Rozhovor s Ondřejem Ševečkem na téma GDPR

Není nikterak podivuhodné, že téma GDPR je natolik populární, že je v médiích tak často zmiňováno a veškerá renomovaná média mu věnují značnou pozornost. GDPR se totiž týká nás všech. Ať už jsme běžným koncovým uživatelem či správcem dat v práci. Právě z tohoto důvodu jsme i my pro vás připravili rozhovor s IT Security odborníkem Ondřejem Ševečkem.
 
Jak jsou na tom firmy s přípravou na GDPR a dají se vůbec veškerá vyžadovaná opatření ještě včas uvést do praxe? Přeci jenom zbývá pouhých několik málo měsíců. 
 
Naplnit technické požadavky na GDPR včas je reálné, protože už v dnešní době je většina z těchto požadavků vyžadována stávajícím zákonem 101/2000 Sb. o ochraně osobních údajů. GDPR v tomto implementačním smyslu tak přináší pouze zpřesnění, například u vyjadřování souhlasu se zpracováním osobních údajů (subjektů údajů). 
 
Co se týče zpracování osobních údajů, vše nasvědčuje tomu, že již bude konec jednoduchým zaškrtávátkům "souhlasím se zpracováním údajů", které někdy zaškrtl asi každý z nás.
 
Ano, přesně tak. Nově se totiž odmítá zmíněný model jednoduchého "zaškrtávátka" a požaduje se konkrétnější souhlas, který musí být vyjádřen jednotlivě ke každému zpracování, které se předpokládá. Například pokud chceme rozesílat e-mailové nabídky a současně používat podobně telefonní číslo dané osoby, měli bychom si vyžádat dva samostatné a konkrétní souhlasy. 
 
V případě, že souhlas se zpracováním údajů získáme, je tento souhlas nějak časově omezen? 
 
Pro splnění podmínek se nyní musí přesněji určit na jakou dobu se souhlas vydává, nikoliv jako dosud běžné na "dobu neurčitou až do odvolání".
 
GDPR se stalo strašákem většiny firem. V čem vidíš největšího strašáka ty? 
 
Největším strašákem GDPR jsou procesy a řízení celé záležitosti. Například už jen v tom případě získávání potřebných souhlasů. Pokud u aktuálně zpracovávaných údajů nebyl dosud souhlas vyjádřen v souladu s GDPR, není možné tyto osobní údaje dále zpracovávat. Správce dat tak v těchto případech bude muset buď všechny osobní údaje, které v tu chvíli má, zahodit, nebo si musí zajistit nové souhlasy. Tyto kroky tak bude muset provést u mnoha a mnoha v současné době zautomatizovaných firemních procesů. Právní oddělení samozřejmě může vyhodnotit a nahradit konkrétní souhlasy jiným právním titulem, podle kterého se dá zpracovávat bez souhlasu, ale zase se jedná o strašáka, nutnost provádět a platit obecně nákladné analýzy v době, kdy existuje jen minimum vyjádření ze strany úřadů.
 
Nově se také zavádí povinnost proaktivně osobní údaje chránit a dokumentovat bezpečnostní opatření k tomu použitá. Jak se na to díváš ty z pohledu etického hackera a IT Security odborníka? 
 
Zatímco dříve ÚOOÚ přicházel na kontrolu organizace až po nějakém nahlášeném incidentu, nebo stížnosti, nově může přijít na proaktivní kontrolu a bude vyžadovat "dobrou úroveň aplikované ochrany. Pokuty, které může pak úřad za nedodržování uložit, narostly do závratných, evidentně likvidačních výšek (10 - 20 mil. EUR nebo 2 - 4% celosvětového obratu společnosti). GDPR je proto podobně kontroverzní téma jako dnes tolik diskutované zajišťovací příkazy. 
 
Z toho všeho tedy vyplývá, že zavedení GDPR vyžaduje velké investice do analýzy stávajícího stavu a nákladné hledání co nejschůdnějších cest s právními poradci.
 
Je to tak. To všechno navíc za situace, kdy neexistuje mnoho závazných vyjádření ÚOOÚ k jeho pohledu na řešení sporných otázek, nepočítaje samozřejmě neexistující judikatury u zákona, který teprve bude vstupovat v platnost.

ondrej-sevecek-r.pngOndřej Ševeček
odborný konzultant, lektor, produktový manažer kurzů IT Security/hacking a patron konference HackerFest
Ondřej je srdcem programátor, duší lektor a povoláním konzultant. Zabývá se vším od uživatelských účtů, skriptování VBS a PowerShell, MIIS a FIM, přes návrh a implementaci PKI, RMS, ADFS i přihlašování čipovými kartami až po TMG/UAG a CISCO ASA firewally.

Pokud chcete načerpat cenné informace o GDPR a setkat se osobně s Ondřejem Ševečkem, registrujte se na novou manažerskou konferenci ManDay.it včas! Součástí konference je také workshop, na kterém se GDPR budeme pečlivě věnovat. Více o konferenci »

manday-mailing.png

Mohlo by vás zajímat

Leadership v IT
Po úspěšné sérii odborných snídaní s Martinem Vitoušem na téma Efektivní IT, jsme se v podobném duchu rozhodli pokračovat a zaměřit se na další velmi důležité téma - Leadership v IT. 2. série odborných snídaní proto nese název Efektivní Leadership v IT. 1. snídaně začíná 29. 3. 2018. Zjistit více »

Power BI Day
13. 3. 2018 proběhne v praze 1. ročník konference Power BI Day. Kromě tipů a triků jak na efektivní tvorbu interaktivních firemních reportů, možnost vizualizací výsledků datových analýz, přípravu dat v Power Query, optimlizaci datového modelu a plánování PBI infrastruktury se budeme věnovat i jazyku DAX! Zjistit více »

Data Protection Officer + certifikační zkouška
Na kurzu Data Protection Officer [DPO] se detailně věnujeme postupu jak zavést procesy, organizaci a technologii ve firmě, aby mohla být v souladu s Obecným nařízením o ochraně osobních údajů (GDPR) pomocí klíčové role pověřence pro ochranu osobních údajů (Data Protection Officer). Zjistit více » 
Aktualizováno: 12.02.2018
Publikováno: 07.02.2018