• ICT Security se stala mediálním partnerem konference GDPR

    Od konce loňského roku, ale hlavně v začátku tohoto, je nejaktuálnějším tématem nejenom v ICT oblasti, GDPR.

    A co je to GDPR? 

    GDPR (General Data Protection Regulation) je nařízení Evropské unie, které vstoupí v účinnost 25. 5. 2018. Jeho cílem je zvýšit úroveň ochrany
    osobních údajů
     a posílit práva občanů Evropské unie v této oblasti. Tolik suchý překlad oficiálního nařízení EU.

    Zájem o toto téma je obrovský, proto je konference již dávno před začátkem úplně vyprodaná.

    Koho se téma této konference týká:

    GDPR platí celosvětově pro všechny subjekty, které aktuálně zpracovávají osobní údaje občanů EU, a zavádí tak celou řadu nových práv a povinností. Zpracovatelé a správci osobních údajů vždy musí nově od platnosti nařízení zavést nové procesy a technologie, které budou v souladu s GDPR.

    Toto nařízení se dotkne všech oblastí podnikání: bankovnictví, pojišťovnictví retailového trhu a internetových obchodů, výroby a služeb, zdravotnictví nebo veřejné správy. Tedy všech subjektů a oblastí činnosti, při kterých dochází ke zpracování osobních údajů a jejich ukládáním, přechováváním. Ale hlavně se také dotkne marketingových aktivit spousty firem.


    A jaké mohou být sankce?

    Sankce za nedodržení tohoto nařízení mohou být dle charakteru a závažnosti incidentu až 4 % z celkového obratu společnosti nebo až 20 milionů EUR. Neberte tedy GDPR na lehkou váhu a začněte se připravovat a také hledat na správných místech informace o všech dopadech na Vaši společnost co nejdříve.

    GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv – včetně práva „být zapomenut“. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer).


    Více se o konferenci dozvíte na stránkách konference: http://www.konferencegdpr.cz/


    Zdroj: www.Wikipedia.org, web stránky partnera konference OK SYSTEM. 

    Autor: Petr Smolník, šéfredaktor 

  • Seminář Ochrana osobních údajů v EU a v ČR je již za dveřmi!

    afcea logoPracovní skupina SCADA SECURITY EUCYBSEC
    ve spolupráci s
    Pracovní skupinou kybernetické bezpečnosti AFCEA,
    Fakultou bezpečnostního managementu, Policejní akademie ČR,
    ČIMIB, ICT Unií a NSMC
    za odborné podpory
    Úřadu pro ochranu osobních údajů

    organizují odborný bezpečnostní seminář

    Ochrana osobních údajů v EU a v ČR

    Dopad nařízení GDPR Evropské unie na legislativu ČR
    a na podnikatelské prostředí

    Seminář je určen pro všechny zájemce, zejména z řad výše uvedených profesních organizací, kteří mají zájem o bezpečnost a ochranu osobních údajů a mají zájem se seznámit s dopady nařízení GDPR Evropské unie na legislativu ČR a na podnikatelské prostředí. Seminář je rovněž určen pro zájemce z řad veřejné správy, zejména osoby, které odpovídají za bezpečnost a ochranu informací a provoz ICT.

    Program semináře:

    8.30 – 9.30
    Registrace

    9.30
    Zahájení semináře

    9.40 – 11.00
    Ochrana osobních údajů v EU a v ČR – Dopad nařízení GDPR Evropské unie na legislativu ČR a na podnikatelské prostředí, Josef Prokeš, ředitel sekce správní, ÚOOÚ

    11.00 – 11.30
    Přestávka

    11.30 – 13.00
    Diskuse k tématu s pracovníky ÚOOÚ.

    13.00
    Zakončení semináře

    Další informace

  • GDPR a kybernetická bezpečnost

     male Axenta logoNa otázky kolem kybernetické bezpečnosti a kolem GDPR jsme se zeptali Ing. Lukáše Přibyla, ředitele akciové společnosti Axenta a.s.

    Lukáš PřibylV poslední době se v souvislosti s kybernetickou bezpečností hodně hovoří o GDPR regulaci. Přibližte nám prosím, co vše představuje.

    Nová legislativa EU ohledně ochrany osobních údajů – General Data Protection Regulation (GDPR) – bude platit již od 25. 5. 2018. Dává občanům EU možnost kontroly nad tím, co se děje s jejich osobními údaji. GDPR umožní stejnou vymahatelnost práva na ochranu osobních údajů v celé EU, ukládá stejné sankce a zavádí těsnou spolupráci dozorových orgánů. Aby tato legislativa byla přijata ve všech zemích EU a v řádné podobě, zajišťují vysoké pokuty za její nedodržování.

    Jaké povinnosti z ní vyplývají pro státní správu a samosprávu?

    Větší zpracovatelé osobních údajů budou mít za povinnost zřídit pozici DPO – Data Protection Officer. Dále GDPR s sebou přinese větší administrativní i technickou zátěž při nakládání s osobními údaji a nově je zavedena povinnost hlásit úniky dat do 72 hodin od zjištění, a to nadřízenému orgánu – v případě České republiky je to Úřad pro ochranu osobních údajů. Nařízení pro soukromý sektor jsou v podstatě stejná jako pro státní instituce.

    Jaké produkty a služby nabízíte zákazníkům?

    Axenta a.s. nabízí zejména řešení a služby v oblasti provozních a bezpečnostních monitoringů. A dále nabízíme řešení a služby v oblasti Quality Assurance v kyber bezpečnostních projektech a řešení pro sledování a management chování vybraných osob v oblasti IT.

    Mezi vašimi klienty je řada společností z průmyslového sektoru. Na co vše se v této oblasti zaměřujete?

    Zde se zaměřujeme také na oblast provozního a bezpečnostního monitoringu. V této oblasti máme jedny z největších a nejstarších referencí, vždyť v tomto oboru jsme osobně již 15 let a firma Axenta a.s. se v něm pohybuje od založení, tj. od roku 2009.

    S digitalizací průmyslu a přechodem na Industry 4.0 potřeba bezpečnosti dat a jejich množství vzroste nebývalou měrou. Jsme na to dostatečně připraveni?

    Technicky a znalostně jsme na toto připraveni. A výrobci řešení a produktů také. Jediným problémem se v tuto chvílí jeví nedostatek erudovaných a znalých lidí, ale to je celosvětový problém v oblasti kybernetické bezpečnosti. Přičítáme to rychlému rozvoji v této oblasti v posledních letech.

    Na nedávném semináři jste hovořil o tom, že bezpečnost je pouze o lidech. Můžete to specifikovat?

