Dalo se smrtícímu útoku na primátora zabránit? Experti: Stala se série chyb

Útok na primátora Gdaňsku Pawla Adamowicze (†53) zasáhl celé Polsko – a s ním i české politické špičky. Muselo k němu vůbec dojít? Polská média se zabývají otázkou, zda situaci nepodcenila bezpečnostní agentura. Blesk Zprávy oslovily bezpečnostní experty, kteří našli společnou řeč: bylo to sérií selhání a podcenění situace. „To je něco, co by se snadno mohlo stát i u nás,“ varovala pro Blesk Zprávy odbornice Veronika Fáberová.

Polskem otřásl nedělní útok na primátora Gdaňsku Pawla Adamowicze, který hovořil na pódiu při tradiční polské dobročinné akci. V osm večer pak na scénu vběhl muž, který na politika zaútočil vojenským nožem, starosta následkům zranění podlehl.

„Haló! Haló! Jmenuju se Stefan, seděl jsem nevinně ve vězení, seděl jsem nevinně ve vězení. Občanská platforma mě mučila, právě proto dnes zemřel Adamowicz,“ křičel po útoku muž. Adamowicz byl dříve členem této strany. Sedmadvacetiletý místní muž měl před útokem kolem krku kartičku s nápisem „média“.

Police potvrdila, že útočník má kriminální minulost. Podle informací médií jde o sedmadvacetiletého Stefana W., který byl v roce 2014 odsouzen za ozbrojené přepadení čtyř poboček bank v Krakově. Na svobodu se dostal nedávno – někdy na přelomu roku. O motivech ještě policie neinformovala. Útočník měl prý ovšem dříve i psychické problémy: soudní psychiatr mu diagnostikoval paranoidní schizofrenii.

Pochybnosti však vzbuzuje to, zda při útoku neselhali organizátoři akce. „Vystrašilo mě to, především, že ten člověk (útočník Stefan W. – pozn. red.) chodil po útoku po scéně s nožem, to trvalo věčnost,“ vyjádřil se pro server Gazeta.pl politik a právník Ryszard Kalisz. Z jeho pohledu byla akce „zcela nechráněná“.

„V takových situacích by měla být ochranné službě okamžitě odebrána koncese,“ dodal Kalisz.

 

I podle polské policie selhala ochranka. „Za zajištění bezpečnosti na takové akci je v prvé řadě odpovědný organizátor akce,“ řekl pro TVN24 mluvčí polské policie Mariusz Ciarka. Poblíž pódia z vlastní iniciativy bylo podle něj dvacet policistů, kteří neprodleně zasáhli, když viděli, co se odehrává.

Podle expertky riziko podceňujeme i v Česku

„Plánování bezpečnosti tam evidentně selhalo, protože u vstupu na pódium by ochranka měla být a neměla by tam nikoho pustit,“ řekl pro Blesk Zprávy Jan Fáček ze společnosti Hofa Guard.

Podle Fáčka nelze brát jako omluvu ani to, že útočník získal novinářský vstup. „Jezdíme s velkými kapelami, od Lucky Bílé po Kabáty, a tam víme, který držitel press karty smí fotit z pódia. Ten pořadatel mi ho přijde ukázat a je to většinou jeden člověk,“ upozornil. Podle něj se sešlo chyb více. To, že Stefan W. získal novinářskou akreditaci, je jen jednou z nich.

Podle polských médií ochranka dokonce ani nebyla během útoku na scéně. „Splnili jsme všechny formální i praktické požadavky, situace je předmětem vyšetřování,“ řekl pro server Wyborcza Łukasz Isenko, mluvčí bezpečnostní agentury Tajfun, která byla za bezpečnost akce zodpovědná. Podle Isenka se navíc jednalo o bezpečnost na veřejné akci, ne o osobní ochranu starosty. „To jsou dvě úplně rozdílné věci,“ vysvětlil.

Selhání? V backstage nebo sektoru pro média

„Pokud došlo k selhání ochranky, pak pravděpodobně někde v backstage nebo v sektoru vyhrazeném pro média – odtud musí být zabráněno nepovolaným vstupovat na pódium,“ vyhodnotila situaci pro Blesk Zprávy bezpečnostní expertka Veronika Fáberová ze společnosti Doverville.

