Jak vyřešit GDPR ve firmě za 6 dnů
Ing. Martin Havel, MBA, působí řadu let jako konzultant bezpečnosti IT a řízení rizik. Je absolventem VUT Brno a MBA na Nottingham Trent University. V roce 2012 získal certifikát Manažer informační bezpečnosti a od roku 2013 je certifikovaným Auditorem informační bezpečnosti. V současné době zastává roli Pověřence pro ochranu osobních údajů pro Krajský úřad Jihomoravského kraje. Má bohaté zkušenosti s implementací a provozováním bezpečnostních systémů dle požadavků zákona o kybernetické bezpečnosti nebo normy ČSN ISO/IEC 27001.
Martine, jsi jeden z mála odborníků na GDPR, který lidi nestraší, ale nabízí srozumitelné řešení. Lze opravdu zavést agendu v souladu s GDPR ve firmě za 6 dnů?
Děkuji za poklonu. Ano, zavést za šest dnů lze, když jsou k dispozici dostatečné časové zdroje na straně firmy. Hlavně jsem praktik se zkušenostmi s řízením bezpečnostních systémů dle požadavků Zákona o kybernetické bezpečnosti. Na základě těchto zkušeností jsme připravili vlastní metodiku, která se skládá z šesti kroků.
GDPR neboli česky Obecné nařízení na ochranu osobních údajů je nařízení, které rozšiřuje požadavky zákona o ochraně osobních údajů č. 101/2000 Sb. Práva a povinnosti v současném zákoně budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení.
Konkrétním příkladem novinek může být právo na výmaz, právo vznést námitku proti zpracování na straně nás občanů. Na straně organizací pak oznamovací povinnost v případě narušení bezpečnosti údajů.
Jaký vypadá typický postup, co to obnáší?
Jak už jsem se zmínil, naše vlastní metodika systému ochrany osobních údajů postupuje v šesti krocích. Konkrétně to jsou:
- Vstupní přehled (datová inventura, právní přehled).
- Analýza současného stavu opatření neboli posouzení míry shody současného stavu organizace s požadavky GDPR.
- Posouzení rizik, posouzení dopadu.
- Aktualizace nebo vytvoření odpovídající dokumentace.
- Zavedení systému ochrany osobních údajů (zavedení organizační opatření, výběr a nastavení adekvátních technických opatření).
- Dokumentace schopnosti prokázat soulad s požadavky.
Pro úspěch je předpokládám důležitá součinnost ze strany klienta. Jak má vypadat a jak to v praxi řešíte?
Postup spočívá v pravidelných setkáních u zákazníka, kde společně připravujeme materiály a podklady. Společně pracujeme na projektu, který se postupně změní na proces.
Klademe důraz na zasvěcení klienta do problematiky, nepřicházíme do organizace s univerzálním šanonem GDPR se slovy „Toto si kupte a jste připraveni“. Takto to nefunguje. Nařízení hovoří o přihlédnutí ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování. Tudíž toto vše zohledňujeme. Výstupem spolupráce s klientem je konkrétní dokumentace a dokumenty ihned použitelné v dané organizaci. Což je základ požadované schopnosti prokázat soulad s požadavky.
Jak vnímáš situaci v oblasti GDPR v České republice ze svého pohledu?
Vidím kolem sebe různé přístupy, jak využít či zneužít tuto problematiku. My přistupujeme k problematice ochrany osobních údajů pozitivně, protože pro každého z nás jsou požadavky GDPR pro zajištění našich práv přínosem. Jsem rád, že je tady právní norma, která zamezí nadužívání souhlasů se zpracováním našich osobních údajů. A když už ten souhlas dáme, tak na omezenou dobu a s možností jeho vzetí zpět.
Osobní práva budou opět nadřazena nad mnohdy pochybnými obchodními zájmy. Tady jsem nerezignoval a jsem mírný optimista.
Problémy jsou tedy hlavně v oblasti nadužívání souhlasů se zpracováním našich osobních údajů? Lze vyčíslit potenciální dopady a rizika nebo naopak příležitosti pro firmy?
Příležitost pro organizace spatřuji v zavedení pořádku v nakládání s daty, v zavedení a dodržování bezpečnostních pravidel, což se hodí vždy.
