Problematiku GDPR na konferenci pořádané společností Brave Mutimedia pod partnerskou a odbornou záštitou společností O2 a Safetica, za účasti partnerů, společnosti OKsystem a advokátní kanceláře Pečený, Fučík, Langer, a dalších odborných a mediálních partnerů, odstartoval svým příspěvkem Tomáš Budník, generální ředitel společnosti O2. Hned v úvodu upozornil na skutečnost, že citlivými daty nejsou jen údaje, které vědomě poskytujeme například v rámci registrací v internetových obchodech. Osobní data vznikají už třeba naší pouhou přítomností ve veřejných prostorách a obchodních centrech, kde se pohybujeme pod hledáčky. Dobrovolně všanc se vydáváme i při využívání veřejně dostupných bezdrátových sítí wi-fi. "Žijeme v představě, že se nemůže nic stát. Když se pak něco stane, divíme se, jak to, že tohle někdo nevyřešil, že nás neochránil," uvedl Tomáš Budník s tím, že v podstatě vítá, že vznikla směrnice o ochraně dat, osobních údajů, která bude vymahatelná a platná jednotně napříč Evropskou unií. Přítomné v sále Tomáš Budník dále informoval, že s osmi miliony zákazníky se jako jeden z největších správců osobních dat na příchod nové směrnice pečlivě připravuje a neváhal kvůli jejímu zavedení ani pozměnit svou firemní kulturu.

 

Pokuty nejsou cílem, ale prostředkem

V dalším příspěvku Josef Prokeš, ředitel správní sekce Úřadu na ochranu osobních údajů (ÚOOÚ), prohlásil, že s předpisem GDPR končí doba, kdy některé životní situace v elektronickém prostředí na internetu nebyly podchyceny zákonem a skončí dohady o tom, zda firmy pravidla ochrany osobních údajů zavedou, či nikoliv. Ve svém příspěvku dále upozornil, že novelu zákona o ochraně osobních údajů česká vláda teprve připravuje a počítá s ní na srpen tohoto roku. Zároveň však všechny přítomné ujistil, že ÚOOÚ chce hrát především roli partnera a květen 2018 nehodlá zahajovat pokutováním.

 

Legislativa má za technologiemi zpoždění

ICT expertka Eva Škorničková následně zdůraznila, že proces vytváření normy v Bruselu nebyl jednoduchý a trval více než čtyři koky. S ohledem na rychlý technologický vývoj má už nyní v podstatě pětileté zpoždění za současnými technologiemi. Ve svém příspěvku se dále věnovala aplikaci normy v praxi. Upozornila přitom na potřebu změny uvažování každého z nás. "Kolikrát si ani neuvědomujeme, že jsme dostali e-mail, v jehož příloze je CV osoby ucházející se o zaměstnání a v němu už jsou osobní údaje," uvedla Eva Škorníčková.

 

Důležitá role změny firemní kultury

Jiří Sedlák, ředitel Security Expert Center O2 ITS, se na konferenci přišel s přítomnými podělit o zkušenosti společnosti, kterou reprezentuje, a hovořil o implementaci nových požadavků, které GDPR přináší. Zároveň však zdůraznil, že ochrana osobních údajů nezačíná v květnu 2018, že se s ní můžeme střetávat už řadu let, stejně jako se už řadu let setkáváme s reálnými kybernetickými útoky a hrozbami. Jiří Sedlák upozornil, že firemní kulturu vztaženou ke změnám souvisejícím se zaváděním GDPR je nezbytné od počátku stavět na reálných základech a se správným nasměrováním. "Je důležité, aby vrcholový management už na počátku definoval, co vlastně chce v této oblasti podniknout," řekl Sedlák a dále také uvedl, že v O2 problematiku implementace GDPR staví na základních kamenech, kterými jsou funkční ochrana v reálném čase, právní a procesní požadavky a jejich implementace do nových interních dokumentů a také na byznysových požadavcích, protož veškerá opatření musí zároveň dávat ekonomický smysl.

