Víme, jak na GDPR (s účinností v květnu 2018)

Státní pokladna Centrum sdílených služeb, s. p.

Nové obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), přicházející v účinnost v květnu 2018, zamotává hlavu každé z institucí a firem. Poměrně přísné postupy se nejlépe dodrží nastavením automatizovaných procesů a včasným vyhodnocováním incidentů. Ideální zavedení GDPR je pak takové, které je již odzkoušené.

Legislativa EU poměrně přísně ošetřuje novým nařízením ochranu osobních dat občanů proti jejich zneužití a neoprávněnému zacházení. Zdaleka nestačí proškolit zaměstnance personálního či obchodního oddělení a lépe zamykat šuplíky. Uvedené nařízení se dotýká všech, kdo přicházejí do styku s osobními údaji dalších osob, a zároveň se snaží eliminovat možná rizika při práci s nimi. Proto je vhodné používat postupy, které dokáží automaticky detekovat, sbírat, vyhodnocovat a prezentovat informace o osobních údajích ve všech datových zdrojích, s kterými je nakládáno. Státní pokladna Centrum sdílených služeb, s. p., měl k dispozici k ověření jednu ze sw platforem, poskytujících podporu pro komplexní řešení pro řízení, správu a jednání v souladu s pravidly v oblasti GDPR.

V ČR již existuje několik řešení pro přímou podporu GDPR, pokrývající use cases ve všech požadovaných oblastech. Námi testovaný use case (v rámci jednoho z PoC testů v reálném provozu) dokáže již v základní verzi identifikovat osobní data, zpracovat je ze strukturovaných i nestrukturovaných zdrojů, dále je anonymizovat a pseudonymizovat dle národních standardů. Následně pak vytvořit transformační schémata pro generování náhradních identit. Některé z těchto funkcionalit jsme v uplynulých týdnech prověřili. Předcházelo tomu seznámení se s tímto nástrojem, včetně školení administrátorů, následovala alokace hw a sw, instalace spolu se zasíťováním a konfigurace, vč. napojení na zdrojové IS, dále na provozní dohled a bezpečnostní monitoring.

V rámci testování byla vytvořena mapa osobních dat a byly detekovány výskyty osobních údajů ve vybraných zdrojových databázích informačních systémů SPCSS. Rovněž bylo ověřeno vyhledání konkrétních personálních dat, demonstrován jednoduchý přístup, monitorování a vizualizace výsledků v reportech připravených na míru dle potřeb GDPR. Součástí ověřování byly odborné konzultace s poskytovatelem. Na základě testů, které proběhly s pozitivním výsledkem, se předpokládá ověřování dalších funkcionalit a nástrojů, které plně pokrývají podporu GDPR Data Governance. SPCSS uvedeným testem směřuje k připravenosti na GDPR a pro své zákazníky připravuje nabídku služby v podobě modulárního a škálovatelného řešení pro správu osobních údajů dle individuálních potřeb zákazníka s cílem implementovat odpovídající procesy směřující k práci s osobními údaji a plnění požadavků na jejich vyhledání, depersonalizaci a reportování.