Podle Fáberové je otázkou, zda backstage hlídala bezpečnostní služba, nebo si to řešil organizátor akce vlastními silami. „Útočníka evidentně nikdo z bezpečnostní služby nezaregistroval a nevyhodnotil ho jako riziko, soudě podle toho, jak dlouho se pohyboval na pódiu,“ dodala.

Podobná situace by přitom prý snadno mohla nastat i v České republice. „U nás stále bezpečnost akcí na veřejných prostranstvích velmi podceňujeme. Často od pořadatelů slýchám: ‚Děláme to takhle už léta a nikdy se nic podobného nestalo.‘ To logicky jen zvyšuje pravděpodobnost, že k negativní události dříve nebo později dojde,“ varovala pro Blesk Zprávy odbornice.

Odbornice varuje: Organizátoři nemají často potřebné znalosti

Podle Fáberové nemají lidé zodpovědní za organizování takových akcí totiž často potřebné bezpečnostní znalosti. „Snad právě proto podceňují význam bezpečnostní prevence. U nás se vždy něco pohne až po nějaké tragédii – jako například ve škole ve Žďáru,“ připomněla tragédii, kdy na obchodní akademii ve Žďáru nad Sázavou psychicky nemocná útočnice s nožem pobodala několik studentů a zabila 16letého chlapce. Případ tehdy vedl k diskusi o zajištění bezpečnosti na školách.

Přitom není potřeba vymýšlet nic nového, stačí jen využít stávajících možností. „Ochrana akcí na veřejných prostranstvích spadá do kategorie ochrany měkkých cílů. Ministerstvo vnitra ČR letos vypsalo dotační titul na zpracování potřebné dokumentace a výcvik lidí zodpovědných za organizování podobných akcí. Některé kraje však rizika stále podceňují a dotačních titulů zřejmě asi nevyužijí,“ upozornila Fáberová.

Zdroj: Blesk.cz, 15.1.2019

https://www.blesk.cz/clanek/zpravy-svet/588778/dalo-se-smrticimu-utoku-na-primatora-zabranit-experti-stala-se-serie-chyb.html

 


Policie radí, jak se chovat při útoku aktivního střelce

Utíkej, schovej se, bojuj!

Preventivní videospot ukazuje, jak reagovat v případě útoku tzv. aktivního střelce.

Policisté z Oddělení tisku a prevence Krajského ředitelství policie hl. m. Prahy tímto videospotem navazují na své předchozí preventivní projekty zaměřené na problematiku útoku tzv. aktivního střelce, kterým se věnují od roku 2011. V té době začali připravovat vzdělávací seminář s názvem „Postup při mimořádných událostech ve školách a školských zařízeních“, který byl určen zástupcům vedení jednotlivých škol a především samotným pedagogům. Účastníci semináře se seznámili s nejznámějšími případy útoků ve školách, typologií útočníků a především s postupem, jak se zachovat v okamžiku útoku. Důležitá byla také prevence v podobě vodítek vedoucích k identifikaci potencionálního školního střelce, nechyběly také praktické rady a doporučení na přijetí systémových a technických opatření, která by v případě reálného útoku minimalizovala možné škody a usnadnila práci složek IZS. S nabídkou účasti na semináři pražští policisté oslovili téměř 900 základních, středních, vyšších odborných a vysokých škol. Semináře byly realizovány v letech 2012 a 2013.

Po tragické události ve Žďáru nad Sázavou v roce 2014 razantně vzrostl zájem o vzdělávání pedagogické veřejnosti v této problematice. Reakcí byl inovovaný seminář „Ozbrojený útočník ve škole“, který navazoval na ten předchozí a doplňoval ho o nové poznatky. S nabídkou účasti na semináři pražští policisté tentokrát oslovili téměř 1200 škol a školských zařízení působících na území hlavního města Prahy. Semináře byly realizovány v letech 2015 a 2016.