Matej Zachar, projektový a bezpečnostní manažer společnosti Safetica, zaměřil svůj příspěvek na bezpečnostní řešení související s GDPR. Za primární označil tři faktory zásadně ovlivňující bezpečnost nakládání s daty a vlastně i obecně faktory, které vedou reálně k úniku dat anebo k nějakému bezpečnostnímu incidentu, jenž potom může mít dopady například ve formě sankcí nebo nechtěné medializace. Nejzákladnějším faktorem je podle Zachara lidská chyba, další jsou pak úmyslné vynesení dat a chyby v procesech. Každý z těchto faktorů vyžaduje trochu jiný přístup, všechny však mají své řešení a na všechny už existují i prověřené technologické prostředky. Technologie přitom mohou pomoci ve všech fázích zavádění GDPR, od základního zmapování procesů po aplikaci požadavků souvisejících s nově nabytými právy majitelů osobních údajů.

 

Kryptografie neodstraňuje problém, usnadňuje však jeho řešení

Ivo Rosol, ředitel vývojové divize OKsystem, zahájil svou prezentaci tím, že technologie jsou sice připravené se zaváděním GDPR pomoci, samy o sobě však stačit nebudou. Poukázal na potřebu ujasnit si vnímání pojmů, se kterými směrnice pracuje. Poukázal kupříkladu na rozdíly mezi údaji osobními a zvláštními, které byly dříve označovány spíše jako citlivé, dále také na rozdíly mezi anonymizací a pseudonymizací údajů v organizacích. Bez přesné znalosti pojmů totiž nelze zaručit, že budou veškeré požadavky GDPR správně naplněny a v tomto ani sebelepší technologie samy o sobě nepomohou. "Důležité pro anonymní údaje, tedy takové, které se netýkají identifikované ani identifikovatelné osoby, je, že se na ně nevztahuje GDPR. Z tohoto pohledu by tedy bylo skvělé, kdybychom pracovali jenom s anonymními údaji", podotkl Rosol a doplnil, že k anonymním údajům lze přijít prakticky několika způsoby, přičemž tím nejjednodušším je, že údaje získáváme a ukládáme v anonymizované podobě rovnou, tedy že neukládáme informace vedoucí k identifikaci zdroje dat. Další poměrně rozsáhlý prostor své přednášky pak Rosol věnovat kryptografickým technologiím, které pro splnění povinností správce a zpracovatele při zpracování osobních údajů považuje za prakticky nezbytné, proces ochrany však sám o sobě neřeší. "Kryptografie pouze transformuje řízení přístupů dat na řízení přístupů ke klíčům, neodstraňuje problém, ale jenom usnadňuje jeho řešení a umožňuje nám organizačně rozdělit úlohy správců na správce dat a správce klíčů. To je ta zásadní pomoc této technologie. Údaje jsou vždy někde uloženy, údaje se vždy běžně přenáší a k tomu je potřeba kryptografie", shrnul na závěr Ivo Rosol.

 

Právník jako důležitá součást implementace

Ivan Langer, partner advokátní kanceláře Pečený, Fučík, Langer, v úvodu podtrhnul to, že úloha právníka je v procesu úspěšné implementace důležitá, není však jedinečná a neobejde se bez týmové spolupráce. "Role právníka v případě GDPR začíná opravdu důkladným proškolením všech lidí, kteří mají pravomoc rozhodnout o tom, jestli společnost půjde touto cestou, či nikoliv. Najdete spoustu věrozvěstů, kteří teď hlásají, že si přečetli to nařízení, a říkají "tak pojďte, my vás proškolíme". Problém je v tom, že nelze řešit jen problém GDPR, ale i souvztažnost dalších právních norem, upozornil Ivan Langer, přičemž se dále ve svém příspěvku zaměřil na jednotlivé fáze zavádění GDPR, kde může být právník důležitým partnerem. V závěru svého příspěvku se pak Langer věnoval hranici, kde končí problematika správního trestání a kdy nastupují jiné tresty a s jakými postihy lze v případě jednotlivých pochybení počítat.

Následující diskuse potvrdila, že přítomní řečníci své posluchače zaujali a inspirovali, že budou z konference odcházet minimálně s pocitem, že se s problematikou obeznámili natolik, že vědí, jak začít a kam se obrátit.