Zatímco vy patříte k těm, kteří od zákonů neočekávají vůbec žádné stanovené postupy a říkají soudům, ať si to samy nějak rozhodnou? Neočekávám od zákonů jasně stanovené postupy, ale očekávám nějaké základní limity, a třeba nějaký návod, podle čeho se řídit.
Právě proto jsem psal, že jsem zvědavý, jak bude soud posuzovat maximální rozumné zabezpečení.
No to je právě ono: žádný zákon a žádný zákonodárce nedokáže podchytit všechny situace, a už vůbec ne s výhledem na budoucí vývoj. Co Vy víte, kam se bude ubírat například digitální zpracování dat za dalších 10 let? Proto je naprosto správné nechat zákonem položený cíl, nějaké obezřetně položené požadavky vyjmenovat. Zbytek se musí nechat na tom, jak se bude situace vyvíjet a nechat soudy, ať takový vývoj reflektují.
Hezkým příkladem takového správného vývoje aplikace zákona je např. péče o děti. Zákon stanoví, že soud rozhoduje v nejlepším zájmu dětí s přihlédnutím k zájmu rodičů. V minulosti převažoval názor, že jednotné výchovné prostředí je pro děti nejlepší, a proto soudy rozhodovaly o výlučné péči jen jednoho rodiče. Teprve desetiletí praxe ukázaly, že i toto přináší určité nevýhody a páchá to ve společnosti zase jiné křivdy. A soudy se postupně začaly přiklánět k tomu, že neexistuje jen právo dítěte "být vychováván", ale i právo rodiče "smět vychovávat". Ukázalo se také, že ten rodič, který získal děti do péče, velmi často situaci zneužíval a druhého rodiče z života dětí vytěsnil a omezil ho jen na "platiče alimentů" a "víkendového rodiče na zážitky". Na to všechno ale byl potřeba čas a ponechaný prostor pro přirozený vývoj.
To samé je v případě GDPR. Jste podnikatel, musíte umět nést rizika (spočítat je, ocenit je, eliminovat je nebo je aspoň mitigovat). Před 15 lety bylo dostatečné mít firewall na modemu a stanici Windows s heslem. Dnes už víme, že převažují hrozby ransomwaru, a je na jednotlivých firmách, nikoliv na zákonodárci, aby tu situaci sledovaly, a reagovaly na ni.
Jako manažer firmy tedy musíte sednout ke stolu, vypsat si rizika a napsat si, jak je budete hodnotit a řešit. Tento postup pak zopakujete např. každého půl roku, či rok. Vyjde Vám patrně to, že budete muset školit personál - a perioda školení se bude lišit podle toho, jak velká část zaměstnanců pracuje s informacemi a jakou máte fluktuaci - zákon to za Vás neurčí. Pak zjistíte, že máte veškeré doklady firmy uložené ve skříni na společné chodbě - vymyslíte tedy, že ve vašich podmínkách necháte běžné faktury od obchodních společností v té skříni, zatímco na faktury živnostníků - podnikatelů založíte jinou číselnou řadu a uložíte je na bezpečnější místo. Samozřejmým opatřením bude přestěhování šanonů se mzdovou agendou. V jiných firmách může být nutné oddělovat od zaměstnanců i faktury s obchodními korporacemi, protože může být předmětem plnění něco, co se dotýká důvěrných informací - např. faktury od agentur práce, nebo faktury za školení lidí, či za vstupní lékařské prohlídky. Některé firmy takové doklady mají, jiné třeba ne.
Pak musíte stanovit kontrolní mechanismy. Cokoliv, co zavedete, může být považováno za opatření jedině za předpokladu, že vymyslíte a dodržíte mechanismy kontrol plnění.
To všechno jsou jen příklady, jak musí manažer přemýšlet během zavádění GDPR - a z celého odstavce se IT týkalo jen zavedení číselné řady pro určitý typ dokladů.
Nic z toho nemůže stanovit zákon jako mantinely. Jinak to dopadne tak zoufale, jako to, že vstupní lékařskou prohlídku dnes musí mít i kancelářský zaměstnanec, a školení BOZP v kancelářích vypadá tak, že bezpečák vysvětluje, že je potřeba varnou konvici pohlídat, aby se vypnula a nevzplála - to jsou oproti tomu příklady dvou norem, které firmám nařizují jasné mantinely, ale vůbec nedávají smysl.
GDPR je v podstatě jít s atomovkou na data. Důsledky jsou zřejmě podobné, že se musel využít takový institut?
Proč? Pokud máte pocit, že není potřeba ve Vaší firmě nic měnit, tak Vás nikdo nebude postihovat. Postih nastane teprve ve chvíli, kdy dojde k bezpečnostnímu incidentu, a tím se prokáže, že Vás odhad, že se jedná o atomovku, byl mylný a měl jste ji opravdu zavést.
...firmy budou mít v ruce papír o GDPR auditu a budou se tvářit, že "vše rozumné" udělali (hlavní je mít tu kategorii, co všechno nevyhovuje ukrytou někde v šuplíku), nebo třeba budou ty data někam outsourcovat a tvrdit, že (zvlášť když to nění IT firma) to rozumné udělali...
Právě od toho je ta objektivní odpovědnost. To, že jste to outsourcoval Vás nezbaví odpovědnosti, Vaše odpovědnost je v tu chvíli de facto o tom, abyste vybrali správnou, opravdu kvalitní firmu. Soud nebude řešit, jestli to dělal Váš zaměstnanec, nebo externí firma. Soud dokonce nebude ani zajímat, že Vám ta externí firma nepředala dobrou dokumentaci. Prostě to Vy musíte doložit soudu, jinak nesete odpovědnost. Pokud tu dokumentaci nemáte (ať už od Vašeho zaměstnance, nebo externí firmy), ocitnete se rázem v tzv. důkazní nouzi, kdy nejste schopen prokázat svá tvrzení.
Zdá se mi, že princip objektivní odpovědnosti vs. proces tvrzení-dokazování příliš nechápete.
Měl jsem možnost dostat pár informací jak z bank tak ze zdravotnických zařízení a tohle je ale totální nesmysl. V bankách je to (výrazně) lepší, ale pokud se bavíme o maximální rozumné míře zabezpeční, tak tam rozhodně nejsou (bavíme-li se o minimální-rozumné, tak tam banky celkem jsou). Ve zdravotnictví nic takového neexistuje. Lidi z UK mi říkali, že tam unikají zdravotnická data tak ob týden, u nás moc neunikají, ale zabezpečení je tragédie.
Ono nejde o to, že by nebylo potřeba krok tímto směrem udělat. Spíš jde o to, že je to ve stylu "něco je potřeba udělat; tohle je něco; tak to uděláme". Kvůli spamům (čímž se tady pořád argumentuje) zavádět zákon, který se chová k datům jako k atomové elektrárně mi připadá poněkud přehnané.
Moje firma má šanony pod zámkem, citlivé informace mám hlavně já a dva další lidi. Ostatní zaměstnanci mají přístup jen k datům a informacím, které potřebují ke své práci. Udělal jsem, jako malá firma, maximum, co jsem mohl.
Co je na tom tak složitého a nejasného?
64 Odpovědí
13669 Zhlédnutí