facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2017 , Veřejný sektor a zdravotnictví

GDPR není zaměřeno proti úřadům

Mgr. Jan Hodač


GDPR není zaměřeno proti úřadůmŽivíte se prodejem rozsáhlých seznamů s mnoha tisíci osobními údaji, a to navíc v situaci, kdy příslušné osoby, kterých se taková data týkají, o tom třeba ani nevědí? Pokud náhodou ano, nemáte se s příchodem láskou prodchnutých májových dní roku 2018 příliš na co těšit. Pokud ne, máte sice o významnou starost méně, ale i tak nás společně čeká spousta analytické a metodicky přesné práce.


Ochrana osobních údajů totiž s účinností Obecného nařízení na ochranu osobních údajů (dále jen GDPR) dozná zcela nových kvalit, a to nejen na území České republiky, ale i ve všech zemích Evropské unie a dotkne se i všech těch zahraničních subjektů, kteří s unijními partnery budou chtít obchodovat nebo udržovat jiný smluvní vztah.

Záměrně extrapolovaný příklad z úvodu článku slouží pouze jako ukázka jednoho z důvodů, proč GDPR vůbec vzniklo a zároveň ukazuje, „proti komu“, resp. „na ochranu koho“ je GDPR primárně zaměřeno. Hromadné zneužívání osobních údajů je evidentním bezpečnostním rizikem a v době stále četnějších kybernetických útoků (navíc často ze zahraničí) je ochrana subjektů osobních údajů, tedy nás všech, conditio sine qua non dalšího rozvoje eGovernmentu a vůbec všech elektronicky založených služeb. Stejně tak ošetřuje GDPR i nakládání s fyzickými dokumenty nesoucími osobní údaje.

Co musí vědět orgány veřejné moci?

Z pohledu orgánů veřejné moci (OVM) nejde o vyloženou „revoluci“, byť novinek ve srovnání se zákonem č. 101/2000 Sb., o ochraně osobních údajů, je v porovnání s GDPR celá řada. OVM mají oproti (zejména některým) komerčním subjektům velkou výhodu na začátek - neobchodují s osobními údaji. Neživí se přeprodejem rozsáhlých seznamů s tisíci až miliony jmen, adres, telefonních čísel, e-mailových adres a dalších konkrétních dat, nerozesílají žádnou nevyžádanou reklamu, neprovozují agresivní marketing, nesbírají data k těmto účelům. OVM operují s osobními údaji především na základě zákonných důvodů, jsou k tomu tedy oprávněny a pro účely GDPR – zjednodušeně řečeno – postačí zpřehlednit tuto situaci a umět jasně odpovědět na otázky, které se osobních údajů týkají. Úřad by měl vědět, KDE všude se nachází osobní údaje, se kterými operuje. Stejně tak musí vědět, KDO s nimi nakládá, KDY konkrétní pracovník na takový osobní údaj nahlédl či jej použil a PROČ, na základě jakého právního podkladu tak učinil. Důležité bude ujasnit si, kterými osobními údaji potřebuje na jak dlouhou dobu disponovat a které jsou po určité lhůtě obsoletní.

Mapování rizik

Jedním z nosných principů je mapování rizik. Všichni, kteří s osobními údaji nakládají, musí mít od 25. května 2018 přehled o tom, jakými všemi osobními údaji vlastně disponují, na základě jakého právního titulu a kde jsou tato data uložená. V elektronickém světě to mohou být veškeré dokumenty na discích, v e-mailech, data na flashdiscích, DVD nebo jiných přenosných médiích, dále například databáze, záložní servery atd. Ve světě fyzickém pak nekonečné šanony s dokumenty obsahujícími osobní nebo dokonce citlivé osobní údaje, řádně neuzamčené skříně a volně položené desky s fakturami, smlouvami atd.

Poté, kdy si v rámci instituce zmapujete, kde všude se osobní data nachází a kdo a proč k nim má přístup, lze přijmout příslušná opatření. Je fér připomenout, že GDPR nepracuje na principu „naprosté eliminace rizik“. To při současném tempu rozvoje IT ani nejde. GDPR naopak pracuje s uchopitelnější logikou „pojmenování rizik“ a jejich akceptace. Pokud při analýze nakládání s osobními údaji ve své instituci zjistíte, že existují nějaká rizika jejich zneužití, toto riziko můžete pojmenovat a následně navrhnout jeho zmenšení nebo eliminaci. Stejně tak platí, že v případě neúměrně vysokých nákladů na eliminaci nízkého rizika nikdo nebude nucen tak učinit doslova „za každou cenu“ – o to důležitější však je mít popsané scénáře pro případ zneužití osobních údajů a procesy, které tomu napříště zabrání.

Data Protection Officer

Pověřenec na ochranu osobních údajů (DPO), ať už interní či externí, bude mít za povinnost konsolidovat veškeré nakládání s osobními údaji spravovanými jeho institucí, a to jak v jejich digitální podobě, tak v podobě fyzické. V situaci, kdy na úřadě poběží např. čtyři nebo více informačních systémů, bude mít úměrně o to více práce s mapováním digitálního oběhu osobních údajů. Výhodu mají tedy ty úřady, které provozují komplexní informační systém anebo jejich rozumné množství synchronně.

Náplň práce DPO bude průřezová a ideální pověřenec bude napůl IT specialistou a napůl právníkem. Ve spolupráci s IT oddělením instituce navrhne zabezpečení osobních údajů, ať už fyzické (uzamčená místnost datového centra, správa přístupu k němu…) či systémové (pseudonymizace údajů, případné šifrování, zabezpečení místních sítí atd.), povede si přehled o chodu systému (běžný monitoring, zjišťování incidentů, kontrola logů atd.), to vše v relativně silném institucionálním postavení v rámci úřadu, kdy bude podřízen přímo vedení (starosta, popř. tajemník) a bude náplní své práce nezávislý.

Na základě přesné dokumentace, nastavení vnitřních procesů, kodexů a pravidel bude DPO moci vykonávat i povinnosti směrem k občanům, kteří mohou úřad požádat o přehled disponibilních osobních údajů, o jejich výmaz (kde to zákon umožňuje), popř. export ve strojově čitelném formátu. S využitím komplexního informačního systému bude splnění i těchto povinností snadné a plně automatizované.

Závěrem

GDPR znamená „revoluci“ v nakládání s osobními údaji pouze tam, kde se trochu opomněla platnost zákona o ochraně osobních údajů. Organizace, které se řídí elementárními pravidly zmíněného zákona, mají dobře nakročeno k tomu, aby je nezaskočilo ani zmiňované nařízení.

Mgr. Jan Hodač
Autor článku zastává pozici Business Development Director ve společnosti VERA, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.