Útok ozbrojeného střelce v Uherském Brodě v roce 2015 a následné teroristické útoky v zahraničí výrazně zvýšily zájem české veřejnosti o informace, jak správně reagovat v takto mimořádných situacích. Pražská policie tak v rámci strategie ochrany tzv. „měkkých cílů“ zareagovala na poptávku veřejnosti a po vzoru zahraničních policejních sborů začala s tvorbou preventivního videospotu. V zemích, kde jsou tyto útoky četnější, je policií veřejnosti prezentován globální koncept tzv. cesty k přežití, založený na třech krocích: ÚTĚK – ÚKRYT – BOJ. Z tohoto konceptu vycházela i pražská policie.

Čím je specifický útok tzv. aktivního střelce?

  • Častěji útočí jednotlivci
  • Jejich cílem je v co nejkratší době zabít co nejvíce lidí, bez určitého vzorce výběru oběti
  • Záměrně si vybírají místa s vysokou koncentrací osob (obchodní centra, náměstí, dopravní uzly, turisticky vyhledávané cíle …)  
  • K útoku využívají různé druhy zbraní (střelné, bodné, výbušniny, vozidla …)
  • Neberou rukojmí, nevyjednávají
  • Stejná taktika je často využívána také při teroristických útocích!
  • Rozdíl mezi útokem aktivního střelce a teroristickým útokem je pouze v motivaci útočníka!

Jak reagovat v případě útoku tzv. aktivního střelce?

  • UTÍKEJPokud máte možnost využít únikovou cestu, utečte!

                           – Své osobní věci a cennosti nechte tam, kde jsou

                           – Pokud je to možné, pomozte ostatním s útěkem.

VARUJVarujte ostatní před vstupem do nebezpečné zóny

                                          – Z bezpečí zavolejte pomoc na číslo 158

  • SCHOVEJ SEPokud nemůžete utéct do bezpečí, je třeba najít místo kam se schovat!

                              – Zamkněte nebo zablokujte dveře 

                              – Schovejte se za pevné předměty

                              – Přepněte svůj telefon do tichého režimu, zůstaňte potichu

VARUJPokud to situace dovolí, volejte pomoc na číslo 158

Nejdůležitější informace pro operátora: kde jste a co se děje.   

  • BOJUJ Pokud je váš život v přímém ohrožení, bojujte!

                    – Snažte se zneškodnit střelce

                    – Jednejte rychle a násilně

                    – Použijte jakékoliv předměty, které se dají využít jako zbraně

                    – Jednejte maximálně efektivně

Když na místo dorazí bezpečnostní složky:

  • Zůstaňte v klidu a poslouchejte instrukce
  • Ruce držte vždy ve viditelné pozici
  • Vyvarujte se křiku a divoké gestikulaci
  • Mějte na paměti, že pomoc zraněným je na cestě

Partnerem projektu je Magistrát hlavního města Prahy, který ho hradil z finančních prostředků poskytnutých hlavním městem Prahou na prevenci kriminality. „Partnerství s magistrátem si velice vážím a uvědomuji si, že bez jeho podpory bychom tento projekt jen stěží realizovali. V tomto ohledu jsem rád, že naše vzájemná dlouhodobá spolupráce přináší i takové projekty, které budou v konečném důsledku sloužit ku prospěchu široké veřejnosti“, uvedl brigádní generál Miloš Trojánek, ředitel Krajského ředitelství policie hlavního města Prahy.

„Jsem rád, že jsme mohli výraznou měrou přispět ke zrodu tohoto ojedinělého preventivního projektu, který bude zároveň důležitou součástí nového informačního portálu Magistrátu hlavního města Prahy s názvem Bezpečnost. Praha.eu“, dodal Libor Hadrava, radní Magistrátu hlavního města Prahy pro bezpečnost.    

