GDPR: Aleš Špidla (ČIMIB) je realista!

cm 03Vstoupení nařízení GDPR v platnost se blíží skutečně mílovými kroky (začne platit dnem 25. 5. 2018), a proto jsme položili několik praktických otázek Ing. Aleši Špidlovi, prezidentovi Českého institutu manažerů informační bezpečnosti (ČIMIB). Ten vidí problém GDPR naprosto realistickýma očima.

Ales Spidla profil malyJak vlastně vidíte připravenost firem na GDPR?

Obecně se dá říci, že téměř všichni začali s řešením problematiky Obecného nařízení o ochraně osobních údajů – GDPR – pozdě, a to i přesto, že nařízení platí od dubna roku 2016. Účinnost se kvapem blíží a ten, kdo se začíná až teď rozkoukávat, tak už má malou naději, že to stihne. Vše je totiž závislé na velikosti firmy, na rozsahu zpracování a množství zpracovávaných dat. Vážná situace je ve státních institucích, kde zatím probíhá kompetenční ping-pong a hledá se ten, kdo za to bude zodpovídat. Viděl jsem už i snahu přenést zodpovědnost za GDPR na jednotlivé vlastníky aktiv. Ti mají za úkol sami pro systémy, které používají pro svoji práci, vyřešit GDPR. Bez koordinace, bez komplexního přístupu. Toto je cesta do pekla, která nevede k řešení, vede jen k zbavování se zodpovědnosti. Je nutno si uvědomit, že GDPR je záležitost průřezová, která prochází napříč institucí a za její řešení zodpovídá vrcholové vedení. I z pohledu trestněprávní odpovědnosti.

Dá se tedy ještě poradit, co teď dělat, pokud procesy s GDPR souvisejícími, se ještě nerozeběhly?

V prvé řadě je třeba se uklidnit. V klidu a s rozvahou si udělat analýzu a položit si tyto otázky:

  • Dodržovali jsme dosud striktně a prokazatelně ustanovení zákona o ochraně osobních údajů 101/2000 Sb.?
  • Jsme správce nebo zpracovatel nebo obojí?
  • Jaké osobní údaje jsou zpracovávány – zaměstnanci, klienti, pacienti apod.?
  • Za jakým účelem jsou osobní údaje jsou zpracovávány?
  • Je k tomu zákonný důvod nebo jiné důvody, uvedené v nařízení GDPR?
  • Odpovídá zpracování nařízení GDPR z pohledu účelnosti, transparentnosti, časové omezenosti zpracování apod.?
  • Je zajištěn přístup k osobním údajům prokazatelně jen oprávněným osobám?
  • Jsou prokazatelně vytvořeny role s jasnou zodpovědností v oblasti zpracovávání osobních údajů?
  • Jaká technická a organizační opatření k zajištění bezpečného zpracování osobních údajů jsou v tomto okamžiku a jak jsou účinná.
  • Jakým způsobem je nastavena komunikace se subjekty osobních údajů.
  • Jakým způsobem je nastavena komunikace s dozorovým orgánem – tím je Úřad pro ochranu osobních údajů.

Je nutno si uvědomit, že GDPR se netýká jen osobních údajů, zpracovávaných v informačních systémech.

Po tomto zhodnocení současného stavu je nutno si udělat datový audit, který zjistí, kde všude osobní údaje jsou, a to i v „šedém“ IT. Datové audity vedou často k velmi překvapivým výsledkům. Osobní údaje se totiž často bez jakékoliv kontroly potulují napříč institucí a bez kontroly opouštějí její hranice.

Dále je nutno ujasnit si, jaká další opatření z pohledu GDPR je nutno přijmout, velký zásah je nutno udělat v procesech – to znamená dojde k velkým změnám v interních dokumentech institucí. Zaměstnanci musí vědět, jak mají chránit osobní údaje – musí být zaveden systém vzdělávání. Z GDPR vyplývají i povinnosti vůči dozorovému orgánu, a proto je nutno analýzu opatření GDPR udělat velmi pečlivě. Dále je nutno si uvědomit, že zavedením opatření GDPR práce nekončí. Ochrana osobních údajů je nekonečný proces, který musí být trvale monitorován, musí být pravidelně hodnocena jeho účinnost a musí být neustále komunikován.