    Sebelepší detekční technika není v tuto chvíli schopna ověřit, zda se opravdu jedná o incident a pokud ano, není schopna reagovat podle incident response plánů. Takže potřeba člověka na rozhraní stroje a reality je stálá. A jak jsem odpovídal výše, odborníků na kyber bezpečnost je stále málo.

    Jak tedy uchopit kybernetickou bezpečnost?

    Asi není reálné očekávat, že někdy půjde vývoj IT ruku v ruce s bezpečností. Pobídky trhu jsou tak silným stimulem, že bezpečnost je vždy řešena o krok pozadu, prostě a krátce zdržuje.

    Nelze tedy nad tímto plakat, ale je potřeba konat. Apelovat na zavedení kyber bezpečnosti do všech nových oblastí, evangelizovat veřejnost a v neposlední řadě i vyvíjet nové produkty s ohledem na co největší úsporu lidských sil.

    Co Axentu se odlišuje od jiných firem z oboru?

    Axentu a.s., odlišuje především jiný přístup. My, zakladatelé společnosti jsme dříve pracovali na místech příjemců služby, takže si dokážeme představit potřeby našich zákazníků a respektujeme je. Dále se snažíme být inovativním, mladým, a přesto velice zkušeným týmem na špici v oblasti bezpečnostních monitoringů.

    Jaké jsou podle vás hlavní hrozby současnosti a jaká opatření je třeba přijmout, aby se minimalizovaly?

    Žijeme stále podobný život se všemi radostmi a problémy jako před sto lety. Ale naše údaje, peníze, informace apod. se přesunuly do virtuálního světa. Logicky se tedy útoky, krádeže, války také přesouvají do tohoto virtuálního světa. Za hrozby osobně považuji překotný rozvoj Internet of Things, Smart Technologií, útoky na IT výrobních systémů apod. a v neposlední řadě i nedostatek odborných lidských kapacit v oblasti kyber bezpečnosti. Vyjmenovat všechny záměry, jak zabezpečit tyto oblasti by zabralo mnoho řádků, omezím se tedy jen na prohlášení, že opatření jsou hledána a nacházena a pokud je snaha a chuť, vždy se řešení najde.

     -LiM

  • Ochrana osobních údajů přitvrdí, firmy by se měly připravit

    gopas logoÚniky dat nebo interních informací způsobují firmám nemalé škody, ať už finanční, nebo na dobré pověsti. Ještě významnější roli bude v dohledné době hrát také zabezpečení osobních dat, které firmy zpracovávají nebo schraňují.

    Zejména se zahájením platnosti nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie v květnu 2018. To zavádí za porušení pravidel vedoucí k úniku dat velmi vysoké finanční sankce, a navíc ukládá organizacím povinnost všechny takové incidenty hlásit. Je to ale opravdu v praxi reálné? A jak je to se zodpovědností za bezpečnost dat?

    Kdo zodpovídá za data

    Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna. V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

    Dagmar Mikulova zdroj Gopas„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“

     

    Jakým způsobem nejčastěji firmy o data přicházejí? 

    Převládají tři hlavní cesty možného úniku dat. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu. „Zde je možné se chránit technickými prostředky – používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Dagmar Mikulová.

    Druhým je tzv. inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy. „Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová. „Marketingová tvrzení firem vyrábějících tzv. DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům,“ dodává Dagmar Mikulová.

    Třetím je opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy. „Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie,“ uzavírá Dagmar Mikulová.

    Počítačová škola Gopas je největším poskytovatelem školení v oblasti informačních technologií na českém i slovenském trhu. Ročně absolvuje odborné kurzy téměř 30 tisíc studentů, z nichž většinu tvoří specialisté IT. I přesto, že působí na poměrně malém trhu, patří Gopask jedněm z největších poskytovatelů IT školení v Evropě.

    -LiM 

  • GDPR: Nové nařízení EU

    Dne 20. dubna se uskuteční v pražském hotelu Occidental celostátní konference zaměřená na problematiku GDPR.

    Nová, revoluční pravidla ochrany osobních dat zaměstnají až 13 tisíc nových úředníků, a ještě vyšší počet pověřenců pro správu osobních údajů v soukromém sektoru. Příprava zabere firmám a organizacím nejméně rok. Celostátní konference účastníky seznámí s obsahem nařízení a nabídne jim „jízdní řád“, jaká opatření a v jakých oblastech začít realizovat.

    Na konferenci získáte jasnou představu o nových povinnostech, které nové nařízení GDPR přinese po nabytí účinnosti 25. května 2018. Jakkoli je účinnost ještě rok vzdálena, problematika je natolik závažná, že s přípravou je radno začít ihned.

    Program celodenní konference se skládá z následujících přednášek:

    • Nové nařízení o ochraně osobních údajů, aneb co nás čeká a nemine (Mgr. Eva Škorničková, členka Pracovní skupiny Úřadu vlády ČR k legislativě GDPR).
    • Role a odpovědnosti pověřence pro ochranu osobních údajů (Mgr. Michal Nulíček, LL.M., Rowan Legal, advokátní kancelář)
    • Dopad GDPR do personalistiky – jak nově zacházet s osobními daty zaměstnanců (Mgr. Klára Valentová, AK Vilímková, Dudák & Partners).
    • Odraz GDPR ve firemních procesech – kde budou nutná nejkomplexnější opatření? (Ing. Jiří Slabý, Deloitte)
    • Dopady GDPR na online business (Mgr. Vojtěch Chloupek, AK Bird & Bird)
    • Nezbytné kroky, které je nutné začít podnikat už zítra (Ing. Igor Prosecký, I3 Consultants)
    • Nutné změny v interních pravidlech ve společnosti a možnosti pojištění kybernetických rizik (Daniel Konečný a Petr Moláček, Principal engineering)

    Konference GDPR – ochrana osobních údajů – nové nařízení EU je určena statutárním zástupcům organizací, ředitelům, personalistům, mzdovým účetním, pracovníkům obchodních a marketingových oddělení, podnikovým právníkům, advokátům, ale také správcům počítačových sítí. Týká se celého podnikatelského sektoru a zároveň obcí, rozpočtových a příspěvkových organizací, včetně škol.

    -LiM

  • GDPR - ochrana osobních údajů - nové nařízení EU

    Ve čtvrtek, 20. dubna pořádala společnost Seminaria celostátní konferenci GDPR – ochrana osobních údajů – nové nařízení EU. Vzhledem k velkému zájmu o toto téma byla konference obsazená do posledního místa a řada zájemců nasměrována již i na další termín konání, 6. června.

    Strašák jménem GDPR představuje nejkomplexnější soubor pravidel na ochranu osobních dat. Nařízení se bude týkat každého subjektu, který zpracovává osobní údaje svých zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč sektory i obory.

