- Přehledy IS
- APS (21)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (9)
- Cloud computing (SaaS) (29)
- CRM (49)
- DMS/ECM - správa dokumentů (19)
- EAM (16)
- Ekonomické systémy (68)
- ERP (87)
- HRM (27)
- ITSM (5)
- MES (32)
- Řízení výroby (47)
- WMS (27)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (36)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (80)
- Informační bezpečnost (39)
- IT řešení pro logistiku (46)
- IT řešení pro stavebnictví (25)
- Řešení pro veřejný a státní sektor (26)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
IT právo
Projektové řízení
GIS - geografické informační systémy
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
GDPR není zaměřeno proti úřadům
Živíte se prodejem rozsáhlých seznamů s mnoha tisíci osobními údaji, a to navíc v situaci, kdy příslušné osoby, kterých se taková data týkají, o tom třeba ani nevědí? Pokud náhodou ano, nemáte se s příchodem láskou prodchnutých májových dní roku 2018 příliš na co těšit. Pokud ne, máte sice o významnou starost méně, ale i tak nás společně čeká spousta analytické a metodicky přesné práce.
Ochrana osobních údajů totiž s účinností Obecného nařízení na ochranu osobních údajů (dále jen GDPR) dozná zcela nových kvalit, a to nejen na území České republiky, ale i ve všech zemích Evropské unie a dotkne se i všech těch zahraničních subjektů, kteří s unijními partnery budou chtít obchodovat nebo udržovat jiný smluvní vztah.
Záměrně extrapolovaný příklad z úvodu článku slouží pouze jako ukázka jednoho z důvodů, proč GDPR vůbec vzniklo a zároveň ukazuje, „proti komu“, resp. „na ochranu koho“ je GDPR primárně zaměřeno. Hromadné zneužívání osobních údajů je evidentním bezpečnostním rizikem a v době stále četnějších kybernetických útoků (navíc často ze zahraničí) je ochrana subjektů osobních údajů, tedy nás všech, conditio sine qua non dalšího rozvoje eGovernmentu a vůbec všech elektronicky založených služeb. Stejně tak ošetřuje GDPR i nakládání s fyzickými dokumenty nesoucími osobní údaje.
Co musí vědět orgány veřejné moci?
Z pohledu orgánů veřejné moci (OVM) nejde o vyloženou „revoluci“, byť novinek ve srovnání se zákonem č. 101/2000 Sb., o ochraně osobních údajů, je v porovnání s GDPR celá řada. OVM mají oproti (zejména některým) komerčním subjektům velkou výhodu na začátek - neobchodují s osobními údaji. Neživí se přeprodejem rozsáhlých seznamů s tisíci až miliony jmen, adres, telefonních čísel, e-mailových adres a dalších konkrétních dat, nerozesílají žádnou nevyžádanou reklamu, neprovozují agresivní marketing, nesbírají data k těmto účelům. OVM operují s osobními údaji především na základě zákonných důvodů, jsou k tomu tedy oprávněny a pro účely GDPR – zjednodušeně řečeno – postačí zpřehlednit tuto situaci a umět jasně odpovědět na otázky, které se osobních údajů týkají. Úřad by měl vědět, KDE všude se nachází osobní údaje, se kterými operuje. Stejně tak musí vědět, KDO s nimi nakládá, KDY konkrétní pracovník na takový osobní údaj nahlédl či jej použil a PROČ, na základě jakého právního podkladu tak učinil. Důležité bude ujasnit si, kterými osobními údaji potřebuje na jak dlouhou dobu disponovat a které jsou po určité lhůtě obsoletní.
Mapování rizik
Jedním z nosných principů je mapování rizik. Všichni, kteří s osobními údaji nakládají, musí mít od 25. května 2018 přehled o tom, jakými všemi osobními údaji vlastně disponují, na základě jakého právního titulu a kde jsou tato data uložená. V elektronickém světě to mohou být veškeré dokumenty na discích, v e-mailech, data na flashdiscích, DVD nebo jiných přenosných médiích, dále například databáze, záložní servery atd. Ve světě fyzickém pak nekonečné šanony s dokumenty obsahujícími osobní nebo dokonce citlivé osobní údaje, řádně neuzamčené skříně a volně položené desky s fakturami, smlouvami atd.
Poté, kdy si v rámci instituce zmapujete, kde všude se osobní data nachází a kdo a proč k nim má přístup, lze přijmout příslušná opatření. Je fér připomenout, že GDPR nepracuje na principu „naprosté eliminace rizik“. To při současném tempu rozvoje IT ani nejde. GDPR naopak pracuje s uchopitelnější logikou „pojmenování rizik“ a jejich akceptace. Pokud při analýze nakládání s osobními údaji ve své instituci zjistíte, že existují nějaká rizika jejich zneužití, toto riziko můžete pojmenovat a následně navrhnout jeho zmenšení nebo eliminaci. Stejně tak platí, že v případě neúměrně vysokých nákladů na eliminaci nízkého rizika nikdo nebude nucen tak učinit doslova „za každou cenu“ – o to důležitější však je mít popsané scénáře pro případ zneužití osobních údajů a procesy, které tomu napříště zabrání.
Data Protection Officer
Pověřenec na ochranu osobních údajů (DPO), ať už interní či externí, bude mít za povinnost konsolidovat veškeré nakládání s osobními údaji spravovanými jeho institucí, a to jak v jejich digitální podobě, tak v podobě fyzické. V situaci, kdy na úřadě poběží např. čtyři nebo více informačních systémů, bude mít úměrně o to více práce s mapováním digitálního oběhu osobních údajů. Výhodu mají tedy ty úřady, které provozují komplexní informační systém anebo jejich rozumné množství synchronně.
Náplň práce DPO bude průřezová a ideální pověřenec bude napůl IT specialistou a napůl právníkem. Ve spolupráci s IT oddělením instituce navrhne zabezpečení osobních údajů, ať už fyzické (uzamčená místnost datového centra, správa přístupu k němu…) či systémové (pseudonymizace údajů, případné šifrování, zabezpečení místních sítí atd.), povede si přehled o chodu systému (běžný monitoring, zjišťování incidentů, kontrola logů atd.), to vše v relativně silném institucionálním postavení v rámci úřadu, kdy bude podřízen přímo vedení (starosta, popř. tajemník) a bude náplní své práce nezávislý.
Na základě přesné dokumentace, nastavení vnitřních procesů, kodexů a pravidel bude DPO moci vykonávat i povinnosti směrem k občanům, kteří mohou úřad požádat o přehled disponibilních osobních údajů, o jejich výmaz (kde to zákon umožňuje), popř. export ve strojově čitelném formátu. S využitím komplexního informačního systému bude splnění i těchto povinností snadné a plně automatizované.
Závěrem
GDPR znamená „revoluci“ v nakládání s osobními údaji pouze tam, kde se trochu opomněla platnost zákona o ochraně osobních údajů. Organizace, které se řídí elementárními pravidly zmíněného zákona, mají dobře nakročeno k tomu, aby je nezaskočilo ani zmiňované nařízení.
Autor článku zastává pozici Business Development Director ve společnosti VERA, spol. s r.o.
březen - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Formulář pro přidání akce