Problémy mohou nastat ve změně pohledu na zpracování osobních údajů, konkrétně v nalezení správného právního titulu zpracování, kterým není jen souhlas, ale také zákonný důvod, smluvní povinnosti apod.
K dopadům pak patří udělení správní pokuty při nezavedení požadavků nařízení či při nakládání s osobními údaji v rozporu s nařízením.
Osobně si myslím, že největším dopadem je ztráta důvěry klientů způsobená nesprávným zacházením s osobními údaji. Dále pak vystavení se žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.
Dal bys nám nějakou dobrou radu na závěr? Co doporučuješ?
Doporučuji se zabývat ochranou dat včetně osobních údajů. Je to cesta, jak zajistit dlouhodobou kontinuitu svého podnikání. Protože v každé organizaci jsou další citlivé či strategické informace, které si zaslouží ochranu. Bezpečnost lze zvládnout, ale chce to disciplínu.
Z pohledu zavádění ochrany osobních údajů doporučuji už neváhat a vybrat si dobrého partnera, který ví, jak na to. Pak si odpracujete šest dní a zbytek do termínu 25. května 2018 můžete z pohledu GDPR odpočívat.
zpovídala Darina Vodrážková
Šest kroků ke zvládnutí GDPR
(zjednodušený přehled)
| Krok | Požadavek | Naplnění |
| 1. Vstupní přehled (datová inventura, „právní“ přehled) |
Zásady zpracování OÚ:
|
Analýza legislativních požadavků a identifikace osobních údajů. Kde co máme? Jakým právem? Účel a doba zpracování. |
| 2. Analýza současného stavu technických a organizačních opatření | Odpovědnost správce | Jak chráníme? Kdo chrání? Správa přístupů, dat a záloh. Elektronická i fyzická podoba. |
| 3. Posouzení rizik a dopadů | Přístup založený na riziku | Analýza rizik |
| 4. Zavedení systému ochrany osobních údajů Aktualizace nebo vytvoření odpovídající dokumentace |
Zásady zpracování Souhlas se zpracováním je svobodný a oddělený |
Politika ochrany OÚ Zásady zpracování OÚ Doložky o ochraně OÚ Aktualizace souhlasů Smlouva se zpracovateli |
| 5. Zavedení organizačních opatření a technických opatření dle rizikovosti zpracování osobních údajů | Odpovědnost správce | Školení vedoucích pracovníků Školení zaměstnanců |
| 6. Zvládání bezpečnostních událostí Prokazování souladu, kontrola opatření, testování |
Zajištění všech práv subjektů údajů Hlášení porušení zabezpečení osobních údajů |
Šablony odpovědí Ověřování opatření |
DAQUAS doporučuje
GrossoCom
je inovativní a dynamicky se rozvíjející česká firma, která nabízí komplexní řešení v oblasti dodávek IT infrastruktury (servery, storage, security) a následné podpory formou externí správy IT infrastruktury.
Specializuje se na virtualizaci serverů, dodávky odpovídajícího řešení ochrany dat, doručování aplikací. Dokáže jednotně podporovat celou infrastrukturu, informační systém Money a online služby společnosti Microsoft, jako je Office 365.
Cílem společnosti GrossoCom je pomáhat svým zákazníkům vybudovat kvalitní, funkční a efektivní IT infrastrukturu s následnou servisní podporou. Prioritou je individuální přístup, respektování potřeb zákazníka a kvalita služeb.
Jak vážně to myslí, je vidět i z toho, že je držitelem Certifikátu ČSN ISO/IEC 20000-1, Systém řízení IT služeb. Tato certifikace prezentuje, jak GrossoCom řídí a udržuje kvalitu poskytovaných služeb a informační bezpečnost.
Vizí GrossoCom je budovat a starat se o komplexní, spolehlivou a cenově přijatelnou IT infrastrukturu zákazníků a jejím posláním je poskytovat silnou a spolehlivou podporu v oblasti IT a umožnit tak zákazníkům snazší dosažení jejich obchodních cílů.
Starosti klientům ušetří i svou metodikou GDPR za 6 dní – S námi lehce a jednoduše