    Obecnému nařízení se v úvodu věnovala Eva Škorničková, členka pracovní skupiny Úřadu vlády ČR. Objasnila základní pojmy a nové instituty, které GDPR přináší. Upozornila účastníky, že se daná problematika netýká jen právního či IT oddělení, ale celé organizace. Také zmínila, že v rámci dozorových orgánů vzniká nově sbor, který má harmonizovat spolupráci mezi jednotlivými národními orgány.

    Dále vystoupil Michal Nulíček s prezentací k roli a odpovědnosti pověřence pro ochranu osobních údajů. Představil účastníkům z menších organizací možnost využit skupinového pověřence, který však musí být vždy všem organizacím dostupný, dále musí být nezávislý a zároveň přímo podřízen nejvyšší postavené osobě v dané společnosti.

    V dopoledním bloku vystoupili řečníci, kteří zasadili právní pojmy do reálného prostředí firemních procesů – personální praxe, online marketing a online business.

    Odpolední část konference se více věnovala ochraně osobních dat ve veřejné správě. Specialisté na IT bezpečnost popsali nezbytné kroky, které je potřeba již nyní začít podnikat a zdůraznili nutnost sdílet zkušenosti a „recepty“, které se jednotlivým organizacím či obcím osvědčí.

    Poslední vystupující podal posluchačům návod, jak si připravit a rozjet vlastní GDPR projekt a představil v ČR zatím ne příliš známou možnost pojištění kybernetických rizik.

    Cílem konference bylo poskytnout účastníkům aktuální informace o novém nařízení a připravit je na něj tak, aby zajistili plynulý přechod a nebyly ohroženi žádnou ze sankcí, která může dosahovat až 4 % z celkového ročního obratu. 

    Autor: Petr Smolník, šéfredaktor

  • Současný stav GDPR pohledem odborníka

     male Axenta logoNa otázky, týkající se GDPR jsme se zeptali odborníka na tuto problematiku, Ing. Lukáše Přibyla ze společnosti Axenta.

    Tématem rozhovoru byla nedávno proběhlá celostátní konference ISSS (Internet ve státní správě a samosprávě), konaná v Hradci Králové na začátku dubna. Společnost Axenta a.s. se jí aktivně účastnila jako jeden z vystavujících.

    Byli jste účastníkem konference ISSS 2017. Zaznamenal jste osobně nějaké nové trendy a přístupy, týkající se GDPR?

    Společnost Axenta a.s. byla opět vystavovatelem na konferenci ISSS 2017. Konference ISSS byla zaměřena na kybernetickou bezpečnost, problematika GDPR ale nebyla nosným tématem tohoto ročníku konference. Problémy GDPR byly diskutovány v jednom z menších sálů a blok měl jen jeden den. Nové trendy jsou tedy jasně dány zákonem a jeho platností od 25. 5. 2018.

    Myslíte si tedy, že ISSS přispěla v rozšíření povědomí o GDPR? A jsou vám známy reakce firem, státní správy, tedy něco, co by mohlo akcelerovat problematiku GDPR ve státním sektoru?

    Jak jsem již sdělil výše, nevšimli jsme si detailnějšího zaměření letošního ročníku ISSS na GDPR, možná i proto, že na tématiku GDPR bylo, je a jistě i bude zaměřeno mnoho jiných specializovaných konferencí a workshopů v České republice.

    Z vašich dosavadních slov tedy soudíme, že konference ISSS v problematice GDPR asi nebyla příliš velkým přínosem?

    Z výše uvedeného vyplývá, že přínos tu sice jistý byl, ale téma GDPR nebylo hlavním pro konferenci ISSS 2017.

    Jsou tedy nějaké novinky ve společnosti Axenta, které se týkají GDPR?

    Společnost Axenta a.s., jako předsedající společnost družstva Network Security Monitoring Clusteru, plánuje nabízet komplexní služby pro zájemce a povinné subjekty dle zákona o GDPR. Bude se jednat o analytické vstupní práce, implementace nápravných opatření pro dosažení požadovaného stavu, kontrolní mechanismy a v neposlední řadě budeme poskytovat i služby externího DPO – Data Protection Officera. Tyto komplexní služby budou mít vlastní webové stránky a služby budou zajišťovat zhruba čtyři až pět společností z NSMC.

    Blíží se – nebo už je na dohled – květen roku 2017. Co by firmy v tento okamžik měly dělat nebo čím by se měly zabývat, aby stihly realizaci GDPR do příštího roku, kdy začne toto nařízení EU na konci května roku 2018 platit? Co byste firmám v tento okamžik dokázal poradit?

    Do okamžiku platnosti GDPR zbývá skoro přesně jeden rok. Osobně bych začal posouzením aktuálního stavu v dané organizaci a tato analýza následně ukáže, kudy se vydat pro zajištění plnění povinností dle GDPR.

    -LiM

  • GDPR: Realita je krutá

    cm 03Jen asi 10 procent organizací si je vědomo výše možných sankcí a dalších postihů v případě nedodržování nařízení GDPR.

    GDPR však nejsou jen sankce, je to i obrovská šance udělat si pořádek v datech a v procesu zacházení s nimi. Povinný datový audit (nebo chcete-li inventura) před implementací opatření k zajištění souladu s GDPR ukáže, kde osobní údaje jsou a kudy tečou. Většinu organizací, a to jak z privátní, tak i státní sféry, čeká velké překvapení. Na základě informací z již proběhlých datových auditů lze konstatovat, že vládne přesvědčení, že je vše v pořádku a že data včetně osobních údajů jsou pouze tam kde mají být. Výsledky datového auditu toto přesvědčení totálně zbortí.

    V jedné organizaci, kde byl datový audit proveden, bylo nalezeno na 1,9 milionů souborů a osobní údaje obsahovalo na 1,2 milionů souborů. Je na místě obava, že nikdo by 60procentní podíl souborů s osobními údaji neočekával. Soubory s osobními údaji byly nalezeny na mnoha místech mimo určená úložiště a někdy i na místech, která byla mimo jakoukoliv kontrolu. Zde je významným bezpečnostním rizikem tzv. šedé IT, kdy zaměstnanci mají své „pracovní“ soubory s osobními údaji na svých stanicích, noteboocích, tabletech, smartphonech apod. absolutně mimo jakoukoliv kontrolu. Datový audit, vyvolaný GDPR odhalí také duplicity a nepotřebné soubory, kdy podle průzkumu firmy Veritas 41 % nalezených souborů nebylo zpracováváno tři roky a 12 % dokonce sedm let!

