Na co firmy zapomínají i rok po platnosti GDPR
V roce 2018 představovalo GDPR hlavní téma napříč všemi zeměmi EU. Velké korporace tlačeny svými centrálami se se zaváděním povinností snažily vyrovnat ve velkém. Střední firmy většinou jen s nejvíce viditelnými věcmi, kdy se spokojily s napsáním interní řídící dokumentace (směrnic, pokynů), ale technicky úpravy systémů nerealizovaly. Malé firmy v drtivé většině vyčkávaly a nadále vyčkávají, zda humbuk byl adekvátní a budou udělovány pokuty nebo věc tzv. „vyšumí“.
Z řady projektů, které jsme v letech 2017 a 2018 realizovali, vnímáme řadu společných rysů a oblastí, na které se v projektech pravidelně zapomínalo a dosud nejsou adekvátně pokryty. Zároveň je mnohdy hromadně ignorován fakt, že GDPR není jen o jednorázovém zavedení zvolených opatření, ale i o následné kontinuální práci a života s ním.
Příspěvek zhodnotí, jak firmy na Českém trhu typizovaně přistoupily k implementaci povinností GDPR, co především realizovaly a zároveň jasně poukáže na oblasti, které v drtivé většině byly a jsou opomíjeny a zároveň připomene, jaké povinnosti by se měly kontinuálně dodržovat.
Jako hlavní prakticky vůbec neřešené oblasti vnímáme řešení práva na omezení zpracování, technické řešení archivace a správné obnovy dat po havárii a zpracování patřičné dokumentace ke kamerovému systému. Za částečně ale nedostatečně řešené oblasti vnímáme především detekci, vyhodnocování, řešení a hlášení incidentů porušení zabezpečení, dále zamezení přístupu k neoprávněnému zpracování privilegovanými uživateli a v neposlední řadě nesprávné pochopení a použití analýzy rizik.
Příspěvek také zdůrazní potřebu trvalého provádění vybraných aktivit, především hodnocení nových činností zpracování při nastalé změně, aktualizaci Záznamů o činnostech zpracování a kontrolu účinnosti zavedených opatření.
Ing. Jiří Slabý, Ph.D.
Jiří je zakladatelem a ředitelem poradenské divize firmy ISECO, specializující se na informační a kybernetickou bezpečnost. Má 18 let zkušeností v oblasti IT a z toho 10 let v oblasti informační a kybernetické bezpečnosti. Jiří postupně zastával řadu pozic v celém cyklu IT projektů od předprodejní technické podpory ve formě návrhu řešení a architektury, vyjednávání smluv a projektového nastavení, solution architektury řešení, řízení implementace až po finální testování. Dnes je vedoucím divize s kompletní zodpovědností za jeho chod, obchod, marketing, obsazení a vlastní dodávku projektů.
Jeho technická expertíza pokrývá široké portfolio oblastí a technologií. Z oblasti bezpečnosti především rodina norem ISO 27000, ISMS a dále pak předpisy v oblasti ochrany osobních dat (GDPR) a elektronické identity (eIDAS). Jiří je historicky velkým fandou technologií a proto se v mnoha projektech zabýval například s Hadoop, PHP, Python, HTML/CSS, Linux/Unix, IBM nástroje (Rational, Tivoli, Infosphere, Lotus, Websphere), bezpečnostní technologie (SIEM, log management, FW, DLP, IPS, šifrování, PKI), dále pokračuje přes IT metodiky a rámce (TOGAF 9, Archimate 2, UML, RUP) a pokrývá i řadu domén z business pohledu (BigData, eCommerce, aplikační integrace, datová analýza, bezpečnostní architektura a ochrana, krizové řízení).