Technické a procesní požadavky zákona o kybernetické bezpečnosti a GDPR

Naplnit technické požadavky na GDPR včas je reálné, protože většina z nich je vyžadována stávajícím zákonem 101/2000 Sb. o ochraně osobních údajů. GDPR v tomto implementačním smyslu tak přináší pouze zpřesnění - např. u vyjadřování souhlasu se zpracováním osobních údajů.

Nově je odmítán model jednoduchého zaškrtávátka - souhlasím se zpracováním údajů a požaduje se konkrétnější souhlas, který musí být vyjádřen jednotlivě ke každému zpracování, které se předpokládá. Například pokud chceme rozesílat e-mailové nabídky a současně používat podobně telefonní číslo dané osoby, měli bychom si vyžádat dva samostatné a konkrétní souhlasy.

Pro splnění podmínek se nyní musí také přesněji určit na jakou dobu se souhlas vydává, nikoliv jako dosud běžné na dobu neurčitou až do odvolání.

"Největším strašákem GDPR jsou procesy a řízení celé záležitosti. Například už jen v tom případě získávání potřebných souhlasů. Pokud u aktuálně zpracovávaných údajů nebyl dosud souhlas vyjádřen v souladu s GDPR, není možné tyto osobní údaje dále zpracovávat. Správce dat tak v těchto případech bude muset buď všechny osobní údaje, které v tu chvíli má, zahodit, nebo si musí zajistit nové souhlasy. Tyto kroky tak bude muset provést u mnoha a mnoha v současné době zautomatizovaných firemních procesů. Právní oddělení samozřejmě může vyhodnotit a nahradit konkrétní souhlasy jiným právním titulem, podle kterého se dá zpracovávat bez souhlasu, ale zase se jedná o strašáka, nutnost provádět a platit obecně nákladné analýzy v době, kdy existuje jen minimum vyjádření ze strany úřadů," říká Ondřej Ševeček, odborník na IT bezpečnost Počítačové školy Gopas.

Nově se také zavádí povinnost proaktivně osobní údaje chránit a dokumentovat bezpečnostní opatření k tomu použitá. Zatímco dříve ÚOOÚ přicházel na kontrolu organizace až po nějakém nahlášeném incidentu, nebo stížnosti, nově může přijít na proaktivní kontrolu a bude vyžadovat dobrou úroveň aplikované ochrany.

Pokuty, které může pak úřad za nedodržování uložit, narostly do závratných, evidentně likvidačních výšek (10 - 20 mil. EUR nebo 2 - 4% celosvětového obratu společnosti). GDPR je proto podobně kontroverzní téma jako dnes tolik diskutované zajišťovací příkazy.

Zavedení GDPR vyžaduje velké investice do analýzy stávajícího stavu a nákladné hledání co nejschůdnějších cest s právními poradci. To všechno navíc za situace, kdy neexistuje mnoho závazných vyjádření ÚOOÚ k jeho pohledu na řešení sporných otázek, nepočítaje samozřejmě neexistující judikatury u zákona, který teprve bude vstupovat v platnost.

Další články k tématům - analýza - bezpečnost - email - GDPR - incident - pokuta - ÚOOÚ - zákon - Ondřej Ševeček

Článek GOPAS, a.s. ze dne 21. února 2018 - středa