    Datový audit kromě odpovědí na otázky – kde osobní údaje jsou, kudy tečou, kdo, kdy, jak a proč má k nim přístup, generuje také nutnost hledání odpovědí na mnoho dalších otázek – komu osobní údaje poskytujeme, jak zajistíme práva subjektu údajů a ke kterým osobním údajům, potřebujeme je vůbec zpracovávat, jaké jiné zákony mají vliv na jejich zpracování, jsme schopni popsat logovat a auditovat všechny procesy, které se zpracováním osobních údajů souvisí atd.?

    Na otázky odpovídá Aleš Špidla, prezident ČIMIB.

    ČIMIB je již tradičně mediálním partnerem na konferencích o tématu GDPR, jak vidíte připravenost jednotlivých firem z pohledu vaší praxe?

    Připravenost firem na implementaci GDPR lze hodnotit z dvou úhlů pohledu. Oficiální odpovědi zevnitř organizací jsou buď plné optimismu vyplývajícího z neznalosti problematiky GDPR nebo z přesvědčení, že se jich GDPR netýká. Druhý úhel pohledu vede k diametrálně odlišným výsledkům. Tento pohled je podpořen datovými audity, procesním analýzami a objektivním posouzením stavu. Obecně lze říct, že česká národní prokrastinace působí i v oblasti GDPR a vzbuzuje pocit, že času je do 25.května 2018 přece dost.

    Začínáte již s některými partnery tuto otázku řešit reálně v praxi? Pokud ano, jaké volíte postupy a jaká je realita?

    Realita je taková, že pokud vedení organizace disponuje jistou mírou osvícenosti, tak chápe GDPR jako z jedné strany problém a z druhé strany jako výše zmíněnou šanci. Pokud vedení disponuje vyšší mírou osvícenosti, potom vnímá GDPR v kontextu tzv. Špidlova trojúhelníku. Ten znamená, že GDPR je nutno řešit současně s kybernetickou bezpečností a nařízení o elektronické identitě a službách poskytujících důvěru na vnitřním trhu EU (eIDAS). Tyto vrcholy Špidlova trojúhelníku jsou velmi úzce provázány a jejich současné a komplexní řešení vytváří prostor pro úspory finančních, lidských i časových zdrojů. Vede tedy k efektivnímu řešení jak GDPR, tak kybernetické bezpečnosti a eIDAS.

    V případě úniku osobních údajů (vrchol GDPR), které jsou většinou způsobeny nedostatečným zajištěním kybernetické bezpečnosti (vrchol KB) a 74 % průniků do informačních systémů je způsobeno podvrženou identitou (vrchol eIDAS) lze předpokládat i aplikaci zákona o trestní odpovědnosti právnických osob (ZTOPO), který číhá uprostřed Špidlova trojúhelníku.

    Myslíte si, že se všechny firmy, jichž se toto nařízení EU dotýká stihnou připravit?

    Všechny zcela určitě ne, protože pro některé už je pozdě. Nicméně při případné kontrole ze strany dozorového orgánu, což je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ), bude bráno v úvahu i to, v jaké fázi implementace GDPR se organizace nachází. Pokud začne nad řešení organizace přemýšlet v květnu 2018, potom se se zlou potáže. Pokud bude mít za sebou většinu potřebných kroků, může počítat s tomuto stavu odpovídajícím přístupem ze strany ÚOOÚ. Nesmí samozřejmě dojít k úniku osobních údajů a následným škodám, porušení práv subjektů údajů apod.

    -LiM

  • ​​​​​​​Celostátní konference GDPR – ochrana osobních údajů

    ICT NETWORK NEWS je mediálním partnerem celostátní konference na téma GDPR – ochrana osobních údajů – nové nařízení EU, kterou pořádá společnost Seminaria v úterý, 6. 6. 2017 v Praze.

     

    Konference seznámí účastníky s obsahem nového evropského nařízení a nabídne i kvalifikovaný pohled na to, jaká opatření a v jakých oblastech je nutné již dnes začít realizovat. Na konferenci mimo jiné vystoupí Eva Škorničková, členka pracovní skupiny Úřadu vlády ČR k problematice GDPR, nebo Michal Nulíček, partner AK Rowan Legal a expert na právo na ochranu soukromí a osobních údajů.

    GDPR přináší zatím největší změnu v ochraně osobních údajů. Jejím cílem je chránit práva občanů proti neoprávněnému zacházení s jejich osobními údaji. Nařízení vejde v platnost 25. května 2018, ale s přípravou by již nyní měli začít všechny firmy, instituce, ale i jednotlivci, kteří zpracovávají osobní data.

    Včasná příprava je nezbytná a zabere nejméně rok. Společnosti, které nebudou připravené, nebudou mít zavedené adekvátní postupy nebo poruší povinnosti vyplývající z nařízení, budou tvrdě sankciovány. Za nedodržení hrozí pokuta 4 % z obratu až do výše 0,5 mld. Kč bez rozdílu velikosti organizace.

    Výrazná změna také nastane v oznamovací povinnosti v případě narušení bezpečnosti údajů. Zpracovatel bude muset nově nahlásit ohrožení zabezpečení osobních údajů do 72 hodin v momentě, kdy se o situaci dozvěděl. I tato změna zvýší nároky na procesní i personální ošetření ochrany osobních údajů v každé organizaci.

    Hlavním cílem konference GDPR – ochrana osobních údajů, je poskytnout aktuální informace o aplikaci nového evropského nařízení a objasnit základní principy nové úpravy. Zároveň budou popsány nutné kroky, které je potřeba začít podnikat už nyní, včetně nezbytných změn v interních pravidlech organizací.

    Další informace o konferenci naleznete na našich webových stránkách www.seminaria.cz.

    Autor: Petr Smolník, šéfredaktor

  • Co je GDPR a jak nám změní život?

    GDPR je nové nařízení Evropské unie, které mění některé mechanismy doposud vyplývající ze Zákona o ochraně osobních údajů. Vztahuje se na všechny, kdo jakoukoli databázi osobních údajů zpracovávají nebo s ní jinak nakládají.  A protože v dnešní době eviduje osobní údaje téměř každá firma či úřad veřejné správy, své postupy budou muset během následujícího roku přehodnotit statisíce subjektů v ČR. Ve vlastním zájmu. Sankce za případné porušení pravidel GDPR jsou totiž až půlmiliardové.

    Nechceme vás děsit, směrnice vstupuje v platnost až v květnu příštího roku. Ale pokud slyšíte o GDPR poprvé, nejste si jisti souladem svých postupů s novými pravidly EU a nechcete riskovat milionové pokuty, začněte se této problematice včas věnovat. Pokud si netroufáte zvládnout ji sami, nechte si zpracovat profesionální bezpečnostní audit, který vám postup zpracování osobních údajů dle nových pravidel zajistí.

