GDPR: stačí nezaspat aneb 3 rozpuštěné strachy

Přidal:

Když přichází jakékoliv nařízení k člověku s typickou česko-moravsko-slezskou mentalitou, první reakce přichází zřejmě už z oblasti podmíněných reflexů. Ve všech způsobech projevu se reakce shodují v počátečním NE: nesouhlasím, nechci, neudělám, nebudu. Nehodlám se pouštět do úvah, zda je to ještě dědictví totalitního režimu minulého století, nebo dějinných událostí datovaných už do 17. století. Možná to není rys příznačný jen pro naši zeměpisnou šířku.

Když přichází nařízení dokonce z míst, která jsou trvale opředena diskuzemi nad smyslem jejich existence, vyžaduje to od nařízení mimořádnou dávku odvahy, trpělivost a houževnatost. Třeba nařízení Evropské unie.

Zároveň se kdesi v hloubce spustí švejkovský mechanismus, který dokáže připravit NEuvěřitelné scénáře, které by původce nařízení jinde ve světě zřejmě NEčekal. Tento mechanismus trpělivě čeká, aby spustil dílo v pravou chvíli. Radost ze své tvorby projevuje ale okamžitě v podobě vtipů a anekdot.

Další fáze soužití s nový nařízením už se člověk od člověka hodně liší – někteří setrvávají dlouho, a rádi, v negativním postoji, diskutují o tomto NEsmyslu a nikomu nevadí, že často většina diskutujících čerpá všechny znalosti a informace z oblíbeného českého informačního zdroje PRÝ. Jiní PRÝ odmítají a tak hledají, čtou, bádají. Většinou než dočtou a pochopí, je na světě nový objekt zájmu, nová senzace, a jejich přínos v případných debatách prýařů je tak mizivý.

Pojďme se podívat na pár vybraných míst, která v nařízení GDPR vyvolala a možná ještě vyvolávají obavy, strach, zachmuřená čela, a přitom je to pravděpodobně způsobeno jen onou drobností: majitelé strachu nečetli, neptali se.

“BUDE TO DRAHÉ!” Nemusí

Mnoho prvních představ o dopadu Obecného nařízení o ochraně osobních údajů vyvolalo dojmy, že se chystá vážné ochromení mnohých zaběhlých mechanismů v oblasti firemních IT systémů, které z části musí být zničeny, zčásti upraveny a zkomplikovány, data zašifrována, uložena mimo galaxii a dešifrovací klíč zahozen do černé díry… Ano, přeháním. Trochu.

Jisté je, že častou první reakcí firem na článek 32 o “vhodných technických a organizačních opatřeních”, které nařízení vzaly vážně a nepodceňují termín platnosti, byly rychlé schůzky, na kterých IT manažeři chrlili názvy šifrovacích technologií, vyčíslovali hrubé odhady pořizovacích a provozních nákladů. Firmy, které vyčkávají, jsou na tom o něco lépe, pokud vhodně zvolí hranici vyčkávání. A fyzické osoby, které jsou na tom zřejmě s informovaností nejhůře, mají často větší strach z neznáma, než z pochopeného výkladu povinností.

Bude to tedy drahé, splnit podmínky GDPR? Může, ale nemusí.

Analýza rizik

Výchozím bodem, který by měl zůstat výchozí a klíčový, je ANALÝZA RIZIK. V kontextu velkých firem složitější záležitost, pohledem fyzické osoby pár desítek minut zamyšlení. Ale bez analýzy rizik není nikdo schopen splnit podmínky nařízení, respektive není schopen odhadnout, zda provedené kroky jsou dostatečné a není pak v případě potřeby schopen se obhájit. Brát nařízení na lehkou váhu si nikdo ve světle avizovaných sankcí nedovolí, panuje proto tendence udělat radši víc. Když chcete “víc” a nevíte, kolik je třeba, může vás “víc” skutečně zavést do světa obrovských investic v podobě financí a hodin práce, navíc s rizikem, že neřešíte potřebná místa, nejslabší články. Proto je výchozím bodem právě analýza rizik.

