Ochrana osobních údajů či nařízení GDPR se na nás řítí ze všech stran. Hrozí to likvidací firem, postihy všeho druhu, je to snad horší než zemětřesení. Jak tato problematika vypadá očima manažera IT společnosti T-SOFT? A proč se právě tak „neosobně“ stavíme k tomu, co je pro nás ohromná šance?
Ochrana osobních údajů, někdy se lze setkat s výrazem ochrana osobních dat, představuje v právním smyslu určitý soubor práv a povinností, které se vztahují ke zpracování informací (údajů, dat) o fyzických osobách.
Osobní údaje (osobní data) jsou jakékoli informace, které se váží ke konkrétní fyzické osobě. Nemusí jít vždy o údaje identifikační (jméno, příjmení, rodné číslo, fotografie, otisky prstů), ale i o jiné údaje, které souvisejí se životem určité fyzické osoby (např. velikost oblečení, členství v politické straně, vlastnictví nemovitostí, provozování koníčků).
Ochrana osobních údajů (ochrana osobních dat) je v České republice regulována zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a dalšími právními předpisy. Od května roku 2018 dojde však v této oblasti ke změně.
Nařízení Evropského Parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně GDPR, je nový zákon k ochraně osobních údajů v zemích EU. V České republice tak toto Obecné nařízení nahradí od 28. května 2017 stávající zákon č. 101/2000 Sb., o ochraně osobních údajů, a v konkrétních detailech ho doplní nový, již připravovaný zákon o zpracování osobních údajů.
Výklady tohoto Obecného nařízení se prozatím různí. Je to dáno jeho obecností a možností konkretizace metodikou každé země, také mnohdy nepochopením základních pojmů, a bohužel zejména komerčními zájmy některých IT a poradenských firem, které v aplikaci GDPR vidí nový zdroj svých příjmů.
Na jedné straně jsou naše mailové schránky denně zavaleny množstvím nabídek školení. Skoro každý, kdo umí trochu číst a psát, nabízí, že nám vyloží za peníze něco, co by nám měl vyložit stát, až to po nás bude chtít plnit. Na druhé straně řada právníků nabízí, že nám „zkrátka vyřeší naše GDPR.“ Stejně tak IT firmy nabízejí dodání zaručených hardwarových a softwarových řešení, které nám GDPR pomůže zvládnout.
Kolem GDPR vzniká řada mýtů…
Mýtus 1: GDPR se vztahuje na osobní údaje občanů EU bez ohledu na to, kde ve světě sídlí.
Mýtus 2: GDPR je především prevence úniku dat.
Mýtus 3: Bude nutno pořídit nové SW.
Mýtus 4: Outsourcingem se zbavíme odpovědnosti.
Mýtus 5: Likvidační sankce za únik dat.
Každé z těch tvrzení je trochu vytrženo z kontextu. Samozřejmě, že s definitivními opatřeními je rozumné počkat na vydání závazných metodických pokynů novým Dozorovým úřadem. 
Je však potřeba si říci, o co vlastně jde a jaké to pro nás může mít důsledky a jak celý problém smysluplně uchopit.
Proč se to vlastně děje?
Naposledy byl zákon o ochraně osobních údajů přijat v roce 2000. To znamená skoro před 17 lety! Od té doby se změnila spousta věcí. Změnil se internet a rozsah jeho využití. Vždyť v té době nebyly smartphony, e-shopy i online marketing zaznamenaly za tu dobu takový rozmach, že bychom možná těžko vzpomínali, jako to vypadalo v roce 2000, tedy v době, kdy jsme řešili problém Y2K, tedy přechod počítačových systémů z roku 1999 na rok 2000. Tím pádem se veškerá data, která o sobě někam zadáváme, stávají součástí digitálního molochu a sami bychom těžko z hlavy dali dohromady, kdy a kam jsme zapsali o sobě nějaké údaje.
Na jedné straně se pochopitelně rozčilujeme, že nás stát a EU „buzeruje“ novým zákonem. Na druhé straně je nám na obtíž, když nás neustále někdo bombarduje reklamami a zlobíme se, že naše data putují bůhví kde. Nechápeme, kdo komu dal číslo našeho mobilu a ten nám volá a nabízí nám teplou vodu.
A když jsme firma, která stojí před úkolem stát se tzv. GDPR Compliant, trneme hrůzou, co je to zas za novou hrozbu. Ale co se na to podívat trochu jinak? Není to totiž jen hrozba, ale hlavně mimořádná historická příležitost! Příležitost k tomu, abychom se stali lepšími, ne? Když už, tak proč to nenazvat trochu vzletně? Koneckonců po čtvrt století chce každá firma trochu provětrat a přestavět.
1. Úklid dat
Kdy jsme začínali podnikat? Někdy před 25 lety? Sice tenkrát bylo IT v plenkách, ale přece jenom takových 20 let nám ve firmách bobtnají různé informační systémy, databáze, ale co je nejhorší, i tzv. nestrukturovaná data. To znamená data, která máme roztroušená po různých discích, adresářích, dokonce i v mailech. Kdo z nás někdy nevyexportoval nějaké seznamy lidí do Excelu a neposlal to před poradou kolegům?
2. Zefektivnění procesů
Když se pustíme do zkoumání toho, kde máme rozcouraná jaká data, určitě zjistíme, že máme nepořádek v kde čem, nejen v osobních datech. Pak je na místě se podívat, jaké procesy máme nastavené ke zpracování dat obecně. Tady je prostor pro něco, co my jako firma děláme pro zákazníky, tj. pro optimalizační analýzu IT.