     Co GDPR mění?

    Mezi nové povinnosti patří například zabezpečení zpracovávaných osobních údajů vhodnými organizačními a technickými prostředky, rozšíření smluv o nové povinné náležitosti nebo přijetí interních kontrolních postupů zajišťujících zákonné zpracování osobních údajů. Dohled nad těmito postupy by měl mít na starosti tzv. pověřenec ochrany osobních údajů, který bude zároveň v kontaktu s Úřadem pro ochranu osobních údajů.

    Koho se změna dotkne?

    Novým pravidlům se nevyhne téměř nikdo. Vztahují se na všechny subjekty, které zpracovávají jakékoli databáze osobních údajů zákazníků, zaměstnanců, pacientů, hostů a podobně. GDPR klade důraz například na zajištění kybernetické bezpečnosti, šifrování dat, nastavení vnitrofiremních procesů, zajištění tzv. pseudonymizace, nebo adekvátní zabezpečení tiskového prostředí

    Jak GDPR správně aplikovat?

    Posouzení souladu s GDPR, případně nastavení nových pravidel a postupů, může být pro většinu firem problém. Řešení nabízejí profesionální auditoři, kteří se analýzou zpracování osobních údajů zabývají. Výstupem odborného auditu je zjištění všech nedostatků a návrh vhodných řešení. Následná instalace nových systémů či zavedení bezpečnějších procesů může být časově náročná.  Větší společnosti by proto měly s  auditem začít co nejdříve.  

     

    V čem audit spočívá?

    Nejprve je uzavřena dohoda o mlčenlivosti, aby byla zajištěna bezpečnost údajů i během analýzy třetí stranou. Na základě osobního jednání s klientem dodavatel auditu vytvoří seznam rizikových operací, dokumentů a dalších oblastí, u nichž provede technologické a právní posouzení. Výstupem auditu je písemné memorandum, které identifikuje rozpory s GDPR a doporučí vhodná řešení k nápravě. Například Konica Minolta již dnes poskytuje všechny své služby a produkty z oblasti dokumentových řešení a správy firemních procesů v souladu s pravidly GDPR. Svým zákazníkům je tak schopna na základě provedeného auditu zavést i příslušná vhodná opatření.

    Jak vybrat vhodného auditora?

    Ideální poskytovatel auditu by měl z hlediska zabezpečení prověřit nejen využívané technologie, ale také softwarové nástroje, úložiště a databáze dat a všechny firemní postupy, během kterých se s osobními údaji jakkoli manipuluje. Takový audit zpracování osobních údajů v ČR poskytuje i Konica Minolta, která ve spojení s předními právními a konzultačními společnostmi zajišťuje rovněž ověření všech náležitostí obsažených ve smlouvách, firemních směrnicích nebo dokumentových šablonách. Můžete si tak být jisti, že pracujete v dokonalém souladu s GDPR.

     Autor: Petr Smolník, šéfredaktor

  • Výchova uživatelů je velmi důležitá

     

    0566 Jan Dienstbier malýNa otázky související s nejnovějším útokem a s jeho důsledky seznamuje Jan Dientsbier, technický garant platformy KYBEZ.

     

    KYBEZ logo bez textuJak vidí KYBEZ aktuální útoky a také možné následující z pohledu vývoje a sílení útoků na firmy nejenom v EVROPĚ?

     Pokud aktuálními útoky máme na mysli ransomware WannaCry, tak to jen dokládá rapidně narůstající počet útoků tohoto typu. V tomto případě došlo navíc zřejmě ke kombinaci s dalšími škodlivými programy. Podíváme-li se na napadené subjekty, valná většina měla zastaralý či neaktualizovaný, mnohdy i nelegální OS. To již jasně říká, co bychom měli dělat v první řadě.

    Co mohou proti tomu firmy dělat, jak a kde se můžou edukovat a případně, kde mohou požádat o pomoc?

     Obrana je stále stejná, aktualizovat software a využívat všechny mě dostupné bezpečnostní prvky, stále je v rámci možností rozšiřovat, neusínat na vavřínech a zejména pracovat s uživateli – tedy lidským faktorem. Email byl v tomto případě hlavním zdrojem šíření. Určitě je dobré, vědět, co se v mém perimetru děje. Dostupných produktů na vzdělávání uživatelů včetně programů výchovy uživatelů, jak rozeznat maily od neoprávněných či podvržených odesílatelů, je dnes na trhu již řada. Většinu z nich je dnes KYBEZ schopen nabídnout.

     Bude platforma KYBEZ dělat nějaká školení v oblasti kybernetické bezpečnosti v blízké budoucnosti na téma aktuální kybernetické hrozby?

     Platforma KYBEZ a její členové se zaměřují spíše na školení vytvořená podle potřeb zákazníka a samozřejmě kromě těchto školení i na návrh vhodných organizačních a technických opatření, kterými lze podobným situacím předcházet.

     -LiM

  • Kybernetické nebezpečí neustále roste

     male Axenta logoNa otázky kolem kybernetické bezpečnosti odpovídá Ing. Lukáš Přibyl, předseda představenstva společnosti Axenta a. s., www.axenta.cz.

    Jak vnímáte z pozice firmy, která se kybernetickou bezpečností zabývá, zvýšenou aktivitu kybernetických útoků v této době?

    Svět je globální, elektronicky propojený, a navíc zažíváme větší pohyb lidí a větší změny ve střídání režimů, zejména ve vztahu k Asii. Válka se vede nejen ta fyzická, konvenční, ale paralelně i kybernetická. Tento trend bude narůstat.

    Jsou české firmy kvalitně připraveny na tyto útoky?

    Jak jsou do detailu české firmy připraveny nelze soudit. Ale lze poměrně dobře odhadnout, jak je připravena Česká republika a její kritická infrastruktura. Máme tu Zákon o kybernetické bezpečnosti a máme tu vytipované organizace, které provozují kritickou infrastrukturu státu nebo významné informační systémy. A tyto organizace by je měly chránit právě v souladu s požadavky Zákona o kybernetické bezpečnosti.

    Jaké možnosti v edukaci této problematiky, nabízíte za společnost Axenta a NSM cluster?

    Primárně NSM Cluster, jehož je společnost Axenta a.s. předsedou, nabízí školení kybernetické bezpečnosti. Jde o školení, které má několik variant, a to jak pro různé stupně zaměstnanců, tak pro různé stupně znalostí. Společnost Axenta a.s. participuje v tomto školení jen některými částmi.

