Nepůjde to zaonačit
Michal Merta shrnul základní informace o nařízení GDPR a zdůraznil jeho nadřazenost právu členských států EU. Je tedy vyloučeno, že bychom to nějak „zaonačili“, nařízení bude platit pro všechny správce a zpracovatele dat v České republice.
Merta dále hovořil o velké pasivitě státu a médií ohledně GDPR. Kusé informace z veřejných zdrojů podle něj z nařízení vytvářejí démonizovaný „black box“ a tuzemské subjekty jako by čekaly na signál, který však stále nepřichází. V sousedních zemích již přitom podle Merty dávno probíhají přípravy.
Současně zmínil, že zmíněná pasivita je zarážející, neboť za porušení GDPR hrozí pokuta až 20 milionů eur a nařízení se vztahuje prakticky na kohokoliv, kdo spravuje nebo zpracovává osobní údaje občanů členských států. Jeho dopad proto bude velmi široký a nařízení se bude vztahovat i na subjekty, které by to možná nečekaly.
Přichází éra informovaného souhlasu
Kromě nových povinností spojených se správou osobních údajů bude podle Merty třeba věnovat velkou pozornost získávání souhlasu subjektů, které podle něj tvoří a budou tvořit 99 % potíží při zaváděním souladu s novým nařízením.
Dny předem zaškrtnutých políček a implicitních souhlasů, které umožňuje současný zákon o ochraně osobních údajů, se stanou v režimu GDRP minulostí a správci dat budou muset velmi explicitně informovat subjekt o tom, kdo přesně bude jeho data spravovat a co s nimi bude dělat.
Aby toho nebylo málo, subjekt bude mít právo svůj souhlas odvolat a vznést námitku proti přenositelnosti svých osobních údajů. Drtivá většina subjektů dnes přitom podle Merty nemá úplně jasno v tom, kde se jejich data nachází a kdo s nimi může nakládat.
Kdo je vlastně ten správce?
Merta varoval, že řada organizací si vlastně není jista svou budoucí rolí v režimu GDPR a už vůbec si pak není jista tím, jaký bude mít nařízení vliv na vztahy s externími partnery. Ilustroval to příkladem firmy, která si nechává zpracovávat účetnictví a mzdy externím specialistou.
Dojde-li k úniku dat, při hledání viníka bude primárně zkoumáno, jakým způsobem správce dat (v tomto případě firma) zajistil jejich ochranu, a to nejen v rámci své vlastní organizace, ale také v rámci celého řetězce – v tomto případě ještě velmi jednoduchého – zahrnujícího zmíněného účetního.
Jako právník Merta soudí, že právě takové případy budou hlavní příčinou soudních řízení v B2B oblasti a povede k řadě zajímavých precedentů. O to větší pozornost by však měly firmy věnovat tomu, kdo bude v jaké situaci zodpovědný za bezpečnost předmětných údajů.
Největší hrozby
Nad správci dat se podle Merty vznáší celá řada hrozeb. Z vývoje událostí vyplývá problém vnitřního dluhu v organizacích, které dlouhodobě zanedbávaly oblast bezpečnosti, hrozí zavádění další evropské legislativy a hrozí i potíže se správci dat, kteří sice sídlí mimo EU, ale zároveň jsou součástí řetězce.
Další hrozby vyplývají z příležitosti. Kromě obligátních hackerů a úniků dat Merta upozornil na problém „šíbrů“, kteří sice nedisponují IT znalostmi, ale zase mají zmapovaná úskalí nové legislativy a chystají se je využít ku prospěchu svému (likvidace konkurence) nebo ku prospěchu toho, kdo jim zaplatí.
V neposlední řadě je zde hrozba v podobě běžného lidského faktoru, tedy vědomého nekalého jednání či nechtěného selhání některého zaměstnance. Správci dat samozřejmě hrozí i postih ze strany akcionářů v případě, že svou (ne)činností dopustí situaci, kdy dojde k porušení podmínek nařízení.
Merta na závěr zdůraznil, že GDPR bude prakticky všudypřítomné, bude prostupovat celou organizací a dotkne se prakticky všech klíčových podnikových systémů. Nařízení se navíc nevztahuje pouze na IT systémy, ale i na data v listinné podobě, kartotéky a další „papíry“.
Co s tím? Nabídnout pomocnou ruku!
Něco takového skutečně není radno podcenit, ale i tato mince má rub i líc. Merta zdůraznil, že správci dat budou muset sestavit tým odborníků, nehledě na povinnost jmenovat oficiálního pověřence, spíše známého pod termínem data protection officer (DPO), v rámci větších organizací.
Velká část správců však bude i přesto vyžadovat externí pomoc, a právě v tuto chvíli přichází velká příležitost pro specialisty na bezpečnost, dodavatele řešení, poskytovatele služeb a další partnery. Tyto firmy si v příštím roce rozhodně nebudou moci stěžovat na nedostatek práce.
Celý článek naleznete zde: channelworld.cz/reportaze/reportaz-comguard-varoval-pred-gdpr-mcafee-nabidlo-reseni-18650
Komentáře