Videospot je na YouTube kanálu Policie ČR https://www.youtube.com/watch?v=3Ierde6f9A0 k dispozici je i ve verzi s titulky a překladem do českého znakového jazyka https://www.youtube.com/watch?v=hEuAXc6tsuQ. Videospot je také umístěn na You Tube kanálu Týdeníku Policie https://www.youtube.com/watch?v=seKy2nXDx7s

Videospot je dále také umístěn na YouTube kanálu Praha.eu  https://www.youtube.com/user/PortalPrahaEu/featured. Další informace o této problematice naleznete na portálu MHMP https://bezpecnost.praha.eu/clanky/co_delat_kdyz

.

mjr. Bc. Ondřej Penc
por. Bc. Ladislav Beránek
7.6.2017

Zdroj: http://www.policie.cz/clanek/utikej-schovej-se-bojuj.aspx



ROADSEC Security Toolkit

Soubor pokynů ROADSEC vypracovala na žádost Komise odborná bezpečnostní agentura. Výzkumný tým shromáždil a analyzoval stávající informace o bezpečnosti přepravy a bezpečnosti silniční dopravy. Tým vycházel z reálných dat a  ke spolupráci přizval bezpečnostní experty na dopravu. Soubor poskytuje jasné provozní pokyny, které pomohou evropským řidičům nákladních automobilů, dopravním společnostem a dalším klíčovým zúčastněným stranám řešit odcizení nákladu, vniknutí osob do nákladních automobilů a terorismus na evropských silnicích. ROADSEC aktualizuje a modernizuje současné bezpečnostní postupy, které se rychle stávají zastaralými v rámci neustále se vyvíjejícího rizika, nových technologií a regulačních změn. Vývoj nástrojů ROADSEC se uskutečnil v období od ledna do září roku 2017.

MI0418018ENN.en – Road Comm transport


S osobními údaji klientů se dnes vesele obchoduje, říká auditor

Od května začnou platit nová pravidla pro nakládání s osobními údaji, jež mají zamezit nedbalému přístupu k ochraně citlivých informací. „Ve firmách leží hromady dokumentů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To se bude muset změnit,“ říká odborník na danou problematiku Radek Kubíček.

Auditor GDPR Radek Kubíček | foto: Yan Renelt, MAFRA

Firmy, živnostníci, ale třeba i školy nebo nemocnice se připravují na nová pravidla, jež přináší Obecné nařízení o ochraně osobních údajů (GDPR). Nařízení, které schválila Evropská unie a u nás začne platit 25. května, se bude týkat všech podniků a organizací, které zpracovávají osobní údaje. Správci a zřizovatelé budou muset dokládat, jak svěřená data chrání.

Proč je podle vás potřeba chránit osobní data?
Každý z nás poskytuje osobní údaje při různých registracích, on-line nákupech nebo při využívání dalších služeb, včetně služeb veřejné správy. GDPR přináší kontrolu nad tím, jakým způsobem jsou naše data chráněna, a stanovuje pravidla pro ochranu našich práv.

Uvedu jeden příklad, kdy ke zneužití dat došlo: Jeden ze zaměstnanců IT oddělení společnosti T-Mobile odcizil klientskou databázi firmy, a kvůli tomu došlo k masivnímu úniku dat více než milionu zákazníků. Unikly údaje o tarifech, jména i data narození, průměrné útraty i čísla účtů. Společnost dostala pokutu ve výši 3,6 milionu korun. Kdyby k úniku dat takového rozsahu došlo až v okamžiku, kdy GDPR vstoupí v platnost, mohla by pokuta být vyčíslena na částku až 270 milionů korun.

Takže nařízení přenese odpovědnost za pochybení na zaměstnance? Definuje také případné sankce, které by je měly odradit?
Primární odpovědnost je vždy na straně správce osobních údajů – nejčastěji statutárních zástupců, v jejichž kompetenci je nastavit taková bezpečnostní opatření, aby k únikům docházelo v minimální míře. Určitá míra odpovědnosti však přechází také na zaměstnance, kteří jsou v roli zpracovatelů osobních údajů. Míra této odpovědnosti bude stanovena na základě zpracování analýzy rizik ve vztahu k agendám, ke kterým má zaměstnanec přístup. Na základě toho pak zaměstnavatel může požadovat náhradu škody, pokud se prokáže, že vinu za únik osobních údajů nese prokazatelně zaměstnanec.