    Co byste poradil firmám v době, kdy se na ně sypou nejen hackerské útoky, ale také témata EIDAS, ZoKB a GDPR?

    Zachovat chladnou hlavu, provést analýzu stavu IT, kybernetické bezpečnosti a následně stanovit kroky, které povedou k souladu se zákony a normativy, které musí daná organizace plnit. Postupným plněním nápravných opatření dojít k vyváženému stavu a ten udržovat a případně i zlepšovat. Jak jsem říkal v úvodu našeho rozhovoru – kybernetické útoky budou. Současný poslední kybernetický útok nezasáhl Českou republiku tak silně, jako ostatní členské státy EU. Ale příště tomu už tak být nemusí.

    -LiM

  • Mnoho firem nestihne implementovat GDPR

    Ivo Rosol OKsystem malyNa otázky související s nasazením GDPR do reálné praxe odpovídá Ivo Rosol, ředitel vývojové divize společnosti OKsystem.

    OKsystemNa konferenci o GDPR jste hovořil o tomto tématu. Jak vlastně vidíte připravenost jednotlivých firem z pohledu vaší praxe?

    Registrujeme akcelerující poptávku středních a větších firem o vyřešení, nebo o pomoc s řešením GDPR. Z toho usuzuji, že střední firmy jsou nyní ve fázi hledání způsobu řešení, opravdu velké firmy již na GDPR pracují déle než rok.

    Začínáte již z některými partnery tuto otázku řešit reálně v praxi?

    Rozšiřujeme implementační tým, zahrnující profese právní, bezpečnostní, IT a projektovou a jednáme s prvními zákazníky. Kromě celkového řešení se též orientujeme na to, aby naše produkty byly „GDPR Ready“.

    Myslíte si, že se všechny firmy, jichž se toto nařízení EU dotýká, stihnou včas připravit?

    Jsem přesvědčen, že nikoli. K tomu nejsou v současnosti vytvořeny předpoklady, zejména chybí dostatečný počet odborníků, nejsou připraveny zdroje na implementaci, a i času zbývá relativně málo. Pokud by se mělo toto nařízení implementovat skutečně ve všech firmách v plném rozsahu a účinným způsobem, celkové dopady a náklady by byly zdrcující.

    -LiM

     

  • Státní legislativa v GDPR má ještě mezery

    mgr monika furstova associate prague 1Na otázky odpovídá Mgr. Monika Fürstová, koncipientka advokátní kanceláře Taylor Wessing.

    taylor wessing logoJak vidíte připravenost firem na přijetí GDPR z pohledu vaší praxe?

    Připravenost a povědomí jednotlivých firem o GDPR je velmi různá. Výzkumy některých společností zaměřené právě na tuto problematiku ukazují velké rezervy – např. společnost Eset připravila ve spolupráci s agenturou IDC průzkum zaměřený na GDPR mezi více než 700 malými a středními firmami v České republice a několika dalších evropských zemích. Tento průzkum ukázal, že téměř 78 % osob s rozhodovacími pravomocemi v oblasti IT buď postrádalo informace o dopadech regulace na jejich organizaci, nebo si jich nebyly zcela vědomy. 25,3 % respondentů vyjádřilo v tom smyslu, že o GDPR nevědí prakticky nic, dalších 52,5 % uvedlo, že o chystaném nařízení vědí, ale nemají jasno o jeho dopadu na jejich organizaci a pouze 22,2 % o nařízení nejen ví, ale zároveň chápe nové povinnosti, které z něj vyplývají. Domníváme se ale, že situace nebude až tak kritická. Už jen z důvodu času na přípravu, který ještě zbývá a mediálnímu prostoru, který je GDPR věnován už teď. Navíc zákon o ochraně osobních údajů již značnou část povinností stanovil a požadoval – požaduje nyní.

    Začínáte s některými partnery tuto otázku řešit reálně v praxi?

    Určitě jsme zaznamenali zvýšený zájem o tuto problematiku. Pro některé partnery jsme již připravovali školící a tréninkové aktivity.

    Myslíte si, že se firmy, jichž se nařízení dotýká, stihnou připravit?

    V takovýchto případech je vždy určité procento povinných subjektů, které se na novou úpravu připravit nestihnou. Důvodem je však často nedostatečný zájem, a tedy nedostatečná informovanost. Domnívám se, že téměř rok do začátku účinnosti GDPR je dostatečnou dobou pro implementaci příslušných nových vnitrofiremních pravidel a změn. Nakonec celá řada pravidel ochrany osobních údajů je již zavedena stávajícím předpisem, a tak z velké části by mělo jít o provedení firemních auditů a přizpůsobení stávajícího přísnějším pravidlům. Navíc k dispozici je celá řada odborníků, kteří v oblasti adaptace na GDPR nabízejí své služby.

    Je naše legislativa na GDPR připravena?

    GDPR je nařízením, které je přímo aplikovatelné na veškeré zpracování osobních údajů v rámci EU, resp. vztahuje se na všechny subjekty, které zpracovávají osobní údaje občanů EU (to znamená i na zpracovatele mimo EU). Forma přímé aplikovatelnosti byla zvolena kvůli jednotnosti a konzistentnosti pravidel zpracování osobních údajů v rámci celé EU. Členské státy Unie nemusí tedy toto nařízení implementovat do svých vnitrostátních právních předpisů. Musí je však adaptovat, aby byly s novou evropskou úpravou v souladu. V tuto chvíli je tedy nutné, aby Ministerstvo vnitra, ÚOOÚ a další subjekty byly aktivní v přizpůsobení lokální legislativy (zejm. tedy zákona o ochraně osobních údajů).

    -LiM

  • Zatím žádná firma není připravena na GDPR

    Slaby Jiri 6 malýNa otázky odpovídá Jiří Slabý ze společnosti Deloitte.

    DELOITTE logoJak vidíte připravenost firem na přijetí GDPR z pohledu vaší praxe?

    Žádná z mnoha desítek firem, se kterými pracujeme, není na GDPR připravena. Situace se však různí v tom, jak k tomu jednotlivé instituce přistupují. Situace na českém trhu je aktuálně taková, že většina se již seznámila s tím, co GDPR přináší a uvědomila si potřebu téma řešit. Takové firmy již spustily právě na detailních analýzách dopadu a designu nápravných opatření.

    Začínáte s některými partnery tuto otázku řešit reálně v praxi?

    Ano, téma GDPR řešíme v praxi velice aktivně již od začátku roku 2017. Nejčastější pomocí v první polovině roku 2017 je služba zpracování analýzy dopadu, která ukáže, co firma dělá s osobními údaji, co by dělat měla, kde jsou rozpory a navrhne, jak je efektivně řešit.

