Právo, 24. 11. 2017

Pod dozorem budou i žákovské knížky

Nejen podnikatelům velí Evropská unie s účinností od května příštího roku více méně šifrovat a pečlivě zamykat osobní data lidí. Řada nových povinností v tomto směru vznikne také školám, zdravotnickým zařízením či obcím, a to i těm nejmenším.Pod datovým dozorem, odkud, přes koho, kam a po jaké zabezpečené cestě, tak budou zřejmě muset být i elektronické žákovské knížky a studijní průkazy. Občana je třeba přece chránit a i známky a poznámky jsou osobní data.
Zároveň i malé obce budou muset mít něco jako “zvláštního důstojníka” pro kontrolu dat, jenže nikdo neví, co by měl splňovat. Mnohé školy, obce, zdravotnická zařízení přitom stále vůbec netuší, že se pod hrozbou obřích pokut blíží platnost nařízení GDPR (General Data Protection Regulation).
“Ve školství téměř nikdo pořádně netuší, jak si s evropským nařízením pro ochranu osobních údajů a volném pohybu těchto údajů poradit ani kde o tom něco praktického zjistit,” potvrdil Právu kryptolog a bezpečnostní konzultant Zbyněk Malý ze společnosti Anect.
Ministerstvo školství k tomu zatím žádný metodický pokyn nevydalo. Řešení tak podle Malého zůstalo na radě Asociace krajů ČR, která se v září rozhodla pro zřízení pracovní skupiny. Zda už zpracovala nějaké materiály také pro školská zařízení, se ale nikde nedá dohledat.

Obecní datový oficír

Řada škol využívá elektronické žákovské knížky a studijní průkazy. “Podle GDPR budou muset školy být i v jejich případě schopné průkazně doložit, kdo, kdy a k jakým informacím přistupoval, měnil je či mazal. Takovýchto bezpečnostních opatření vyplývajících z nařízení GDPR je však i pro školy mnohem více,” dodal Malý.
Vždyť už jen to, že subjekt fakturuje, ho v podstatě dostává do situace, že bude muset faktury ukládat na zašifrovaném disku.
Nejcitlivější osobní údaje jsou v ordinacích a nemocnicích, jenže IT oddělení zde bývají okrajová. “Přitom veškeré zdravotnické informace včetně rentgenových snímků, výstupů z CT vyšetření a podobně jsou plně digitalizovány a ukládány do centrálních úložišť,” dodává Malý. Podle GDPR přitom nemocnice budou muset Úřadu pro ochranu osobních údajů hlásit hackerské průlomy do nich anebo blokování do 72 hodin a zařízení pak ještě mohou hrozit postihy od úřadů, že údaje nespravovalo podle GDPR.
Po informacích o GDPR se začínají pídit i obce. Ty totiž podle dostupných informací budou muset platit pověřence pro ochranu osobních údajů (Data Protection Officer – DPO). Jenže kdo bude ona hlava pomazaná, aby mohla být “obecním datovým oficírem”? Národní certifikační autorita, která by na to dala “berana”, neexistuje a má to ještě jeden háček.
“DPO totiž zejména v případě malých obcí nebude mít prakticky nic na práci, ale zároveň bude mít obří odpovědnost. Těžko někdo ze zastupitelstva nebo z obce takovou odpovědnost přijme, protože pokuty za porušení GDPR jdou do miliónových částek,” konstatuje šéf společnosti MCS consulting Lukáš Vejman.
Obce tak budou zřejmě snadnými beránky pro vlčáky, kteří na ně vyzkoušejí nevýhodné smlouvy. Nabídky na zavádění režimu GDPR totiž často vůbec neobsahují záruky, tedy to, co dodavatel opravdu garantuje.
Existuje vůbec nějaké vodítko pro určení férové ceny, když vlastně ani není zřejmé, co by měl takový datový pověřenec umět? Podle Vejmana by pro obec do tisíce obyvatel mělo celé řešení zabezpečení nakládání s osobními daty přijít na 30 až 50 tisíc korun a správa režimu GDPR pak na tři až pět tisíc měsíčně. Tento rozsah není dogma, ale jedna z odpovědí na otázku: za kolik?

Finance: Chystáme se

Jedním z rezortů, který disponuje obzvlášť citlivými osobními údaji, je ministerstvo financí. Právo zajímalo, jak se na evropské nařízení připravuje. Odpověď byla ale velmi lakonická. “Finanční správa se připravuje na účinnost GDPR v součinnosti s dozorovým orgánem, a to Úřadem pro ochranu osobních údajů. Z důvodu bezpečnosti informací na základě zákona o kybernetické bezpečnosti nemůžeme veřejnosti sdělovat detailní informace,” oznámila mluvčí Finanční správy Petra Petlachová.

Tak ať si přijdou!

Velké korporace si mohou dovolit velké poradenské firmy. Co ale menší podnikatelé, živnostníci? “Spousta z nich o novém nařízení ani neví. A když už ano, tak na strašení pokutami reagují: Tak ať si z toho úřadu přijdou, co si na mně vezmou,” konstatuje Jaroslav Jurníček z MCS Consulting.
Zavedení GDPR podle něho ale nevyřeší jen nějaká krabička, kterou si připojíte k počítači. “Je to o procesech, s jakými daty a jak se pracuje. Mockrát jsem viděl v účetních firmách šanony naskládané v obyčejných policích v kanceláři, kam chodí návštěvy. Stačí je přitom třeba uložit do uzamčených skříní,” tvrdí Jurníček. Zavedení GDPR u živnostníka by podle něho nemělo trvat déle než měsíc.