Je možné odpovědnost přenést také na externí firmy, které pro organizaci osobní údaje zpracovávají?
Povinnost ochrany dat se bude vztahovat samozřejmě i na externí zpracovatele osobních údajů. Kromě mzdových účetních se to týká také například dodavatelů účetních programů, evidenčního softwaru a podobně. Zde je nutné smluvně stanovit nejen míru odpovědnosti za případný únik dat, ale také je důležité, aby si vedení společnosti ověřilo, jakým způsobem zajistil soulad s nařízením jeho dodavatel.

Co je všechno považováno za osobní citlivá data?
Patří sem údaje o rasovém a etnickém původu, sexuální orientaci, náboženském vyznání, informace o zdravotním stavu, trestních deliktech, genetické a biometrické údaje. Proto zde platí přísnější pravidla pro jejich zpracování. Řada subjektů brala osobní údaje na lehkou váhu. Přišli jsme třeba na to, že ve firmách leží hromada papírů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To bude potřeba, aby se změnilo.

Jeden účetní mi říkal, že bude muset dávat šanony do trezoru. Je to pravda?
Nařízení se samozřejmě dotýká i fyzické bezpečnosti, takže určitě budou muset mít uzamykatelné kartotéky. Pokud zálohují určitá citlivá data na serverech, tak by měla být zpřístupněna jenom určitým osobám. Bude potřeba dodržovat zásady kyberbezpečnosti.

Z čeho máte největší obavu vy sám?
V tuto chvíli mě nejvíce udivuje, kolik správců osobních údajů bere problematiku GDPR stále na lehkou váhu a vyčkává, jestli si to někdo nerozmyslí a nařízení nezruší. Jedná se nejen o komerční sféru, ale také o zástupce veřejné správy. Tito lidé si neuvědomují nebo podceňují rizika –například trestněprávní odpovědnost –, která mohou nastat. Pro obce a města i další žadatele to v případě prokázání trestného činu může znamenat i pozastavení dotací z Evropské unie.

Do budoucna se pak začínám obávat dvou věcí. Na straně jedné může docházet k zamlčování bezpečnostních incidentů, protože lidem bude připadat obtížné do 72 hodin definovat rozsah ztráty dat, připravit protokol a nahlásit vše na úřadu. Na druhé straně může dojít k tomu, že se roztrhne pytel se žalobami, které mohou v některých případech směřovat až k Evropskému soudnímu dvoru.

Je také velmi důležité jmenovat kvalitního pověřence pro ochranu osobních údajů. Jeho funkci řada lidí i subjektů neustále podceňuje a myslí si, že to bude jen funkce „na papíře“. Dokud nepadnou pokuty, které se budou medializovat, a nezačnou se představovat příklady špatné praxe, tak se řada organizací bude snažit nacházet kličky, jak nařízení obejít.

Na co všechno bude potřeba souhlas?
Souhlas bude nutný k využívání sociálních sítí, pro odběry newsletteru, k zasílání obchodních sdělení a podobně. Více však bude potřeba zaměřit se na to, jak musí takový souhlas vypadat – protože ty dnešní obecné souhlasy budou nedostatečné.

Změny se budou týkat i škol. Jsou již na zavedení nařízení připraveny?
Bohužel ne. Řada škol a školských zařízení vyčkává, jak se situace vyvine. Naše praxe ukazuje, že ředitelé nevědí, jak celou problematiku GDPR uchopit. Snažíme se díky spolupráci se Spolkem na ochranu osobních údajů nebo Asociací bezpečná škola připomínkovat metodiky ministerstva školství, ale také připravujeme případové konference pro ředitele škol. Prostřednictvím našich členů se snažíme být tou pomyslnou pomocnou rukou, proto se na nás školy mohou s důvěrou obracet s dotazy nebo požadavky na zajištění veškerých služeb, včetně funkce pověřence.

Co bude tedy pro školy GDPR v praxi znamenat?
Prvním krokem je v každém případě vstupní audit, který zhodnotí stávající stav a rozsah zpracování osobních údajů. Poté bude následovat přijetí určitých organizačních a technických opatření, která by však neměla nijak zásadně narušit chod školy. Dalším krokem bude zpracování analýzy rizik a stanovení míry odpovědnosti za zpracování údajů u jednotlivých pracovníků školy. Od května pak bude pro školy platit povinnost jmenovat pověřence pro ochranu osobních údajů.