    Myslíte si, že se firmy, jichž se nařízení dotýká, stihnou připravit?

    Záleží, co znamená „připravit“. V žádném případě nebude většina plně v souladu s nařízením. To ale neznamená, že nebudou z větší části připraveny, případně že nebudou mít zavedeny dočasné postupy, jak povinnosti zvládat. I to by se dalo charakterizovat jako rozumná připravenost.

    -LiM

  • S GDPR bylo dobré začít už předevčírem!

    Ales Spidla profil malýNa otázky odpovídá Ing. Aleš Špidla, prezident ČIMIB (Českého institutu manažerů informační bezpečnosti).

    Na konferencích se často hovoří GDPR, jak může v této situaci firmám pomoci sdružení ČIMIB?

    cm 03 na podzim minulého roku uspořádal pro své členy a příznivce jeden z prvních seminářů na téma GDPR v České republice. ČIMIB se intenzivně zapojuje do spolupráce s odborníky na tuto problematiku a někteří jeho členové takovými odborníky jsou. Prezident ČIMIB je zapojen do činnosti pracovní skupiny k legislativě v oblasti ochrany osobních údajů koordinované úřadem vlády. Členové ČIMIB vystupují na mnoha konferencích a ukazují posluchačů cestu, jak GDPR efektivně do prostředí institucí zavést. ČIMIB připravil založení pracovní skupiny k problematice GDPR, která bude publikovat novinky, návody a rady v této oblasti.

    Vnímáte pokrok v zájmu firem o toto téma?

    Zájem o řešení se zvyšuje s blížícím se datem účinnosti GDPR – tím je 25.květen 2018. Zájem o účast na konferencích spjatých s GDPR významně převyšuje kapacitu sálů a je nutno pořádat navazující webináře, o které je také obrovský zájem. Prezident ČIMIBu, Ing. Aleš Špidla, na takovýchto webinářích aktivně vystupuje. Z dotazů v diskusích vyplývá, že některé instituce začínají chápat, že GDPR je nutno brát vážně, že je ale také příležitostí k tomu, udělat si pořádek v datech. Nicméně je zřejmé, že termín 25. května příštího roku nestihnou. Důležité je ale začít už teď a být v uvedeném termínu alespoň ve fázi datových analýz apod.

    Jaké jsou nejčastější zajímavé dotazy firem na téma GDPR?

    Nejčastější otázkou je kde a jak začít a jak využít synergie s řešením kybernetické bezpečnosti a nařízení o elektronické identitě. Nejdůležitější je poznat a popsat stav svých informačních systémů, kde jsou a kudy tečou osobní údaje, v jakém stavu jsou smlouvy s dodavateli, v jakém stavu vůči GDPR jsou souhlasy se zpracováním osobních údajů atd. Je toho hodně a je třeba začít už předevčírem.

    -LiM

  • Další díl konference SEMINARIA je za rohem, shlédněte video-přednášku Ing. Jana Dienstbiera z minulé akce.

    seminaria logo barvaJiž v příštím týdnu dne 6.6.2017 se opět koná další díl konference společnosti SEMINARIA na letos oblíbené téma GDPR.
    Více informací o konferenci naleznete zde

    Na minulé konferenci jsme natočili dvě na sebe navazující přednášky na téma GDPR.

    1. Přednáška kde přednášející je ING. Igor Prosecký za I3C
    2.přednášce ING.Jan Dienstbier prezentuje GDPR z úhlu pohledu na státní správu a nejenom na ni.

    Ing.Jan Dienstbier zde přednáší za platformu KYBEZ a společnost GORDIC.
    Pokud budete mít zájem o další informace z oblasti GDPR, napište nám, věnujeme se tomuto tématu a také tématům kybernetické bezpečnosti v nezávislé  PLATFORMĚ KYBEZ velmi intenzivně.

    Video můžete shlédnout na YOUTUBE zde: https://youtu.be/dvMG-y62J54 

    Autor: Petr Smolník, šéfredaktor 

  • Konference GDPR – ochrana osobních údajů – nové nařízení EU

    ICT NETWORK NEWS vás jako mediální partner zve na celostátní konferenci na téma GDPR – ochrana osobních údajů – nové nařízení EU,kterou pořádá společnost Seminaria. Konference seznámí účastníky s obsahem nového evropského nařízení a nabídne i kvalifikovaný pohled na to, jaká opatření a v jakých oblastech je nutné již dnes začít realizovat.

    Na konferenci mimo jiné vystoupí Eva Škorničková, členka pracovní skupiny Úřadu vlády ČR k problematice GDPR, nebo Jan Tomíšek, zástupce AK Rowan Legal a expert na právo na ochranu soukromí a osobních údajů.

    KDY: ve středu, 20. 9. 2017
    KDE: Praha - Hotel Occidental (Barceló)****

    GDPR přináší zatím největší změnu v ochraně osobních údajů. Jejím cílem je chránit práva občanů proti neoprávněnému zacházení s jejich osobními údaji. Nařízení vejde v platnost 25. května 2018, ale s přípravou by již měli začít všechny firmy, instituce, ale i jednotlivci, kteří zpracovávají osobní data, co nejdříve.

    Příprava na nové nařízení zabere totiž spoustu času. Společnosti, které nebudou připravené, nebudou mít zavedené adekvátní postupy nebo poruší povinnosti vyplývající z nařízení, budou tvrdě sankciovány. Za nedodržení hrozí pokuta 4 % z obratu až do výše 0,5 mld. Kč bez rozdílu velikosti organizace.

    Výrazná změna také nastane v oznamovací povinnosti v případě narušení bezpečnosti údajů. Zpracovatel bude muset nově nahlásit ohrožení zabezpečení osobních údajů do 72 hodin v momentě, kdy se o situaci dozvěděl. I tato změna zvýší nároky na procesní i personální ošetření ochrany osobních údajů v každé organizaci.

    Hlavním cílem konference GDPR – ochrana osobních údajů, je poskytnout aktuální informace o aplikaci nového evropského nařízení a objasnit základní principy nové úpravy. Zároveň budou popsány nutné kroky, které je potřeba začít podnikat už nyní, včetně nezbytných změn v interních pravidlech organizací.

    Další informace o konferenci naleznete na našich webových stránkách.

    Autor: Petr Smolník, šéfredaktor

  • GDPR: Aleš Špidla (ČIMIB) je realista!

    cm 03Vstoupení nařízení GDPR v platnost se blíží skutečně mílovými kroky (začne platit dnem 25. 5. 2018), a proto jsme položili několik praktických otázek Ing. Aleši Špidlovi, prezidentovi Českého institutu manažerů informační bezpečnosti (ČIMIB). Ten vidí problém GDPR naprosto realistickýma očima.

