Vzrůstající násilí – události

Od května začnou platit nová pravidla pro nakládání s osobními údaji, jež mají zamezit nedbalému přístupu k ochraně citlivých informací. „Ve firmách leží hromady dokumentů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To se bude muset změnit,“ říká odborník na danou problematiku Radek Kubíček.

Auditor GDPR Radek Kubíček | foto: Yan Renelt, MAFRA

Firmy, živnostníci, ale třeba i školy nebo nemocnice se připravují na nová pravidla, jež přináší Obecné nařízení o ochraně osobních údajů (GDPR). Nařízení, které schválila Evropská unie a u nás začne platit 25. května, se bude týkat všech podniků a organizací, které zpracovávají osobní údaje. Správci a zřizovatelé budou muset dokládat, jak svěřená data chrání.

Proč je podle vás potřeba chránit osobní data?
Každý z nás poskytuje osobní údaje při různých registracích, on-line nákupech nebo při využívání dalších služeb, včetně služeb veřejné správy. GDPR přináší kontrolu nad tím, jakým způsobem jsou naše data chráněna, a stanovuje pravidla pro ochranu našich práv.

Uvedu jeden příklad, kdy ke zneužití dat došlo: Jeden ze zaměstnanců IT oddělení společnosti T-Mobile odcizil klientskou databázi firmy, a kvůli tomu došlo k masivnímu úniku dat více než milionu zákazníků. Unikly údaje o tarifech, jména i data narození, průměrné útraty i čísla účtů. Společnost dostala pokutu ve výši 3,6 milionu korun. Kdyby k úniku dat takového rozsahu došlo až v okamžiku, kdy GDPR vstoupí v platnost, mohla by pokuta být vyčíslena na částku až 270 milionů korun.

Takže nařízení přenese odpovědnost za pochybení na zaměstnance? Definuje také případné sankce, které by je měly odradit?
Primární odpovědnost je vždy na straně správce osobních údajů – nejčastěji statutárních zástupců, v jejichž kompetenci je nastavit taková bezpečnostní opatření, aby k únikům docházelo v minimální míře. Určitá míra odpovědnosti však přechází také na zaměstnance, kteří jsou v roli zpracovatelů osobních údajů. Míra této odpovědnosti bude stanovena na základě zpracování analýzy rizik ve vztahu k agendám, ke kterým má zaměstnanec přístup. Na základě toho pak zaměstnavatel může požadovat náhradu škody, pokud se prokáže, že vinu za únik osobních údajů nese prokazatelně zaměstnanec.

Je možné odpovědnost přenést také na externí firmy, které pro organizaci osobní údaje zpracovávají?
Povinnost ochrany dat se bude vztahovat samozřejmě i na externí zpracovatele osobních údajů. Kromě mzdových účetních se to týká také například dodavatelů účetních programů, evidenčního softwaru a podobně. Zde je nutné smluvně stanovit nejen míru odpovědnosti za případný únik dat, ale také je důležité, aby si vedení společnosti ověřilo, jakým způsobem zajistil soulad s nařízením jeho dodavatel.

Co je všechno považováno za osobní citlivá data?
Patří sem údaje o rasovém a etnickém původu, sexuální orientaci, náboženském vyznání, informace o zdravotním stavu, trestních deliktech, genetické a biometrické údaje. Proto zde platí přísnější pravidla pro jejich zpracování. Řada subjektů brala osobní údaje na lehkou váhu. Přišli jsme třeba na to, že ve firmách leží hromada papírů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To bude potřeba, aby se změnilo.

Jeden účetní mi říkal, že bude muset dávat šanony do trezoru. Je to pravda?
Nařízení se samozřejmě dotýká i fyzické bezpečnosti, takže určitě budou muset mít uzamykatelné kartotéky. Pokud zálohují určitá citlivá data na serverech, tak by měla být zpřístupněna jenom určitým osobám. Bude potřeba dodržovat zásady kyberbezpečnosti.

Z čeho máte největší obavu vy sám?
V tuto chvíli mě nejvíce udivuje, kolik správců osobních údajů bere problematiku GDPR stále na lehkou váhu a vyčkává, jestli si to někdo nerozmyslí a nařízení nezruší. Jedná se nejen o komerční sféru, ale také o zástupce veřejné správy. Tito lidé si neuvědomují nebo podceňují rizika –například trestněprávní odpovědnost –, která mohou nastat. Pro obce a města i další žadatele to v případě prokázání trestného činu může znamenat i pozastavení dotací z Evropské unie.