Můžete sdělit, jaké jsou informace jdou od našich úřadů směrem k firmám? Jsou dostatečně konkrétní?

GDPR není technickým manuálem k zajištění ochrany osobních údajů. Technická a organizační – zde patří i procesní – opatření jsou vždy záležitostí správce/zpracovatele. Vzhledem k tomu, že drtivá většina osobních údajů je zpracovávána v informačních systémech, doporučuji vzít jako podklad zákon o kybernetické bezpečnosti, respektive vyhlášku o kybernetické bezpečnosti.

Petr Smolník, šéfredaktor

David Šíma je novým šéfem divize Certifikace v Bureau Veritas

Bureau Veritas má nového šéfa divize Certifikace pro Českou republiku. Od 1. září 2017 nastoupil do funkce David Šíma, který na pozici vystřídal Stanislava Moučku. Ten zůstává v Bureau Veritas i nadále jako exkluzivní externí spolupracovník.

David Šíma bude ve své nové roli zodpovědný mimo jiné za rozvoj byznysu v oblasti systémových a inspekčních certifikací. Ty pomáhají firmám k lepšímu řízení obchodních a dalších rizik, zvyšují transparentnost a důvěryhodnost v očích zaměstnanců, akcionářů i obchodních partnerů. „Máme jasně definované cíle a výsledky našich aktivit musí být měřitelné v hospodářských výsledcích našich certifikovaných klientů, ať už jsou to firmy z logistiky, energetiky, automobilového průmyslu, potravinářství nebo jiných segmentů,“ říká nový šéf divize Certifikace, který dosud pracoval v Bureau Veritas na pozici Operational Manager.

Stanislav Moučka zastával pozici šéfa divize Certifikace sedm let. Nyní pokračuje v exkluzivní externí spolupráci výhradně s Bureau Veritas na pozici Lead Auditor. V jeho kompetenci je provádění auditů a školení. Generální ředitel Bureau Veritas Jakub Kejval považuje jeho práci za mimořádně přínosnou.

Autor: Petr Smolník, šéfredaktor

Vysoce kvalitní dokovací stanice pro pevné disky

Freecom spouští produktovou řadu mDock. Ta zahrnuje vysoce kvalitní dokovací stanice, které umožňují snadný přístup k souborům uloženým na interních pevných discích formátu 2,5" a 3,5".

Nové produkty mDock společnosti Freecom nabízejí možnost volitelného rozhraní a jsou umístěny v kompaktních, pevných kovových pouzdrech, které skvěle zapadají do atraktivní řady metalických 2,5" a 3,5" pevných disků této značky.

Dokovací stanice jsou vhodné pro profesionální a domácí použití. Mohou být například použity k instalaci softwaru nebo celého diskového obrazu, rychlé formátování nebo mazání dat, obnovení dat ze starých disků, diagnostické kontroly a zálohování.

Freecom mDock Duplicator s dvojicí vložených 3,5" pevných disků

Modely mDock 3.0, mDock USB-C a mDock Pro mají všechny vertikální zásuvky, do kterých lze vložitDíky možnostem konektivity USB 3.1 Gen2 / Type-C, USB 3.0, USB 2.0 a PATA / IDE lze disky připojit k libovolnému počítači a jsou okamžitě k dispozici jako externí úložiště.

pevný disk velikosti 2,5" a 3,5". mDock Duplicator má dva sloty, které jsou kompatibilní s oběma těmito diskovými formáty, a umožňuje přímé kopírování dat mezi pevnými disky bez průchodu počítačem. Uživatel pouze vloží pevný disk do zásuvky, stiskne tlačítko a celý disk se zkopíruje do druhého.

Řada Freecom mDock

Číslo dílu

Název produktu

Rozhraní

Typy HDD

Cena (RRP)

56137

mDock 3.0

USB 3.0

2,5” & 3,5” SATA HDD

899 CZK/ €34,95

56410

mDock USB-C™

USB 3.1 Gen2 / Type-C

2,5” & 3,5” SATA HDD

1299 CZK/ €49,99

33708

mDOCK PRO

SATA & PATA (IDE) / USB 2.0

2,5” & 3,5” SATA & PATA (IDE) HDD

1249 CZK / €47,50

56136

mDock DUPLICATOR

USB 3.0

2,5” & 3,5” SATA HDD

1749 CZK / €66,90

 

Autor: Petr Smolník, šéfredaktor