začne platit dnem 25. 5. 2018), a proto jsme položili několik praktických otázek Ing. Aleši Špidlovi, prezidentovi Českého institutu manažerů informační bezpečnosti (ČIMIB). Ten vidí problém GDPR naprosto realistickýma očima.

    Ales Spidla profil malyJak vlastně vidíte připravenost firem na GDPR?

    Obecně se dá říci, že téměř všichni začali s řešením problematiky Obecného nařízení o ochraně osobních údajů – GDPR – pozdě, a to i přesto, že nařízení platí od dubna roku 2016. Účinnost se kvapem blíží a ten, kdo se začíná až teď rozkoukávat, tak už má malou naději, že to stihne. Vše je totiž závislé na velikosti firmy, na rozsahu zpracování a množství zpracovávaných dat. Vážná situace je ve státních institucích, kde zatím probíhá kompetenční ping-pong a hledá se ten, kdo za to bude zodpovídat. Viděl jsem už i snahu přenést zodpovědnost za GDPR na jednotlivé vlastníky aktiv. Ti mají za úkol sami pro systémy, které používají pro svoji práci, vyřešit GDPR. Bez koordinace, bez komplexního přístupu. Toto je cesta do pekla, která nevede k řešení, vede jen k zbavování se zodpovědnosti. Je nutno si uvědomit, že GDPR je záležitost průřezová, která prochází napříč institucí a za její řešení zodpovídá vrcholové vedení. I z pohledu trestněprávní odpovědnosti.

    Dá se tedy ještě poradit, co teď dělat, pokud procesy s GDPR souvisejícími, se ještě nerozeběhly?

    V prvé řadě je třeba se uklidnit. V klidu a s rozvahou si udělat analýzu a položit si tyto otázky:

    • Dodržovali jsme dosud striktně a prokazatelně ustanovení zákona o ochraně osobních údajů 101/2000 Sb.?
    • Jsme správce nebo zpracovatel nebo obojí?
    • Jaké osobní údaje jsou zpracovávány – zaměstnanci, klienti, pacienti apod.?
    • Za jakým účelem jsou osobní údaje jsou zpracovávány?
    • Je k tomu zákonný důvod nebo jiné důvody, uvedené v nařízení GDPR?
    • Odpovídá zpracování nařízení GDPR z pohledu účelnosti, transparentnosti, časové omezenosti zpracování apod.?
    • Je zajištěn přístup k osobním údajům prokazatelně jen oprávněným osobám?
    • Jsou prokazatelně vytvořeny role s jasnou zodpovědností v oblasti zpracovávání osobních údajů?
    • Jaká technická a organizační opatření k zajištění bezpečného zpracování osobních údajů jsou v tomto okamžiku a jak jsou účinná.
    • Jakým způsobem je nastavena komunikace se subjekty osobních údajů.
    • Jakým způsobem je nastavena komunikace s dozorovým orgánem – tím je Úřad pro ochranu osobních údajů.

    Je nutno si uvědomit, že GDPR se netýká jen osobních údajů, zpracovávaných v informačních systémech.

    Po tomto zhodnocení současného stavu je nutno si udělat datový audit, který zjistí, kde všude osobní údaje jsou, a to i v „šedém“ IT. Datové audity vedou často k velmi překvapivým výsledkům. Osobní údaje se totiž často bez jakékoliv kontroly potulují napříč institucí a bez kontroly opouštějí její hranice.

    Dále je nutno ujasnit si, jaká další opatření z pohledu GDPR je nutno přijmout, velký zásah je nutno udělat v procesech – to znamená dojde k velkým změnám v interních dokumentech institucí. Zaměstnanci musí vědět, jak mají chránit osobní údaje – musí být zaveden systém vzdělávání. Z GDPR vyplývají i povinnosti vůči dozorovému orgánu, a proto je nutno analýzu opatření GDPR udělat velmi pečlivě. Dále je nutno si uvědomit, že zavedením opatření GDPR práce nekončí. Ochrana osobních údajů je nekonečný proces, který musí být trvale monitorován, musí být pravidelně hodnocena jeho účinnost a musí být neustále komunikován.

    Můžete sdělit, jaké jsou informace jdou od našich úřadů směrem k firmám? Jsou dostatečně konkrétní?

    GDPR není technickým manuálem k zajištění ochrany osobních údajů. Technická a organizační – zde patří i procesní – opatření jsou vždy záležitostí správce/zpracovatele. Vzhledem k tomu, že drtivá většina osobních údajů je zpracovávána v informačních systémech, doporučuji vzít jako podklad zákon o kybernetické bezpečnosti, respektive vyhlášku o kybernetické bezpečnosti.

    Petr Smolník, šéfredaktor