facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
Cadforum 2018
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Partneři webu
Aimtec
IT SYSTEMS 11/2017 , Veřejný sektor a zdravotnictví

GDPR není zaměřeno proti úřadům

Mgr. Jan Hodač


GDPR není zaměřeno proti úřadůmŽivíte se prodejem rozsáhlých seznamů s mnoha tisíci osobními údaji, a to navíc v situaci, kdy příslušné osoby, kterých se taková data týkají, o tom třeba ani nevědí? Pokud náhodou ano, nemáte se s příchodem láskou prodchnutých májových dní roku 2018 příliš na co těšit. Pokud ne, máte sice o významnou starost méně, ale i tak nás společně čeká spousta analytické a metodicky přesné práce.


Ochrana osobních údajů totiž s účinností Obecného nařízení na ochranu osobních údajů (dále jen GDPR) dozná zcela nových kvalit, a to nejen na území České republiky, ale i ve všech zemích Evropské unie a dotkne se i všech těch zahraničních subjektů, kteří s unijními partnery budou chtít obchodovat nebo udržovat jiný smluvní vztah.

Záměrně extrapolovaný příklad z úvodu článku slouží pouze jako ukázka jednoho z důvodů, proč GDPR vůbec vzniklo a zároveň ukazuje, „proti komu“, resp. „na ochranu koho“ je GDPR primárně zaměřeno. Hromadné zneužívání osobních údajů je evidentním bezpečnostním rizikem a v době stále četnějších kybernetických útoků (navíc často ze zahraničí) je ochrana subjektů osobních údajů, tedy nás všech, conditio sine qua non dalšího rozvoje eGovernmentu a vůbec všech elektronicky založených služeb. Stejně tak ošetřuje GDPR i nakládání s fyzickými dokumenty nesoucími osobní údaje.

Co musí vědět orgány veřejné moci?

Z pohledu orgánů veřejné moci (OVM) nejde o vyloženou „revoluci“, byť novinek ve srovnání se zákonem č. 101/2000 Sb., o ochraně osobních údajů, je v porovnání s GDPR celá řada. OVM mají oproti (zejména některým) komerčním subjektům velkou výhodu na začátek - neobchodují s osobními údaji. Neživí se přeprodejem rozsáhlých seznamů s tisíci až miliony jmen, adres, telefonních čísel, e-mailových adres a dalších konkrétních dat, nerozesílají žádnou nevyžádanou reklamu, neprovozují agresivní marketing, nesbírají data k těmto účelům. OVM operují s osobními údaji především na základě zákonných důvodů, jsou k tomu tedy oprávněny a pro účely GDPR – zjednodušeně řečeno – postačí zpřehlednit tuto situaci a umět jasně odpovědět na otázky, které se osobních údajů týkají. Úřad by měl vědět, KDE všude se nachází osobní údaje, se kterými operuje. Stejně tak musí vědět, KDO s nimi nakládá, KDY konkrétní pracovník na takový osobní údaj nahlédl či jej použil a PROČ, na základě jakého právního podkladu tak učinil. Důležité bude ujasnit si, kterými osobními údaji potřebuje na jak dlouhou dobu disponovat a které jsou po určité lhůtě obsoletní.

Mapování rizik

Jedním z nosných principů je mapování rizik. Všichni, kteří s osobními údaji nakládají, musí mít od 25. května 2018 přehled o tom, jakými všemi osobními údaji vlastně disponují, na základě jakého právního titulu a kde jsou tato data uložená. V elektronickém světě to mohou být veškeré dokumenty na discích, v e-mailech, data na flashdiscích, DVD nebo jiných přenosných médiích, dále například databáze, záložní servery atd. Ve světě fyzickém pak nekonečné šanony s dokumenty obsahujícími osobní nebo dokonce citlivé osobní údaje, řádně neuzamčené skříně a volně položené desky s fakturami, smlouvami atd.

Poté, kdy si v rámci instituce zmapujete, kde všude se osobní data nachází a kdo a proč k nim má přístup, lze přijmout příslušná opatření. Je fér připomenout, že GDPR nepracuje na principu „naprosté eliminace rizik“. To při současném tempu rozvoje IT ani nejde. GDPR naopak pracuje s uchopitelnější logikou „pojmenování rizik“ a jejich akceptace. Pokud při analýze nakládání s osobními údaji ve své instituci zjistíte, že existují nějaká rizika jejich zneužití, toto riziko můžete pojmenovat a následně navrhnout jeho zmenšení nebo eliminaci. Stejně tak platí, že v případě neúměrně vysokých nákladů na eliminaci nízkého rizika nikdo nebude nucen tak učinit doslova „za každou cenu“ – o to důležitější však je mít popsané scénáře pro případ zneužití osobních údajů a procesy, které tomu napříště zabrání.

Data Protection Officer

Pověřenec na ochranu osobních údajů (DPO), ať už interní či externí, bude mít za povinnost konsolidovat veškeré nakládání s osobními údaji spravovanými jeho institucí, a to jak v jejich digitální podobě, tak v podobě fyzické. V situaci, kdy na úřadě poběží např. čtyři nebo více informačních systémů, bude mít úměrně o to více práce s mapováním digitálního oběhu osobních údajů. Výhodu mají tedy ty úřady, které provozují komplexní informační systém anebo jejich rozumné množství synchronně.

Náplň práce DPO bude průřezová a ideální pověřenec bude napůl IT specialistou a napůl právníkem. Ve spolupráci s IT oddělením instituce navrhne zabezpečení osobních údajů, ať už fyzické (uzamčená místnost datového centra, správa přístupu k němu…) či systémové (pseudonymizace údajů, případné šifrování, zabezpečení místních sítí atd.), povede si přehled o chodu systému (běžný monitoring, zjišťování incidentů, kontrola logů atd.), to vše v relativně silném institucionálním postavení v rámci úřadu, kdy bude podřízen přímo vedení (starosta, popř. tajemník) a bude náplní své práce nezávislý.

Na základě přesné dokumentace, nastavení vnitřních procesů, kodexů a pravidel bude DPO moci vykonávat i povinnosti směrem k občanům, kteří mohou úřad požádat o přehled disponibilních osobních údajů, o jejich výmaz (kde to zákon umožňuje), popř. export ve strojově čitelném formátu. S využitím komplexního informačního systému bude splnění i těchto povinností snadné a plně automatizované.

Závěrem

GDPR znamená „revoluci“ v nakládání s osobními údaji pouze tam, kde se trochu opomněla platnost zákona o ochraně osobních údajů. Organizace, které se řídí elementárními pravidly zmíněného zákona, mají dobře nakročeno k tomu, aby je nezaskočilo ani zmiňované nařízení.

Mgr. Jan Hodač
Autor článku zastává pozici Business Development Director ve společnosti VERA, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Využijte letní akce na předplatné časopisu IT Systems!

Nenechte si ujít příležitost dostávat pravidelně informace ze světa podnikové informatiky a předplaťte si časopis IT Systems. Udržujte si přehled v oboru a získejte inspiraci, jak využít informační technologie pro vaši firmu nebo organizaci. K pořízení nebo obnovení předplatného IT Systems je nyní ideální příležitost. Právě totiž probíhá letní akce, v rámci níž je možno získat roční předplatné jen za 699 Kč.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 7-8/
IT Systems 6/
IT Systems 5/
IT Systems 4/
Oborové a tematické přílohy
příloha #1 7-8/
příloha #1 6/
příloha #1 5/
příloha #1 4/
SAP NOW Week
Kalendář akcí