    Ales Spidla profil malyJak vlastně vidíte připravenost firem na GDPR?

    Obecně se dá říci, že téměř všichni začali s řešením problematiky Obecného nařízení o ochraně osobních údajů – GDPR – pozdě, a to i přesto, že nařízení platí od dubna roku 2016. Účinnost se kvapem blíží a ten, kdo se začíná až teď rozkoukávat, tak už má malou naději, že to stihne. Vše je totiž závislé na velikosti firmy, na rozsahu zpracování a množství zpracovávaných dat. Vážná situace je ve státních institucích, kde zatím probíhá kompetenční ping-pong a hledá se ten, kdo za to bude zodpovídat. Viděl jsem už i snahu přenést zodpovědnost za GDPR na jednotlivé vlastníky aktiv. Ti mají za úkol sami pro systémy, které používají pro svoji práci, vyřešit GDPR. Bez koordinace, bez komplexního přístupu. Toto je cesta do pekla, která nevede k řešení, vede jen k zbavování se zodpovědnosti. Je nutno si uvědomit, že GDPR je záležitost průřezová, která prochází napříč institucí a za její řešení zodpovídá vrcholové vedení. I z pohledu trestněprávní odpovědnosti.

    Dá se tedy ještě poradit, co teď dělat, pokud procesy s GDPR souvisejícími, se ještě nerozeběhly?

    V prvé řadě je třeba se uklidnit. V klidu a s rozvahou si udělat analýzu a položit si tyto otázky:

    • Dodržovali jsme dosud striktně a prokazatelně ustanovení zákona o ochraně osobních údajů 101/2000 Sb.?
    • Jsme správce nebo zpracovatel nebo obojí?
    • Jaké osobní údaje jsou zpracovávány – zaměstnanci, klienti, pacienti apod.?
    • Za jakým účelem jsou osobní údaje jsou zpracovávány?
    • Je k tomu zákonný důvod nebo jiné důvody, uvedené v nařízení GDPR?
    • Odpovídá zpracování nařízení GDPR z pohledu účelnosti, transparentnosti, časové omezenosti zpracování apod.?
    • Je zajištěn přístup k osobním údajům prokazatelně jen oprávněným osobám?
    • Jsou prokazatelně vytvořeny role s jasnou zodpovědností v oblasti zpracovávání osobních údajů?
    • Jaká technická a organizační opatření k zajištění bezpečného zpracování osobních údajů jsou v tomto okamžiku a jak jsou účinná.
    • Jakým způsobem je nastavena komunikace se subjekty osobních údajů.
    • Jakým způsobem je nastavena komunikace s dozorovým orgánem – tím je Úřad pro ochranu osobních údajů.

    Je nutno si uvědomit, že GDPR se netýká jen osobních údajů, zpracovávaných v informačních systémech.

    Po tomto zhodnocení současného stavu je nutno si udělat datový audit, který zjistí, kde všude osobní údaje jsou, a to i v „šedém“ IT. Datové audity vedou často k velmi překvapivým výsledkům. Osobní údaje se totiž často bez jakékoliv kontroly potulují napříč institucí a bez kontroly opouštějí její hranice.

    Dále je nutno ujasnit si, jaká další opatření z pohledu GDPR je nutno přijmout, velký zásah je nutno udělat v procesech – to znamená dojde k velkým změnám v interních dokumentech institucí. Zaměstnanci musí vědět, jak mají chránit osobní údaje – musí být zaveden systém vzdělávání. Z GDPR vyplývají i povinnosti vůči dozorovému orgánu, a proto je nutno analýzu opatření GDPR udělat velmi pečlivě. Dále je nutno si uvědomit, že zavedením opatření GDPR práce nekončí. Ochrana osobních údajů je nekonečný proces, který musí být trvale monitorován, musí být pravidelně hodnocena jeho účinnost a musí být neustále komunikován.

    Můžete sdělit, jaké jsou informace jdou od našich úřadů směrem k firmám? Jsou dostatečně konkrétní?

    GDPR není technickým manuálem k zajištění ochrany osobních údajů. Technická a organizační – zde patří i procesní – opatření jsou vždy záležitostí správce/zpracovatele. Vzhledem k tomu, že drtivá většina osobních údajů je zpracovávána v informačních systémech, doporučuji vzít jako podklad zákon o kybernetické bezpečnosti, respektive vyhlášku o kybernetické bezpečnosti.

    Petr Smolník, šéfredaktor 

  • Společnost Axenta v pilné práci

     male Axenta logoNa dění především v oblasti GDPR a bezpečnosti jsme se ptali Ing. Lukáše Přibyla, předsedy představenstva společnosti Axenta a. s., www.axenta.cz.

    Jak v současné době řešíte GDPR v rámci vašich projektů?

    Naše společnost Axenta a.s. se od svého založení v roce 2009 specializuje na implementace provozních a bezpečnostních dohledových systémů. Tyto systému monitorují úroveň bezpečnosti nad datovými aktivy a tím pádem bdí i nad osobními údaji. Takže se dá zjednodušeně říci, že naše systémy obsahují nativně zabezpečení osobních údajů. Samozřejmě je potřeba provést pár dílčích úprav a nastavení a případně i doplnit systém o instalace vybraných chybějících prvků.

    Podílíte se na práci skupiny firem pro GDPR, řeknete nám k tomu něco bližšího?

    Novinkou je založení a práce skupiny firem pro oblast GDPR. Je to několik firem z Network Security Monitoring Clusteru, které se dlouhodobě zabývají analýzami, stanovením nápravných opatření a implementací těchto opatření v praxi. Pracujeme pod názvem GDPR-SNADNO, více informací je zde: www.gdpr-snadno.info a AXENTA a.s. je jedním ze zakládajících členů této skupiny. Rád bych vypíchl, že neposkytujeme pouze právní a procesní poradenství, ale také implementace nápravných opatření a také služby DPO a služby forenzního týmu pro vyšetření incidentů.

    A jak pomáháte klientům v době, kdy kybernetické útoky rostou geometrickou řadou?

    Nejvíce pomáháme přenesením dobré praxe v oblasti nastavení našich dohledových systémů od klientů, kde útok proběhl ke klientům, kde se útok dá očekávat. A dále kvalitním servisem provozovaných monitorovacích systémů.

    Vnímáte větší tlak na kvalitu kyberneticko-bezpečnostních služeb?

    Ano, zcela určitě. Zákonná povinnost je větším motivačním faktorem pro naše zákazníky a také hrozba sankcí z neplnění povinností je Damoklův meč visící nad povinnými subjekty.

Nejčtenější