Nedávno jsme se v Ackee pokusili dát dohromady potřebné informace o GDPR. A samozřejmě jsme se zaměřili na “IT problémy”, které se k novému nařízení vážou. Pozvali jsme odborníky na slovo vzaté a společně uspořádali meetup. Cílem bylo prasknout mediální bublinu, která kolem GDPR v posledních měsících vznikla, a tak trochu uklidnit účastníky. Tohle nařízení EU přece jenom není zas takový strašák, jaký se z něj dělá.
IT ředitel z ÚOOÚ
První talk večera měl na starost Václav Strnad, ředitel Úřadu pro ochranu osobních údajů. Tedy, jak sám řekl, “toho úřadu, který vám napaří sankce, pokud nebudete GDPR dodržovat.” Během své přednášky ovšem zdůraznil, že sankce mají být sice citelné, ale nikdy ne likvidační. Také vyvrátil asi nejzažitější mýtus GDPR:
A jaká byla hlavní message Václavova talku? S GDPR se toho v Česku moc nemění.
Současná česká legislativa myslí na ochranu osobních údajů velmi důkladně, a proto nám nařízení GDPR nepřináší mnoho změn.
Jaké povinnosti přibudou oproti současné legislativě?
- všichni musí vést záznamy o činnostech s osobními údaji
- všichni mají ohlašovací povinnost u případů porušení zabezpečení osobních údajů
- nově je zavedena spoluodpovědnost správců a zpracovatelů
Více se dozvíte z Václavových slidů a z nového webu GDPR stručně a jasně.
Právníci z Kropáček legal
Za právní sféru jsme tu měli hned dva řečníky z Kropáček legal – právníky Pavla Kropáčka a Patrika Nováka.
Dozvěděli jsme se, že jednou z nejdůležitějších povinností uživatele cloudu je uzavřít s poskytovatelem cloudu smlouvu o zpracování osobních údajů. Většina velkých poskytovatelů cloudových úložišť má připravený svůj návrh této smlouvy (nejčastěji je označena jako “Data Processing Addendum”), který musíme přijmout.
V obsáhlé prezentaci od Kropáček Legal najdete více informací o náležitostech zpracovatelské smlouvy i o interních opatřeních vztahujících se na práci s cloudem.
Pán od počítačů
Nakonec jako IT odborník na GDPR vystoupil na meetupu náš CIO Josef Gattermayer. To neznamená, že jsme hledali třetího speakera na poslední chvíli, ale to, že Ackee je přece jen také zpracovatelem osobních údajů. A procesy v souladu s GDPR už má náš tým zmáknuté, tak proč se o to nepodělit, no ne?
Implementovat “adekvátní technická a organizační opatření” je dost vágní pojem, a proto Josef na začátku svého talku objasnil, jak jsme si ho v Ackee interpretovali.
Po podpisu servisní smlouvy jsme jakožto agentura automaticky v roli zpracovatele osobních údajů a zodpovídáme za v šechna technologická rizika. Proto jsme se s několika klienty, kteří nebyli ochotni investovat do zabezpečení svých systémů raději servisní smlouvy ukončili.
A jak jsme v Ackee vyřešili zabezpečení osobních údajů u většiny klientů?
Jaké technologie používáme konkrétně k zabepečení serverů a zálohování najdete ve slidech Josefa.
Odkazy na materiály:
- prezentace GDPR si s cloudem rozumí od Václava Strnada
- prezentace Uživatelé cloudu podle GDPR od Pavla Kropáčka
- prezentace GDPR v prostředí Google Cloud Platform od Josefa Gattermayera