Obvykle se začíná úvodními pracemi zdarma. Zkrátka musíme strávit nějaký ten den u zákazníka a identifikovat, jaké jsou jeho bolesti, rozsah informačního systému, počty aplikací, náklady na IT. Na základě toho teprve vznikne nabídka na první fázi „debordelizace“, jak tomu interně říkáme.
Ta spočívá v tom, že mluvíme s lidmi. S uživateli, ajťáky, reprezentanty vedení. Využíváme různé metody komunikace a získávání informací, výjimkou není ani kooperace s externími psychology, pokud máme posoudit kompetentnost osobností na vedoucích pozicích. A na základě množství rozhovorů vznikne první obraz o tom, jak je vůbec IT vnímané a naopak, jak IT vnímá potřeby businessu. Potom se to celé začne rozplétat. Musí se udělat detailnější rozbor, jaké jsou ve firmě aplikace, které se používají, které se dublují. Kde se třeba duplikují zbytečně data apod.
Do toho musíte zahrnout věci jednoduše dané, jako že třeba nějaký program je centrálně stanoven a nejede přes to vlak. A tady se vám po týdnech až měsících začne rýsovat řešení. Co se dá zjednodušit, co vyhodit, patří do toho samozřejmě i analýza procesů, které jsou aplikacemi podporovány.
Abyste zefektivnili informační systém, musíte si být jisti, že neautomatizujete naprosto neefektivní procesy. Kromě toho někdy dojde i na personální výměnu. Když nastavíte novou, efektivní strategii IT, musíte mít k tomu i lidi, kteří ji dovedou dotáhnout do konce. Takže někdy sháníme zákazníkovi i nové pracovníky.
3. Posílení důvěryhodnosti
Co je důsledkem podobných kroků? Posílení důvěryhodnosti – a to se týká nejen firem, ale i neziskových organizací. Neziskovky, které získávají sponzory, dárce, mají šanci odpovědným přístupem ke zpracování údajů o nich zvýšit svoji kredibilitu.
A když už to máme, jak zjistit, že to máme dobře? Že máme dobře nastaveny procesy zejména vymazání osobních dat konkrétního člověka? A co třeba ochrana těchto dat proti kybernetickému útoku? Víme, jak bychom reagovali? U větších organizací je ideální metodou cvičení neboli tzv. zátěžový test. O čem je cvičení? Zjistit, jak na tom jsme…
Zátěžový test organizace
Ten prověří formou manažerské hry připravenost na řešení výjimečných a kritických situací – schopnost vypořádat se s neobvyklými jevy. Pro oblast připravenosti lze s výhodou využít též, ale můžeme zjistit připravenost na kybernetický útok, požár, a v podstatě jakoukoliv mimořádnou situaci. Odhalí „kostlivce ve skříni“ – ne s cílem někoho za ně potrestat či znemožnit, ale s cílem zvýšit odolnost organizace proti různým hrozbám.
Zátěžový test probíhá ve třech etapách:
Příprava (konsolidace dostupné dokumentace a návrh scénářů)
Realizace (cvičení vybraných scénářů)
Vyhodnocení
Vyhodnocení ukáže výsledek cvičení a navrhovaná opatření ke zlepšení.
Zátěžový test zanechává v účastnících konkrétní a aktuální znalost, jak se správně zachovat v krizi. Pomůže novým pracovníkům zapojit se do stávajících týmů a osvojit si potřebné znalosti v součinnosti s kolegy. Aktualizuje dokumentaci a ověřuje nastavené standardní procesy.
Proč tohle všechno doporučujeme? Opírá se to o naše zkušenosti z velkých projektů, a analýz i cvičení. Mimo jiné i z projektů GDPR – vyvinuli jsme unikátní metodu workshopu kombinovanou s dotazníky.
Ing. Michal Vaněček, Ph.D., MBA,
ředitel společnosti T-SOFT a.s. a předseda správní rady Nadace T-SOFT ETERNITY a spisovatel
vanecek@tsoft.cz
T-SOFT a.s.
je od roku 1991 IT společností s prioritním zaměřením na speciální informační systémy, integraci a bezpečnost. K našim nejcennějším znalostem a zkušenostem patří schopnost vytvářet a implementovat systémy i celostátního rozsahu ve velice krátkých termínech. Našimi zákazníky jsou veřejná správa, banky, velké podniky i mezinárodní instituce. Jsme ale dostatečně flexibilní, takže dokážeme efektivně realizovat i relativně malé zakázky a projekty.
- Hlavní specializací firmy T-SOFT a.s. jsou:
Vývoj na zakázku
Projekty a realizace IS, včetně analýz a optimalizace
Systémová integrace
Systémy pro krizové řízení
Bezpečnost
Jádro firmy tvoří lidé spolupracující již řadu let na tvorbě velkých softwarových celků. V současnosti máme přes 40 zaměstnanců, převážně vývojových pracovníků a projektových manažerů s odborným zaměřením a bohatou praxí v oblastech vývoje software, krizového řízení, bezpečnosti a systémové integrace. Toto odborné zázemí umožňuje realizovat i velmi speciální a nestandardní zakázky i celostátního rozsahu kvalitně a v krátkých termínech.
Naše prestižní softwarové projekty
- Informační systém CERTIS pro realizaci státních maturit
Informační systém ARGIS pro správu zdrojů SSHR
Informační systém Národního bezpečnostního úřadu
Systém správy dokumentů Ministerstva zemědělství
Systém Cross-compliance Ministerstva zemědělství
Systém PRACTIS pro řízení rozsáhlých cvičení, například Blackout Praha 2014