Do budoucna se pak začínám obávat dvou věcí. Na straně jedné může docházet k zamlčování bezpečnostních incidentů, protože lidem bude připadat obtížné do 72 hodin definovat rozsah ztráty dat, připravit protokol a nahlásit vše na úřadu. Na druhé straně může dojít k tomu, že se roztrhne pytel se žalobami, které mohou v některých případech směřovat až k Evropskému soudnímu dvoru.

Je také velmi důležité jmenovat kvalitního pověřence pro ochranu osobních údajů. Jeho funkci řada lidí i subjektů neustále podceňuje a myslí si, že to bude jen funkce „na papíře“. Dokud nepadnou pokuty, které se budou medializovat, a nezačnou se představovat příklady špatné praxe, tak se řada organizací bude snažit nacházet kličky, jak nařízení obejít.

Na co všechno bude potřeba souhlas?
Souhlas bude nutný k využívání sociálních sítí, pro odběry newsletteru, k zasílání obchodních sdělení a podobně. Více však bude potřeba zaměřit se na to, jak musí takový souhlas vypadat – protože ty dnešní obecné souhlasy budou nedostatečné.

Změny se budou týkat i škol. Jsou již na zavedení nařízení připraveny?
Bohužel ne. Řada škol a školských zařízení vyčkává, jak se situace vyvine. Naše praxe ukazuje, že ředitelé nevědí, jak celou problematiku GDPR uchopit. Snažíme se díky spolupráci se Spolkem na ochranu osobních údajů nebo Asociací bezpečná škola připomínkovat metodiky ministerstva školství, ale také připravujeme případové konference pro ředitele škol. Prostřednictvím našich členů se snažíme být tou pomyslnou pomocnou rukou, proto se na nás školy mohou s důvěrou obracet s dotazy nebo požadavky na zajištění veškerých služeb, včetně funkce pověřence.

Co bude tedy pro školy GDPR v praxi znamenat?
Prvním krokem je v každém případě vstupní audit, který zhodnotí stávající stav a rozsah zpracování osobních údajů. Poté bude následovat přijetí určitých organizačních a technických opatření, která by však neměla nijak zásadně narušit chod školy. Dalším krokem bude zpracování analýzy rizik a stanovení míry odpovědnosti za zpracování údajů u jednotlivých pracovníků školy. Od května pak bude pro školy platit povinnost jmenovat pověřence pro ochranu osobních údajů.

Jaká bude role takového pověřence?
Funkce pověřence budí asi největší rozpory. Hlavním úkolem bude vykonávat poradenskou činnost a kontrolovat, jestli nařízení dodržují. Dále bude realizovat školení pro zaměstnance, analyzovat a ohlašovat případy narušení bezpečnosti a tak dál. Těch činností je mnohem víc. Ve školách bude často nutné zajistit tyto služby externě, a to kvůli možnému střetu zájmů stávajících pracovníků. Toho už využívají některé komerční subjekty, které sice lákají na nízkou cenu, ale služby pověřence nabízí jen přes telefon nebo e-mail, což podle mě nelze.

Spíše doporučujeme zajistit si prověřené společnosti na zpracování vstupního auditu a analýzy rizik a následně si zvolit schopného a kompetentního pověřence se zkušenostmi v oblasti informační, fyzické i kybernetické bezpečnosti a v oblasti práva a auditní činnosti. Na první pohled dražší paušální služby mohou škole ušetřit nemalé peníze v případě kontroly dozorových orgánů nebo žalob ze strany subjektů údajů. Také jim doporučuji, aby se nebáli smluvně vyžadovat pojištění odpovědnosti poskytovatele služeb, sankce a náhradu škody, ale také například dopravní dostupnost pověřence nebo jeho osobní účast v případě kontroly dozorových orgánů.

Když jdu dnes točit reportáž do školy, musím si opatřit písemný souhlas tamních žáků. Bude to nadále stačit, nebo bude systém ještě přísnější?
Pro tento účel určitě souhlas stačit bude. Pravděpodobně však bude nutné jeho znění upravit tak, aby splnil požadavky GDPR. Podle něj totiž souhlas musí obsahovat jednoznačně definovaný účel a dobu zpracování, musí být informovaný, doložitelný a ničím nepodmíněný.

GDPR se samozřejmě netýká jen škol, ale také třeba podnikatelů a živnostníků. Co budou oni muset dělat jinak?
Záleží na tom, jak dodržovali stávající zákon o ochraně osobních údajů. Pokud měli nastavené funkční procesy ochrany osobních údajů, určitě pro ně GDPR není strašákem a bude jim stačit aktualizovat stávající systém. V případě, že legislativu nedodržovali, čeká je spousta práce a GDPR pro ně může být hrozbou, protože teď během pár měsíců musí stihnout to, co řadu let zanedbávali.