I bez odborných znalostí v oblasti risk managementu je na první pohled patrné, že musíme znát přesné odpovědi na základní otázky:

  1. Jaké údaje týkající se nařízení GDPR naše firma uchovává?
  2. Kde jsou údaje uchovávány, zpracovávány, jakých procesů se účastní?
  3. Kdo má k údajům přístup?

Podle mého názoru a na základě mých zkušeností je otázka 1 nejsnazší. Víme, kdo je schopen odpovědět, víme, kde hledat, víme, jak odpověď formulovat.

S otázkou 2 už to tak jasné a jednoduché není. V případě, že je firma držitelem certifikátu ISO, má výraznou výhodu. Správci dokumentací procesů jsou pověřeni úkolem a sejdou se podklady z různých míst firmy, ze kterých by mělo být jasné, jaké firemní procesy zpracovávají údaje subjektu údajů, jak jsou nazývány informace o fyzické osobě.
Velkou výhodu mají zcela jistě firmy, které pro řízení svých procesů používají workflow. Tyto firmy, bez ohledu na ISO certifikát, už mapováním a popisem procesů musely projít. Samotné workflow vypovídá o cílech a způsobech jejich dosažení.
Jestliže se firmy nařízení GDRP týká a firma doposud funguje bez takových zdokumentovaných procesů, domnívám se, že v jakékoliv, byť neunifikované, podobě bude muset dokumentace vzniknout.

Situace kolem otázky 3 se hodně podobá otázce číslo 2. Je podle mého názoru nejnáročnější. Požadavky na úroveň dokumentace a detail znalosti procesů ve vlastní firmě je největší. Přesto nezbytný. V případě obhajoby firmy vůči stížnosti na pochybení při nakládání s osobními údaji se tazatel nespokojí s jakkoliv nejasnou či nepřesnou formulací. Správce údajů, potažmo zpracovatel, musí mít data vždy a všude naprosto pod kontrolou.

Další kroky

Když máte analýzu rizik, teprve v tu chvíli nastupují odborníci na technologie a navrhnou, co je skutečně potřeba změnit a zda jde o změnu systémovou, technickou, či organizační, která může mít mnohem větší efekt, než nejmodernější hybridní ochranné mechanismy 8,5. generace obrovskými investicemi.

V tuto chvíli už dokážete odhadnout, zda bude GDPR pro vás drahé – drahé finančními investicemi, nebo časem, který jste věnovali a ještě věnujete všem potřebným úpravám.

Třeba zjistíte, že investice do technologií nebudou vůbec potřeba a zvládnete celé nařízení malou změnou několika procesů. Je ale důležité NEZASPAT v těchto krocích, které rozhodují o tom, co vás do května příštího roku čeká.

 

Jak GDPR využít?

Jestliže víte, že analýza rizik bude pro vás velice složitá, pracná a tím pádem i drahá záležitost, zřejmě nemáte podporu v nějakém systému, který by vám firemní procesy ukázal a pomohl s hledáním odpovědí. Nabízí se proto otázka, zda právě v tuto chvíli není vhodné situaci využít a povýšit fungování vaší firmy o řád či několik výš – zavedením vhodného informačního systému:

  • který plně využijete a přinese vyšší efektivitu práce nebo dosud nedostupné možnosti,
  • k jehož zavedení potřebujete analýzu vašich potřeb a firemních procesů, kterou zatím nemáte,
  • který umožní nadále rozvíjet firemní procesy a udržovat přitom dokonalou kontrolu nad zpracovávanými údaji, jejich pohybem a přístupovými právy k údajům, zvláště citlivým pro firmu, obzvláště citlivým z pohledu ochrany osobních údajů.

Vhodné adepty je možné hledat v kategorii správy dokumentů, lépe však kompletní správy firemních informací, tedy ECM (Enterprice Content Management) systém s dostatečnou otevřeností vůči ostatním firemním technologiím a zárukou dalšího rozvoje. Víme o takových, rádi se podělíme.

