IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

GDPR – mýtus – hrozba – příležitost – komedie?

Aleš Špidla GDPR

….. kdybych si měl dát panáka pokaždé, když dostanu hloupý dotaz nebo hloupou radu na téma GDPR, vyplývající z hlubokého, ale opravdu velmi hlubokého nepochopení, tak bych zbytek života strávil na dialýze. Co mýtů a nesmyslných interpretací jsem už vyslechl by vydalo na tragikomicky laděný román. A co „odborníků“ jsem potkal. Jeden mě pozval na kafe, abych mu během hodiny vysvětlil, o čem že to GDPR je, neboť neměl ani tušení. Bylo to pro něj opravdu silné kafe. Druhý den měl na svých stránkách, že je expert na GDPR. Pro mě z toho plyne, že on není ten špatný. To já jsem geniální pedagog, neboť vychovat za hodinu špičkového experta na GDPR, to opravdu chce talent. Co myslíte, mám být na sebe pyšný? No radši asi ne.

ČIMIBPro ilustraci, jaká hysterie se kolem GDPR rozpoutala uvedu několik příkladu „jediného správného řešení“. Mám k dispozici fotku “Zíváčka“. Zíváček je sešit, kde rodiče zapisují, které dítě bude ve školce po obědě spát a které půjde domů. U jména uvádí jen „ano“ a „ne“. Paní ředitelka podlehla rádcům a nabádala rodiče, aby po 25.5.2018 místo jména dítěte uváděli jen jeho značku např. hříbeček, jahůdka, deštníček apod. No babičko čaruj. Když už nic jiného (oprávněný zájem správce apod.), tak to to tam píše rodič, tak tím přece dává souhlas jako zákonný zástupce. Proč jim to nikdo neřekne.

Na základě této zkušenosti jsem na Facebooku založil skupinu pro ředitele/ky, učitele/ky ze školiček (ozvali se mi i ze soukromých školek) a škol (první stupeň), kde se jim snažím pomoci radou, a to zdarma a zcela nezištně ve svém volném čase. Jedna paní ředitelka přišla na geniální metodu, jak umravnit pověřence pro ochranu osobních údajů (DPO), kterého k nim do školky poslal zřizovatel. Poté, co jí sdělil, co všechno musí kvůli GDPR dělat, jej zavřela do třídy se „zlatíčkama“. Vyšel ven celý zpocený a paní ředitelce sdělil, že teda asi bude muset ty požadavky přehodnotit. Vzpomněl jsem si na zděšený výraz Arnolda Schwarzeneggera ve filmu Policajt ze školky. Podobně se musel ten nebohý DPO cítit.

Na vlastní uši jsem na rehabilitační klinice slyšel sestřičku v recepci do telefonu říkat „To jako opravdu nesmím pacienta oslovovat příjmením?“. Opět špatně pochopeno. Přece mě nebude oslovovat, vy v tom modrém svetru, svlíkněte se, jdete do vířivky. Navíc pokud bych byl jediný v modrém svetru, tak už jsem identifikován. Tzv. nepřímá identifikace podle GDPR. Taky už blbnu. Ano, není správné, když sestřička vstoupí do čekárny a zvučným hlasem zvolá „pan XY!!!“ a tento když se nesměle ozve, je hlasitě přede všemi dotázán „tak to jste vy s tím syfilisem ?“

Viděl jsem i pokyn v knize pacientů (klasický pořadník, kdo kdy přijde na řadu), aby se zapisovali kvůli GDPR jen prvními třemi písmeny svého příjmení. No, co nás ještě čeká.

Určitě vás také oslovují probudivší se firmy, které vás přesvědčují o tom, že od teď se opravdu budou starat o bezpečnost vašich osobních údajů, jen potřebují váš souhlas. Všeobjímající a nic neomezující. Zeptejte se jich, jestli to znamená, že doteď se o vaše osobní údaje nestarali a tím pádem porušovali zákon 101/2000 Sb. o ochraně osobních údajů.

Nedávno mi volala firma s nabídkou levné elektřiny, že mi ušetří peníze. Na mé sdělení, že jsem si naprosto jist, že jsem jim nedal souhlas se zpracováním mých osobních údajů, a tudíž nechápu proč mi volají mi paní odpověděla, že moje telefonní číslo jim vygeneroval generátor. Nesmysl. I vygenerované telefonní číslo je osobním údajem v okamžiku, kdy vede k vaší identifikaci. Trošku jsem to paní vysvětlil a už se neozvala.

A to je to, co pořád říkám, nevypínejte zdravý rozum. Negativní úlohu tady ale hrají i přesnocexperti, kterých se vyrojilo opravdu hodně.

Chodí a radí, a hlavně kasírují za naprosto nesmyslná řešení. Přednášel jsem pro školky a školy jednoho zřizovatele. Musel jsem skočit do přednášky „expertů“ (mám to v povaze) kteří navrhovali řešení naprosto nevhodné a nevýhodné pro ty školy a školky ale velmi výhodné pro experty. Na jejich argument „ale oni přece pracují s osobními údaji“ jsem odvětil „Ne. Oni v první řadě pracují s dětmi“. Být v šedesáti letech v jednom okamžiku milován třicítkou pohledných žen, z toho jsem žil ještě několik týdnů. A ten potlesk. Blíženec to miluje.

Ano, kolem GDPR je spousta mýtů, dokonce Úřad pro ochranu osobních údajů vydal na téma Mýty v GDPR vysvětlující dokument. Většinou plynou z neznalosti, ze špatné volby „poradce“, z neschopnosti podívat se do zrcadla. Je GDPR hrozbou? Je, pro ty, kteří na to posledních 18 let, kdy platí zákon o ochraně osobních údajů, slušně řečeno nedbali. V čem vidím příležitost, kterou GDPR dává. Je v pošťouchnutí nebo chcete-li v argumentu k tomu, udělat si pořádek. Praxe už ukázala, že datový audit, spuštěný díky GDPR, ukázal, že 43 procent souborů si někde v úložištích sladce bez povšimnutí spinká 3 roky a 13 procent takto spí 7 let. Sáhněte si do svědomí, víte, co máte ve svém počítači? Já, když si nejsem jist, jestli jsem si nějaký soubor už uložil, tak jej uložím znova. Bojím se podívat, kolikrát tam některé mám.

A komedie? No někdy ano. Důkazy jsou uvedeny výše. Avšak kdyby všechno fungovalo samo od sebe tak jak má, tak by to byla nuda. A experti taky potřebují z něčeho žít.

Autor: Ing. Aleš Špidla, prezident ČIMIB

Vedoucí oddělení ve státním podniku NAKIT, s.p.