Novinky
13. augusta 2018

Máme problém ochrany osobných údajov za sebou?

Za prvý mesiac od začiatku uplatňovania GDPR prijal Úrad na ochranu osobných údajov na Slovensku 48 návrhov dotknutých osôb. Nastupuje doba vytriezvenia, pri ktorej firmy prídu na to, že tému GDPR nehodia za hlavu tak ľahko, ako dúfali.

V posledných mesiacoch mohli podnikatelia a manažéri nadobudnúť dojem, že nové nariadenie na ochranu osobných údajov, známe pod skratkou GDPR, prinesie na Slovensko pomaly Armagedon. A to napriek tomu, že u nás už niekoľko rokov platil na európske pomery prísny zákon, ktorý túto tému v značnej miere riešil.

Hoci bol benevolentnejší ako nové nariadenie, kto sa ním riadil, bol sčasti pripravený aj na GDPR. Pravdou je, že mnohé firmy z rôznych dôvodov nevenovali doteraz ochrane osobných údajov patričnú pozornosť a z letargie ich vyrušila až záplava komunikácie rozličných dodávateľov, ktorí sa na vlne GDPR pokúšali zviesť.

Keďže väčšina firiem nemá o téme dostatočný prehľad, podnikali v ostatných mesiacoch zmätočné a často aj zbytočné kroky. Možno ste aj vy v panike pred 25. májom žiadali od zákazníkov nové súhlasy so spracovaním osobných údajov alebo potvrdenia, že s nimi naďalej môžete komunikovať. Nie ste sami. Robila to väčšina firiem, hoci možno polovica z nich to vôbec nepotrebovala.

Výsledkom slabých vedomostí však nebola iba záplava žiadostí v našich mailových schránkach. Boli ním aj investície, pri ktorých mnohé firmy nadobudli mylný dojem, že o tému GDPR viac netreba ani zavadiť. Tu sú tri príklady takýchto iluzórnych nákupov.

1. Nákup dokumentácie

Strašiaka GDPR využili, ak nie priamo zneužili, niektorí oportunistickí podnikatelia k založeniu firiem, ktoré sľubujú pomoc s prechodom na novú právnu úpravu, a to vypracovaním príslušnej dokumentácie. Dokumentácia sa dá poľahky replikovať a predávať na všetky možné strany. Obzvlášť málo vzdelaným zákazníkom, ktorí so šanónom v rukách môžu nadobudnúť pocit, že spĺňajú požiadavky nariadenia. A takých je neúrekom. Keď k tomu dodávateľ pribalí outsourcing takzvaných zodpovedných osôb za pár desiatok eur mesačne, ilúzia zákazníka o tom, že vyhovel podmienkam prísnej a zložitej normy, je dokonalá.

GDPR však nie je iba o dokumentoch. Ak máte splniť regulačné požiadavky, musíte neustále sledovať a vyhodnocovať riziká spojené so spracúvaním osobných údajov a dodržiavať množstvo pravidiel, ktoré eliminujú riziká súvisiace so zberom, použitím a prípadným únikom dát. Žiadna dokumentácia, akokoľvek dobre spracovaná, tento súlad sama o sebe nezabezpečí.

2. Nákup produktov „GDPR ready“

Druhým spôsobom, ako firmy podľahli klamu o pripravenosti na GDPR, bolo zakúpenie rozličných technologických produktov pre IT bezpečnosť a ochranu dát. Viacerí dodávatelia na svoje existujúce produkty určené napríklad na kryptovanie a na zabránenie úniku dát, pridali nálepku GDPR a nie celkom korektne sa snažia komunikovať, že vďaka nim vyhoviete novému nariadeniu.

Obdobne ako pri nákupe dokumentácie, aj v tomto prípade sa niektoré organizácie uspokojili s predstavou, že samotná technológia im zaručí súlad s novým nariadením a oni sa zbavia starostí, ktoré by najradšej dávno hodili za hlavu. Nasadenie vhodných technológií je však iba jeden z voliteľných krokov, ktorý niekedy môže a inokedy nemusí pomôcť vyhovieť regulačnému rámcu. „Áno, aj naša spoločnosť SOITRON ponúka celú škálu bezpečnostných riešení na čele s naším novým produktom Security sensor. Popri tom ale naše oddelenie IT poradenstva vie klientom ponúknuť aj compliance služby zaistenia súladu, či iné poradenské procesné a právne služby. Vieme pomôcť aj s konkrétnou implementáciou,“ uvádza David Dvořák, IT Advisory Manager spoločnosti SOITRON, s.r.o.

3. Nákup právnych služieb

Právnici zohrávajú pri zosúladení s nariadením GDPR významnú rolu, lebo interpretujú legislatívu. Užitoční sú aj pri právnej argumentácii, respektíve pri príprave odpovedí na otázky, na ktoré by zodpovedné osoby narábajúce s osobnými údajmi mali vedieť reagovať, ak príde na kontrolu Úrad na ochranu osobných údajov.

GDPR sa však nedá implementovať iba s právnikmi, alebo iba s itečkármi, ako sa niektoré firmy mylne domnievajú. Zodpovedná osoba, prípadne tím, by mal mať znalosti z oblasti práva, IT, procesného manažmentu, aj riadenia rizík. V súvislosti s novým európskym nariadením malo vo svete vzniknúť 75 tisíc pracovných pozícií označovaných ako data protection officer (DPO). Na trhu dnes takíto ľudia chýbajú práve preto, že ich rola si vyžaduje kombináciu znalostí z viacerých profesií.

Príde vytriezvenie

Aj tieto príklady ilustrujú, že v súvislosti s GDPR prevláda medzi firmami zmätok, v ktorom sa darí, obrazne povedané, predávať aj teplú vodu. Dá sa očakávať, že po úplne nezmyselných, alebo po čiastkových investíciách bez koncepcie, príde vlna vytriezvenia.

Firmy začnú precitať, ak im niekto ukradne či zneužije dáta, alebo ich nahlási dotknutá osoba a príde im kontrola. Len za prvý mesiac od začiatku uplatňovania GDPR prijal Úrad na ochranu osobných údajov na Slovensku 48 návrhov dotknutých osôb. Postupne začnú vznikať precedensy, ktoré zatiaľ neexistujú. Firmy si uvedomia, že nestačí mať zakúpenú dokumentáciu, alebo nový antivírus, ale že treba vykonávať práva dotknutých osôb, posudzovať rizikovosť, zmeniť pravidlá a organizáciu práce a podniknúť množstvo iných krokov, pri ktorých sa zrejme nezaobídu bez tímu skúsených špecialistov.

 

Článok vznikol v spolupráci novinára Martina Valáška a Davida Dvořáka, vedúceho oddelenia IT poradenstva spoločnosti SOITRON, s.r.o., ktoré sa venuje konzultačným a podporným službám v oblasti optimalizácie, plánovania a auditu IT prostredí.