Nedávno jsme se v Ackee pokusili dát dohromady potřebné informace o GDPR. A samozřejmě jsme se zaměřili na “IT problémy”, které se k novému nařízení vážou. Pozvali jsme odborníky na slovo vzaté a společně uspořádali meetup. Cílem bylo prasknout mediální bublinu, která kolem GDPR v posledních měsících vznikla, a tak trochu uklidnit účastníky. Tohle nařízení EU přece jenom není zas takový strašák, jaký se z něj dělá.
IT ředitel z ÚOOÚ
První talk večera měl na starost Václav Strnad, ředitel Úřadu pro ochranu osobních údajů. Tedy, jak sám řekl, “toho úřadu, který vám napaří sankce, pokud nebudete GDPR dodržovat.” Během své přednášky ovšem zdůraznil, že sankce mají být sice citelné, ale nikdy ne likvidační. Také vyvrátil asi nejzažitější mýtus GDPR:
“Pokud pro úplně každé zpracování osobních údajů vyžadujete explicitní souhlas po vašich uživatelích, nejspíš děláte něco špatně. Pro zpracování osobních údajů nutných pro plnění smlouvy, není souhlas potřeba.”
A jaká byla hlavní message Václavova talku? S GDPR se toho v Česku moc nemění.
Současná česká legislativa myslí na ochranu osobních údajů velmi důkladně, a proto nám nařízení GDPR nepřináší mnoho změn.
“Když se teď připravujete na GDPR, tak se na něj vlastně nepřipravujete, maximálně zjišťujete, že už tady 15 let existuje zákon, který možná nedodržujete.”
Jaké povinnosti přibudou oproti současné legislativě?
- všichni musí vést záznamy o činnostech s osobními údaji
- všichni mají ohlašovací povinnost u případů porušení zabezpečení osobních údajů
- nově je zavedena spoluodpovědnost správců a zpracovatelů
Více se dozvíte z Václavových slidů a z nového webu GDPR stručně a jasně.
Právníci z Kropáček legal
Za právní sféru jsme tu měli hned dva řečníky z Kropáček legal – právníky Pavla Kropáčka a Patrika Nováka.
“Poskytovatel cloudu bude zpravidla tzv. zpracovatelem osobních údajů a uživatel cloudu bude tzv. správcem osobních údajů.”
Dozvěděli jsme se, že jednou z nejdůležitějších povinností uživatele cloudu je uzavřít s poskytovatelem cloudu smlouvu o zpracování osobních údajů. Většina velkých poskytovatelů cloudových úložišť má připravený svůj návrh této smlouvy (nejčastěji je označena jako “Data Processing Addendum”), který musíme přijmout.
“Další důležitou povinností je informovat osoby, jejichž osobní údaje jsou ukládány na cloud, např. své zákazníky nebo zaměstnance, že využíváte poskytovatele cloudu jako zpracovatele jejich osobních údajů.”
V obsáhlé prezentaci od Kropáček Legal najdete více informací o náležitostech zpracovatelské smlouvy i o interních opatřeních vztahujících se na práci s cloudem.
Pán od počítačů
Nakonec jako IT odborník na GDPR vystoupil na meetupu náš CIO Josef Gattermayer. To neznamená, že jsme hledali třetího speakera na poslední chvíli, ale to, že Ackee je přece jen také zpracovatelem osobních údajů. A procesy v souladu s GDPR už má náš tým zmáknuté, tak proč se o to nepodělit, no ne?
Implementovat “adekvátní technická a organizační opatření” je dost vágní pojem, a proto Josef na začátku svého talku objasnil, jak jsme si ho v Ackee interpretovali.
“Vyložili jsme si to, že musíme dělat věci tak, abychom si je uměli obhájit. Konkrétně to znamená 4 opatření – šifrovaný přístup, zabezpečené servery, kontrola přístupu, zálohování”.
Po podpisu servisní smlouvy jsme jakožto agentura automaticky v roli zpracovatele osobních údajů a zodpovídáme za všechna technologická rizika. Proto jsme se s několika klienty, kteří nebyli ochotni investovat do zabezpečení svých systémů raději servisní smlouvy ukončili.
A jak jsme v Ackee vyřešili zabezpečení osobních údajů u většiny klientů?
“Dost našich klientů mělo různé interní webové služby, do kterých se hlásilo pod jedním účtem, nebo byly úplně bez hesla. Jelikož se často jednalo o dost legacy technologie, vyřešili jsme to tak, že před ně nasazujeme identity-aware proxy, která celou kontrolu přístupu elegantně řeší bez zásahu do původního systému.”
Jaké technologie používáme konkrétně k zabepečení serverů a zálohování najdete ve slidech Josefa.
Odkazy na materiály:
- prezentace GDPR si s cloudem rozumí od Václava Strnada
- prezentace Uživatelé cloudu podle GDPR od Pavla Kropáčka
- prezentace GDPR v prostředí Google Cloud Platform od Josefa Gattermayera
