Implementace obecného nařízení o ochraně osobních údajů (GDPR) ve veřejné správě je v plném proudu. Ve schvalovacím procesu je i návrh doprovodného zákona o zpracování osobních údajů, který ošetří určité situace v případě zpracování upravených zákonem. To však nemění nic na obecných pravidlech v novém nařízení: osobní údaje lze zpracovávat jen ke stanovenému účelu a po přiměřeně nutnou dobu.
Je třeba „zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování“, obnovit jejich dostupnost v případě fyzických či technických incidentů, a ještě zajistit pravidelné testování, posuzování a hodnocení účinnosti zavedených bezpečnostních opatření.
PŘÍLEŽITOST. VYUŽIJTE JI!
Nedívejme se na tyto požadavky jako na zbytečné zlo, ale na příležitost, jak konečně napravit nedostatky v koncepcích IT, které mohly v našich obcích historicky přetrvávat. Začněme zpracováním osobních údajů občanů v souborech DOC, XLS, PDF atd. na osobních počítačích a jejich přeposílání v přílohách e-mailu. Takové zpracování nemůže zajistit řízení přístupu pouze pro oprávněné osoby ani smazání všech kopií údajů, když pominou důvody ke zpracování. Je také náchylné k úniku při útocích škodlivým softwarem. To se může týkat např. zápisů do školky nebo ZŠ, povolení ke kácení dřevin, stížností, petic, evidencí docházky, pořádání veřejných akcí apod. Zde se nabízí umístit tyto dokumenty na zabezpečená úložiště s vysokou dostupností, jako je např. SharePoint online, a při spolupráci v rámci úřadu posílat jen linky – nevytvářet další kopie, které je pak nutné „hlídat“. To je dnes základní vlastností a výhodou cloudového řešení Office 365, které nabízí ochranu před škodlivým software, několik úrovní šifrování dat, inteligentní kontrolu při zalogování uživatelů a ještě smluvně garantovanou vysokou dostupnost.
CLOUDOVÉ ŘEŠENÍ
Dalším zlepšením může být zvýšení celkové úrovně zabezpečení infrastruktury nosných aplikací, jako je spisová služba. Narůstají objemy ukládaných dat, a vlastní servery nejsou nafukovací. V mnoha případech chybí strategie pro vysokou dostupnost při různých výpadcích. Přitom použití vysoce bezpečných cloudových služeb může být v souladu s GDPR i českou legislativou, včetně systémů pod ZoKB. Významní dodavatelé spisových služeb nabízejí verzi v cloudu Microsoft Azure, případně s provozní i záložní verzí v oddělených datových centrech, s garancí uložení dat v jurisdikci EU, což GDPR explicitně umožňuje.
Microsoft udělal další vstřícný krok a pro scénáře zpracování údajů v Office 365, v Gordic GINIS v Azure, a pro zdravotnickou dokumentaci v Azure zajistil vzorové analýzy rizik a „posouzení vlivu“ (DPIA), která jsou zdarma ke stažení na www.aka.ms/jaknaGDPR . Součástí je i posouzení souladu smluvních podmínek s GDPR od advokátní kanceláře Pierstone. Využití cloudových služeb tedy může být legální a může výrazně urychlit zajištění souladu s novým nařízením.*
ZDENĚK JIŘÍČEK,
ředitel pro technologické standardy, Microsoft ČR