Jaká bude role takového pověřence?
Funkce pověřence budí asi největší rozpory. Hlavním úkolem bude vykonávat poradenskou činnost a kontrolovat, jestli nařízení dodržují. Dále bude realizovat školení pro zaměstnance, analyzovat a ohlašovat případy narušení bezpečnosti a tak dál. Těch činností je mnohem víc. Ve školách bude často nutné zajistit tyto služby externě, a to kvůli možnému střetu zájmů stávajících pracovníků. Toho už využívají některé komerční subjekty, které sice lákají na nízkou cenu, ale služby pověřence nabízí jen přes telefon nebo e-mail, což podle mě nelze.

Spíše doporučujeme zajistit si prověřené společnosti na zpracování vstupního auditu a analýzy rizik a následně si zvolit schopného a kompetentního pověřence se zkušenostmi v oblasti informační, fyzické i kybernetické bezpečnosti a v oblasti práva a auditní činnosti. Na první pohled dražší paušální služby mohou škole ušetřit nemalé peníze v případě kontroly dozorových orgánů nebo žalob ze strany subjektů údajů. Také jim doporučuji, aby se nebáli smluvně vyžadovat pojištění odpovědnosti poskytovatele služeb, sankce a náhradu škody, ale také například dopravní dostupnost pověřence nebo jeho osobní účast v případě kontroly dozorových orgánů.

Když jdu dnes točit reportáž do školy, musím si opatřit písemný souhlas tamních žáků. Bude to nadále stačit, nebo bude systém ještě přísnější?
Pro tento účel určitě souhlas stačit bude. Pravděpodobně však bude nutné jeho znění upravit tak, aby splnil požadavky GDPR. Podle něj totiž souhlas musí obsahovat jednoznačně definovaný účel a dobu zpracování, musí být informovaný, doložitelný a ničím nepodmíněný.

GDPR se samozřejmě netýká jen škol, ale také třeba podnikatelů a živnostníků. Co budou oni muset dělat jinak?
Záleží na tom, jak dodržovali stávající zákon o ochraně osobních údajů. Pokud měli nastavené funkční procesy ochrany osobních údajů, určitě pro ně GDPR není strašákem a bude jim stačit aktualizovat stávající systém. V případě, že legislativu nedodržovali, čeká je spousta práce a GDPR pro ně může být hrozbou, protože teď během pár měsíců musí stihnout to, co řadu let zanedbávali.

Vezměme to teď z druhé stránky. Změní se třeba něco pro mě jako pro uživatele e-shopu?
Co se týče nákupu zboží nebo služeb, tak ne, protože tento proces od výběru zboží až po doručení k zákazníkovi se řídí platnými zákony. Pokud by však obchodník chtěl využít váš e-mail nejen k zaslání potvrzení objednávky, ale také například k rozesílání obchodních sdělení, nesmí být políčko s udělením takového souhlasu předvyplněno, ale musíte to být vy, kdo ho aktivně odklikne v případě, že zájem o takové e-maily máte. Kromě toho všichni obchodníci mají povinnost na svých stránkách zveřejnit zásady ochrany osobních údajů.

Z toho, co slýchám od učitelů nebo živnostníků, mi vyplývá, že si každý podmínky nařízení vykládá trochu jinak. Čím by se tedy měli řídit?
Zdravým selským rozumem, protože je potřeba najít optimální cestu k zavedení GDPR tak, aby správce údajů mohl s klidným svědomím prokázat, že udělal maximum pro to, aby zpracovávané osobní údaje chránil. Především je pak nutné, aby se organizace, které se do této problematiky snaží vnést světlo, sešly u kulatého stolu na ministerstvu vnitra a spolu s odpovědnými orgány se dohodly, jak nastavit jednotná pravidla do doby, než bude schválen adaptační zákon, tedy návrh zákona o zpracování osobních údajů.