Vezměme to teď z druhé stránky. Změní se třeba něco pro mě jako pro uživatele e-shopu?
Co se týče nákupu zboží nebo služeb, tak ne, protože tento proces od výběru zboží až po doručení k zákazníkovi se řídí platnými zákony. Pokud by však obchodník chtěl využít váš e-mail nejen k zaslání potvrzení objednávky, ale také například k rozesílání obchodních sdělení, nesmí být políčko s udělením takového souhlasu předvyplněno, ale musíte to být vy, kdo ho aktivně odklikne v případě, že zájem o takové e-maily máte. Kromě toho všichni obchodníci mají povinnost na svých stránkách zveřejnit zásady ochrany osobních údajů.

Z toho, co slýchám od učitelů nebo živnostníků, mi vyplývá, že si každý podmínky nařízení vykládá trochu jinak. Čím by se tedy měli řídit?
Zdravým selským rozumem, protože je potřeba najít optimální cestu k zavedení GDPR tak, aby správce údajů mohl s klidným svědomím prokázat, že udělal maximum pro to, aby zpracovávané osobní údaje chránil. Především je pak nutné, aby se organizace, které se do této problematiky snaží vnést světlo, sešly u kulatého stolu na ministerstvu vnitra a spolu s odpovědnými orgány se dohodly, jak nastavit jednotná pravidla do doby, než bude schválen adaptační zákon, tedy návrh zákona o zpracování osobních údajů.

Jaké podle vás nařízení přinese výhody?
Mezi výhody určitě patří nastavení jednotných pravidel a šance, že nebude docházet k prodejům klientských databází mezi firmami. Za důležité také považuji to, že bude jasně definovaná míra právní odpovědnosti jednotlivých zaměstnanců a všechno nepůjde na vrub organizace.

A naopak?
Největší nevýhodou z pohledu správců dat jsou finanční náklady. Implementace GDPR a dodržování pravidel ochrany osobních údajů pravděpodobně bude vyžadovat své stálé místo v rozpočtech organizací, protože problematiku ochrany osobních údajů nebude možné vyřešit jednorázovou investicí. Kvůli nedostatku kvalifikovaných auditorů a pověřenců se mohou nabídky na tyto služby vyšplhat k astronomickým částkám.

Je podle vás toto nařízení potřeba?
Já se domnívám, že ano. Řada subjektů bere ochranu osobních údajů na lehkou váhu a považuje osobní údaje za další komoditu ve firemním portfoliu. Kontrola v této oblasti je nezbytností, protože dnes je běžnou praxí, že se přístup k citlivým osobním údajům nekontroluje, spisy se povalují volně na stolech v otevřených kancelářích a klientské databáze se vesele rozprodávají na trhu.

Autor a zdroj: Michaela Bůnová, iDNES.cz,3. února 2018  9:45

Radek Kubíček

Společnost Doverville nabízí, ve spolupráci s renomovanými odborníky, i poradenství a audity v oblasti GDPR, a to jak pro komerční sféru, tak i organizace státní správy i samosprávy. Přinášíme Vám rozhovor s našim spolupracovníkem, vedoucím auditorem ochrany osobních údajů a odborníkem na GDPR Bc. Radkem Kubíčkem, MBA, na specifické téma ochrany osobních údajů a implementaci GDPR pro školy a školská zařízení v ČR.

Jak dlouho se zabýváte problematikou ochrany osobních údajů?

Voblasti personálních a procesních auditů se zaměřením na ochranu osobních údajů se pohybuji již pátým rokem. Společnost 2K CONSULTING s.r.o., v níž jsem jednatelem, se již od začátku zabývala mj. auditní činností ve veřejné správě. Po pětileté praxi v oblasti ochrany osobních údajů pro mne GDPR není strašákem, ale výzvou, kam se posunout dále. Díky tomu se aktuálně aktivně zapojuji i dopracovních skupin Spolku pro ochranu osobních údajů, z. s., a Komory certifikovaných pověřenců GDPR, z. s.

Máte zkušenosti také se školstvím? V čem vidíte aktuální problém na školách?

Kromě auditní činnosti nabízíme v našem portfoliu služeb také projektový i vzdělávací servis pro mateřské, základní a střední školy, proto jsem se statutárními zástupci pravidelně v kontaktu a vím, co školy v současné době trápí. Školní klima znám dobře, a uvědomuji si, že GDPR může být stresující pro všechny. Už nyní mají pedagogové dost administrativní zátěže a další povinnosti jim přibudou. Bezpečnost na školách vnímám jako uspokojivou pouze po stránce fyzické bezpečnosti. V oblasti kybernetické bezpečnosti narážíme mezi školami na velké rozdíly, protože jen malé procento z nich má za sebou bezpečnostní audit. Některé školy si neuvědomují, že už jen to, že pedagogové a další pracovníci školy nemají počítač zabezpečený heslem, může být velký problém.