“KAŽDÝ MUSÍ MÍT CERTIFIKOVANÝ DOZOR!” Nemusí

Další obávaný a kritizovaný bod: dozor. Už jenom to slovo je nepříjemné, navíc se nám vybaví představa z našich daní placeného aparátu, který certifikuje vyvolené dozorce. Nařízení nás nutí je pak pozvat do naší firmy, oni při vědomí své moci vstupují jako námi placení dodavatelé, aby kritizovali, hledali sebemenší pochybení a možnost udělit naší firmě pokutu.

Pryč s představou, která zcela jistě pochází od PRÝ! Není to tak.

Protože:

  • nařízení GDPR přesně vyjmenovává důvody, pro které firma musí mít stanoveného pověřence (nikoliv dozor) pro ochranu osobních údajů, tzv. DPO (Data Protection Officer), tedy se týká jen přesně určených oblastí podnikání a zacházení s osobními údaji,
  • pověřenec není certifikovaný žádným stanoveným způsobem, vykonává svou roli a plní úkoly na základě svých odborných a profesních kvalit,
  • tím pádem nijak nezatěžuje naše daně, ani není spjatý se státní moci a úmyslem vytvářet překážky; jde o spolupráci, i když oboustranná vysoká míra odpovědnosti je nesporná.

“BUDE STRACH COKOLIV SLEDOVAT!” Nebude

GDRP přináší nutnost vnímat zásadnějším způsobem osobní údaje a jejich citlivost. S tím jistě nemá potíž nikdo z nás jako člověk, majitel oněch osobních údajů. V roli správce, tedy někoho, kdo dostává osobní údaje o ostatních zapůjčeny a má se o ne náležitě starat, už se k podmínkám stavíme jinak.

Z minulé a stávající doby vnímám, že osobní údaje jsou shromažďovány stylem “Čím víc, tím líp!”, stejně jako u ostatních údajů o světě kolem nás. Cena za uložení údajů, které nutně nepotřebuji, je tak nízká, že bývá náročnější oddělit potřebná a nepotřebná data, než všechna uložit a nepotřebných si nevšímat. A tak shromažďujeme a nevyužíváme.

V tuto chvíli se má situace změnit a po první etapě v ochraně osobních údajů dané Zákonem č. 101/2000 Sb., o ochraně osobních údajů přichází další etapa, která je důslednější, vychází z dalších 15 let rozvoje informačních technologií a všech navazujících oblastí.

Přináší ale také zjednodušení, protože zaváděním pojmů pseudonymizace a anonymizace umožňuje pracovat s řadou potřebných údajů jednodušším způsobem, než doposud, vyřazuje pro takové případy povinnost informovat, např. v podobě oznámení na webových stránkách. Takže různé analytické nástroje, sloužící ke zlepšování marketingových kampaní a dalším účelům, mohou nerušeně fungovat dál. Firmy mohou sledovat chování uživatelů na stránkách, mohou uchovávat množství geografických a dalších údajů za podmínky, že není možné dopátrat se konkrétní osoby.

Závěrem

Květen 2018 je vzdálená budoucnost, od které nás dělí stovky dnů. Je dobré nezasévat strach z neznáma či neznalosti do těchto dnů, je dobré co nejdříve poznat, jaké úkoly související s nařízením GDPR nás čekají. Pro někoho jsou tedy stovky dnů nařízením nedotčené, pro jiného je právě čas rozhodnout se, jakou cestou naplnit nové podmínky a jaké pro tuto cestu zvolit průvodce a pomocníky. Ideálně tak, aby přínos pro firmu byl mnohem vyšší, než jen splnění požadavků směrnice Evropské unie.

 

Použité zdroje:

Oldřich Hlaváček on BloggerOldřich Hlaváček on EmailOldřich Hlaváček on Twitter
Oldřich Hlaváček
Oldřich Hlaváček je konzultantem společnosti ERPIO s.r.o. v oblasti aplikace Erpio - mobilní přístup k datům firemních systémů, který ERPIO vyvíjí, a správy dokumentů a firemního obsahu. Ve volném čase píše pohádky pro děti, spolupracuje s neziskovými organizacemi v oblasti péče o předškolní děti, je ředitelem malé rodinné neziskové společnosti (loutkové divadlo, autorská pásma programů pro děti a další). Více na OldrichHlavacek.cz
0