Jaké podle vás nařízení přinese výhody?
Mezi výhody určitě patří nastavení jednotných pravidel a šance, že nebude docházet k prodejům klientských databází mezi firmami. Za důležité také považuji to, že bude jasně definovaná míra právní odpovědnosti jednotlivých zaměstnanců a všechno nepůjde na vrub organizace.

A naopak?
Největší nevýhodou z pohledu správců dat jsou finanční náklady. Implementace GDPR a dodržování pravidel ochrany osobních údajů pravděpodobně bude vyžadovat své stálé místo v rozpočtech organizací, protože problematiku ochrany osobních údajů nebude možné vyřešit jednorázovou investicí. Kvůli nedostatku kvalifikovaných auditorů a pověřenců se mohou nabídky na tyto služby vyšplhat k astronomickým částkám.

Je podle vás toto nařízení potřeba?
Já se domnívám, že ano. Řada subjektů bere ochranu osobních údajů na lehkou váhu a považuje osobní údaje za další komoditu ve firemním portfoliu. Kontrola v této oblasti je nezbytností, protože dnes je běžnou praxí, že se přístup k citlivým osobním údajům nekontroluje, spisy se povalují volně na stolech v otevřených kancelářích a klientské databáze se vesele rozprodávají na trhu.

Autor a zdroj: Michaela Bůnová, iDNES.cz,3. února 2018  9:45

Radek Kubíček

Narodil se v roce 1980. Vystudoval Univerzitu Palackého a obor veřejná správa na Univerzitě CEMI. V praxi se dlouhodobě věnuje auditorské činnosti, informační a datové bezpečnosti a oblasti risk managementu. Je jednatelem společnosti 2K Consulting a členem Spolku pro ochranu osobních údaju, kde působí v komisi pro veřejnou správu a podílí se na vzniku registru pověřenců pro Česko. Působí také jako předseda pracovní skupiny GDPR v Asociaci bezpečná škola.

 


Bezpečná ochrana osobních údajů na školách

Společnost Doverville nabízí, ve spolupráci s renomovanými odborníky, i poradenství a audity v oblasti GDPR, a to jak pro komerční sféru, tak i organizace státní správy i samosprávy. Přinášíme Vám rozhovor s našim spolupracovníkem, vedoucím auditorem ochrany osobních údajů a odborníkem na GDPR Bc. Radkem Kubíčkem, MBA, na specifické téma ochrany osobních údajů a implementaci GDPR pro školy a školská zařízení v ČR.

Jak dlouho se zabýváte problematikou ochrany osobních údajů?

Voblasti personálních a procesních auditů se zaměřením na ochranu osobních údajů se pohybuji již pátým rokem. Společnost 2K CONSULTING s.r.o., v níž jsem jednatelem, se již od začátku zabývala mj. auditní činností ve veřejné správě. Po pětileté praxi v oblasti ochrany osobních údajů pro mne GDPR není strašákem, ale výzvou, kam se posunout dále. Díky tomu se aktuálně aktivně zapojuji i dopracovních skupin Spolku pro ochranu osobních údajů, z. s., a Komory certifikovaných pověřenců GDPR, z. s.

Máte zkušenosti také se školstvím? V čem vidíte aktuální problém na školách?

Kromě auditní činnosti nabízíme v našem portfoliu služeb také projektový i vzdělávací servis pro mateřské, základní a střední školy, proto jsem se statutárními zástupci pravidelně v kontaktu a vím, co školy v současné době trápí. Školní klima znám dobře, a uvědomuji si, že GDPR může být stresující pro všechny. Už nyní mají pedagogové dost administrativní zátěže a další povinnosti jim přibudou. Bezpečnost na školách vnímám jako uspokojivou pouze po stránce fyzické bezpečnosti. V oblasti kybernetické bezpečnosti narážíme mezi školami na velké rozdíly, protože jen malé procento z nich má za sebou bezpečnostní audit. Některé školy si neuvědomují, že už jen to, že pedagogové a další pracovníci školy nemají počítač zabezpečený heslem, může být velký problém.

Co nařízení GDPR bude tedy pro školy znamenat?