Co nařízení GDPR bude tedy pro školy znamenat?

Nejdůležitější je zjistit, jak na tom školy a školská zařízení jsou v oblasti ochrany osobních údajů v tuto chvíli. Během vstupních auditů zjišťujeme, že mnohé školy mají mezery ve znalosti zákona č. 101/2000 Sb. o ochraně osobních údajů a mnohdy třeba vůbec neví, že mají povinnost registrace u Úřadu pro ochranu osobních údajů, čímž porušují již stávající legislativu. Pro zhodnocení stávajícího stavu ochrany osobních údajů a bezpečnosti při jejich zpracování si školy musí provést vstupní GDPR audit. Díky ní budou schopni identifikovat, jaké změny bude nutné vnávaznosti na nařízení GDPR provést, jak upravit stávající dokumentaci a jaké doplnit směrnice. Po zpracování vstupní analýzy pak v procesu implementace GDPR bude následovat zpracování analýzy rizik, školení zaměstnanců a další činnosti.

Kdy je potřeba s implementací GDPR začít a jaké to pro školy a školská zařízení znamená náklady?

Vstupní analýza GDPR je základem pro další implementaci tohoto nařízení. Aby se vše stihlo do 25. května 2018, kdy nařízení nabývá účinnosti, mám pocit, že už nyní je pozdě. Pokud se mají přijmout organizační, procesní a technická opatření, bude to jistě znamenat velký zásah do rozpočtu nejen na rok 2018, ale i na další léta. Je nutné si uvědomit, že se jedná dlouhodobý proces. Pozitivní zprávou však je, že některé náklady spojené s auditem ochrany osobních údajů a kybernetické bezpečnosti lze hradit v rámci realizací projektu z OP VVV. Zde mohou školy rezervu ze šablon uplatnit v rámci provozních nákladů. Dle dotazů na MŠMT se jedná o uznatelný náklad.

Jak poznat, která organizace může na škole realizovat audit, je spolehlivá a má zkušenosti s ochranou osobních údajů?

Bohužel společností, které se prezentují jako odborníci na GDPR je spousty. Řada z nich však vznikla letos bez jakékoliv historie či zkušeností. Já vždy říkám, že hodně o Vás hovoří reference a historie zakázek, které jste schopni doložit. Kromě toho je důležité požadovat také praxi auditorů v oblasti ochrany osobních údajů. V neposlední řadě by nás mělo zajímat, jak se daná společnost angažuje v rámci odborných spolků a asociací, které jsou ve spojení s Úřadem pro ochranu osobních údajů, MV ČR, MŠMT ČR a dalších institucí. I proto jsem rád, že tento servis bude pro školy zařizován přes Asociaci Bezpečná škola, z. s.

Co role pověřence pro ochranu osobních údajů ?

Podle toho, co k výkonu funkce pověřence vím ohledně výkladů pracovní skupiny WP 29, nejsou žádné podmínky pro výkon této funkce stanoveny. Bohužel se nám zde každý „pojišťovák“ začíná prezentovat jako odborník na ochranu osobních údajů. I proto budeme s mými kolegy na pracovních skupinách požadovat vytvoření registru certifikovaných pověřenců, kde si budeme tyto lidi prověřovat. Školy a školská zařízení nakládají s citlivými údaji a měly by mít kvalifikovaný dohled. Další věc je dopravní dostupnost pověřence a pojištění odpovědnosti za škodu způsobenou třetím osobám. Určitý registr by mohl vzniknout i v rámci působnosti Asociace Bezpečná škola, z. s. Některé informace musí být transparentní, aby budily důvěryhodnost také zákonných zástupců dětí na školách. Věřím, že i Asociace Bezpečná škola, z. s., bude schopna některé odborníky ke spolupráci doporučit.

Na závěr, z čeho máte v souvislosti s GPDR největší obavy?

GDPR bude nástrojem pro udávání, vydírání a zastrašování. Jakákoliv fyzická osoba, může dát podnět k prošetření, že jeho osobní údaje byly zneužity. Pokud vezmeme v úvahu vysoké pokuty v případě zjištění pochybení při nakládání s osobními údaji, mohou se organizace dostat do velmi složité situace. Důležité je nepodceňovat situaci a být připraven. Až se stane problém, bude už pozdě.

Doverville připravuje na květen seminář na téma kybernetická bezpečnost. Seminář otevře svou přednáškou publicista a bezpečnostní komentátor ČT a Lidových novin Jan Schneider. …zobrazit celý příspěvek „SKEPTICKY O KYBERBEZPEČNOSTI aneb DOBRÝ SLUHA, ZLÝ PÁN“ →