facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
CeBIT 2018
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Veřejný sektor a zdravotnictví

Informační systémy a ochrana osobních údajů

Důsledná ochrana osobních údajů nemusí být složitá

Mgr. Jan Hodač


VERAInformační systémy, v rámci kterých uživatelé nakládají s osobními údaji fyzických osob, musí zajišťovat důslednou ochranu těchto dat před zneužitím. Účinnost nové unijní legislativy, zejména GDPR od 25. května 2018, v této oblasti nepřináší vyloženou revoluci, avšak rozšiřuje rozsah povinností, které správce osobních údajů musí plnit, a zodpovědnosti, kterou nese za případnou ztrátu, únik či jiné neoprávněné nakládání s osobními údaji. Čím více informačních systémů takový správce využívá, tím více smluvních vztahů si musí s dodavatelem (zpracovatelem osobních údajů) právně ošetřit a o to více práce pro administrátora změna přináší. Uhlídat jeden systém může být snadné, uhlídat jich pět, šest nebo i deset, to je již „výzva“ pro celý tým kompetentních informatiků.

Alvao

Důvody zpracování údajů

Všechny informační systémy musí nabízet základní funkcionality – každý osobní údaj musí mít vyznačenu zákonnost zpracování, stejně jako jeho účel a časovou definici účelu zpracování. Správce musí mít možnost osobní údaj aktualizovat nebo naopak anonymizovat, pomine-li lhůta nutná pro jeho zpracovávání. Nad rámec zákonného a smluvního důvodu by měl mít správce snadný přehled o udělených souhlasech se zpracováním osobních údajů – takový souhlas musí být zejména přesně věcně i časově omezený, dobrovolný a svobodně poskytnutý. Souhrnně s ohledem na všechny možné zákonné důvody zpracování musí systém umožnit vygenerovat přehled o zpracovávaných osobních údajích, pokud si o něj občan zažádá. Analogicky pak musí správce občanovi vyhovět v žádosti o výmaz osobních údajů všude tam, kde občan odňal souhlas se zpracováním, popř. pominuly právní, smluvní či jiné důvody pro jejich zpracovávání. V případě, že správce administruje jeden, dva, maximálně tři informační systémy, je vyhovění všem těmto základním standardům snadné. S přibývajícím počtem informačních systémů neúměrně narůstá objem práce vynaložený ke stejnému účelu.

Bezpečnostní politika

Z hlediska bezpečnosti je ideální, pokud systém umožňuje detekovat bezpečnostní incidenty nebo neobvyklé události. Za bezpečnostní „minimum“ lze považovat důsledné oddělení uživatelských účtů v systému, jejich snadnou administraci, správu hesel, logování přístupů jednotlivých pracovníků systému a možnost reagovat na personální změny v řadách uživatelů. Každá uživatelská role, resp. úroveň, by měla mít odlišná práva v systému a k tomu i adekvátní dokumentaci, příručky, uživatelské manuály atd. Jelikož se GDPR netýká zdaleka jen světa digitálních dat, je vhodné mít na úřadě i sepsané kodexy, manuály či pracovní postupy, jak se chovat při bezpečnostních incidentech, jaká preventivní opatření realizovat a na koho se obracet v případě úniku či zneužití osobních údajů.

Z hlediska aktuálnosti zpracovávaných osobních údajů i jejich reálné použitelnosti je nanejvýš důležité systém pravidelně zálohovat, ověřovat funkčnost záloh, pravidelně trénovat „disaster recovery“ a provádět pravidelnou profylaxi, aby k žádnému černému scénáři nedošlo. Opět platí, že máte-li z pozice administrátora úřadu na starosti jeden nebo dva informační systémy, vše je snazší, než když zodpovídáte za množinu osmi či deseti různých systémů, z nichž každý může GDPR plnit v detailu odlišně. GDPR totiž není technickou normou, je to nařízení (jak jeho název ostatně napovídá) velmi „obecné“ a proto je legitimní si jej vykládat různými způsoby.

Výhoda veřejné správy

GDPR nepředstavuje revoluci pro všechny ty, kteří plnili základní parametry českého zákona č. 101/2000 Sb., o ochraně osobních údajů. Orgány veřejné moci mají své specifické povinnosti, spisová služba u nich nastavuje celkový archivační i skartační režim u všech spisů úřadu a pomocí jasně dohledatelných kroků v ní pracují referenti i vedoucí pracovníci vždy přesně v souladu s organizační strukturou úřadu. Spisová služba plnící nejnovější národní standard je pevnou páteří úřadu, skrze níž je nastaven „pořádek“ ve všech spisech úřadu, na kterou jsou „zavěšeny“ všechny ostatní agendy skrz transparentní pravidla. Důsledná ochrana osobních údajů tedy vlastně není tak složitá.

Mgr. Jan Hodač
Autor článku působí jako Business Development Director ve společnosti VERA, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Hyperkovergence

Cisco HyperFlex HX, SAP

Jedním z výrazných trendů v IT se v poslední době stává důraz na zjednodušení nasazování aplikací či souboru aplikací. Je to z důvodu udržení možnosti volby, odkud se jednotlivé úlohy budou spouštět, tak aby se kombinace různých zdrojů tohoto spouštění (on premise, hosting, privátní či veřejný cloud aj.) byla optimalizovatelná z hlediska dostupnosti, bezpečnosti, latence a v neposlední řadě aby dávala ekonomický smysl. Navštivte seminář společnosti Dimension Data, který vám pomůže se v této problematice zorientovat.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 3/
IT Systems 1-2/
IT Systems 12/
IT Systems 11/
Oborové a tematické přílohy
příloha #1 3/
příloha #1 1-2/
příloha #1 11/
příloha #1 10/
SIEMENS - virtuální výroba
Kalendář akcí