Nejdůležitější je zjistit, jak na tom školy a školská zařízení jsou v oblasti ochrany osobních údajů v tuto chvíli. Během vstupních auditů zjišťujeme, že mnohé školy mají mezery ve znalosti zákona č. 101/2000 Sb. o ochraně osobních údajů a mnohdy třeba vůbec neví, že mají povinnost registrace u Úřadu pro ochranu osobních údajů, čímž porušují již stávající legislativu. Pro zhodnocení stávajícího stavu ochrany osobních údajů a bezpečnosti při jejich zpracování si školy musí provést vstupní GDPR audit. Díky ní budou schopni identifikovat, jaké změny bude nutné vnávaznosti na nařízení GDPR provést, jak upravit stávající dokumentaci a jaké doplnit směrnice. Po zpracování vstupní analýzy pak v procesu implementace GDPR bude následovat zpracování analýzy rizik, školení zaměstnanců a další činnosti.

Kdy je potřeba s implementací GDPR začít a jaké to pro školy a školská zařízení znamená náklady?

Vstupní analýza GDPR je základem pro další implementaci tohoto nařízení. Aby se vše stihlo do 25. května 2018, kdy nařízení nabývá účinnosti, mám pocit, že už nyní je pozdě. Pokud se mají přijmout organizační, procesní a technická opatření, bude to jistě znamenat velký zásah do rozpočtu nejen na rok 2018, ale i na další léta. Je nutné si uvědomit, že se jedná dlouhodobý proces. Pozitivní zprávou však je, že některé náklady spojené s auditem ochrany osobních údajů a kybernetické bezpečnosti lze hradit v rámci realizací projektu z OP VVV. Zde mohou školy rezervu ze šablon uplatnit v rámci provozních nákladů. Dle dotazů na MŠMT se jedná o uznatelný náklad.

Jak poznat, která organizace může na škole realizovat audit, je spolehlivá a má zkušenosti s ochranou osobních údajů?

Bohužel společností, které se prezentují jako odborníci na GDPR je spousty. Řada z nich však vznikla letos bez jakékoliv historie či zkušeností. Já vždy říkám, že hodně o Vás hovoří reference a historie zakázek, které jste schopni doložit. Kromě toho je důležité požadovat také praxi auditorů v oblasti ochrany osobních údajů. V neposlední řadě by nás mělo zajímat, jak se daná společnost angažuje v rámci odborných spolků a asociací, které jsou ve spojení s Úřadem pro ochranu osobních údajů, MV ČR, MŠMT ČR a dalších institucí. I proto jsem rád, že tento servis bude pro školy zařizován přes Asociaci Bezpečná škola, z. s.

Co role pověřence pro ochranu osobních údajů ?

Podle toho, co k výkonu funkce pověřence vím ohledně výkladů pracovní skupiny WP 29, nejsou žádné podmínky pro výkon této funkce stanoveny. Bohužel se nám zde každý „pojišťovák“ začíná prezentovat jako odborník na ochranu osobních údajů. I proto budeme s mými kolegy na pracovních skupinách požadovat vytvoření registru certifikovaných pověřenců, kde si budeme tyto lidi prověřovat. Školy a školská zařízení nakládají s citlivými údaji a měly by mít kvalifikovaný dohled. Další věc je dopravní dostupnost pověřence a pojištění odpovědnosti za škodu způsobenou třetím osobám. Určitý registr by mohl vzniknout i v rámci působnosti Asociace Bezpečná škola, z. s. Některé informace musí být transparentní, aby budily důvěryhodnost také zákonných zástupců dětí na školách. Věřím, že i Asociace Bezpečná škola, z. s., bude schopna některé odborníky ke spolupráci doporučit.

Na závěr, z čeho máte v souvislosti s GPDR největší obavy?

GDPR bude nástrojem pro udávání, vydírání a zastrašování. Jakákoliv fyzická osoba, může dát podnět k prošetření, že jeho osobní údaje byly zneužity. Pokud vezmeme v úvahu vysoké pokuty v případě zjištění pochybení při nakládání s osobními údaji, mohou se organizace dostat do velmi složité situace. Důležité je nepodceňovat situaci a být připraven. Až se stane problém, bude už pozdě.

Doverville s.r.o. je aktivním členem Asociace Bezpečná Škola