těší mne že tady taková hojná účast _m jmenuje měl sám letošek sem
masarykovo univerzity hosta výpočetní techniky
kde sem vedoucí mezi vize cyber bezpečnosti a zprávy dát
a ve svém
povídání se chci zmínit krátce hodiny piána software v oblasti už na univerzitě děláme co
plánujeme a jaké jakým směrem se ubírají naše úvahy
a věci kolem rizik které jsou s tím že kdyby a spojeny
takže
o tom že dip já nebudu mluvit se nějak moc dlouze to má tam tři
slajdy předpokládám jako že každém něco ví že to téma je docela dost profláklo je
spíš se zmíním o tom pro sme do toho šli jaké máme nachystané projekty nachystaný
projekt pro všechny všech dvacet šest a ženy vysokej chtěl flow stezka republice
jaká ta vidím rizika nějaké příklady z praxe kdy se objevují jo že různé takové
panenské záležitostí a bude potřeba vo na to pomalu reagovat
takže první tři slajdy kdyby pí ale
že kdyby ale když nepochybně víte evropské nařízení ochraně osobních údajů tady uvedena toto číslo
bylo přijato už více než před rokem a je účinného dvacátého pátého května příštího roku
takže za půl rok a něco
účtové to nařízení vstupuje v účinnosti bude automaticky platné
není to první věc kolem ochraně osobních údajů byly tady uši předtím některé věci zejména
ta směrnice z roku devadesát pět a vedle toho národní úpravy v jednotlivých zemích evropské
unie ale každá to bylo upravené trošičku jinak
a to nařízení to slovo nařízení je tam docela důležité
evropská unie vydává dvě dva typy nějakých legislativních aktů směrem ke členům evropské unie
jeden takt jsou směrnice to je takové obecné rámcové doporučení
a každý členský stát je povinen tu směrnici si nějak zapracovat do své národní legislativy
čech vytvořit nějaký zákon který bude vycházet se směrnice
oproti tomu nařízení na tvrdší účinnost nařízení je okamžitě platné ve všech členských zemích evropské
unie že není potřeba aby stát přijímal nějaký zákon k tomu to nařízení o toho
dvacátého pátého května automaticky platí
a navíc pokud předtím sme měli nějaký zákon kterej by bylo v rozporu vtom nařízení
tak to nařízení ten zákon rušit
a
nařízení má nějakou možnost má nějaké oblasti kde dává určitou možnost členským státům něco si
ještě do přesně jít takže ministerstvo vnitra spolu s úřadem na ochranu osobních údajů předpokládalo
že přípravy novelu stávajícího zákona o ochraně osobního z údajů cože
zákon sto jedna dva tisíce sbírky nicméně posléze o to ustoupilo a současná představa je
že vznikne úplně nový zákon na ochranu osobních údajů a návrh toho zákona už byl
zveřejněn před prázdninama takže jako někde na webu jako leží
ale jako otázka slevy kdy jak
jinak se nám její vláda parlament a podobně tenhle ten zákon bude nebo nebude přijat
spíš se očekává že pokud se to povede tak jako boje při a tak někdy
k tomu květnu
kdy začne u fungovat i to nařízení
a podle té stávající návrhu toho zákon ale tam zásadě není moc věcí které by
pro běžné uživatele já si říkali něco navíc oproti tomu nařízení
takže není jaksi důvod na něho moc čekat a podstatné pro nás je nařízení
samotnému nařízení je to dost obsáhlá norma
je tam a osumdesát osum strana devadesát devět článků
a součástí toho nařízení taky sto sendesát tři recitál co jsou úvodní odstavce které popisují
důvody
oblastí a vysvětluj některé věci či tohle to je všechno součástí té normy
_e ta norma to nařízení je technologicky neutrální černoši ta co se má udělat ale
neříká jak se to má udělat že výjev tomhletom jako docela volné
co přináší židy pijan nového oproti tomu co tady máme u nás dosud to znamená
ten zákon sto jedna
a byla taková velká diskuze jestli je to revoluční změna nebo jestli je to evoluce
postupně se to ukáže jaksi mu stál na tom že
spíš je to jako evoluční jako vývoj to proti tomu co máme dneska ale je
tam jedno velké ale silně záleží na tom jak máte ochranu osobních úřadu o údajů
upraveno vojáci dnes
a
až na výjimky já se obávám že většina organizací se tím nijak nezabývala a nějak
to neřešila
že pro tyhle ty to bude revoluce
odešla news
další zásadní změna je že podle stávajícího zákona vy když jste zpracovávali nějaké osobní údaje
které ne vyplývaly ze zákona tak se měli povinnost registrovat o zpracování v registru na
úřadu pro ochranu osobních údajů
tohle takže kdyby a nemění
že typ já nevyžaduje žádnou registraci nikde nic nemusíte registrovat
ale to ale podstatné okamžiku kdy příde jakákoliv kontrola budete mít nějaký problému někdo vám
data někdo se na vás bude stěžovat option i na vás
tak vy musíte aktivně prokázat že máte na to dokumentaci
že ste se timletim zabývali a že máte přijaty opatření a půl tu oblast takže
ona ta úleva i je fiktivní defakto to znamená jako daleko víc dokumentace abyste byli
schopní prokázat
že to máte ty procesy nastavený
co je tam zásadně odlišné nebo navíc oproti stávající je jsou výrazně posílena práva subjektu
údajů subjekt údajů to sou ty fyzické osobě o kterých vy sbíráte a zpracovávat jejich
osobní údaje
že ti jsou výrazně posílen if té míře že musíte jim dát vědět jaké údaje
oni zpracováváte oni mají právo se dožadovat přístupu k jiných osobním údajem o vás oni
mají právo namítat že tam byly vůbec nemáte co zpracovávat
mohou chtít po vás právo na zapomenutí abyste smazali co stolní vedli a spoustu další
věci či to je jedna ze zásadních věcí kde to moc informačních systémů teďka na
tom poměrně intenzivně pracují jak se s tím a tím vypořádat a upřímně řečeno spoustu
věcí nevíme jestli nedostane fuk vypnu dotazu někoho
a nějak pro studenta aby mě řekněte které všechny osobní údaje o mě vedem
univerzita tak budeme ve velkých potížích protože těch informačních systémů jsou tam velké desítky a
spousta dalších věcí
spousta informací mimo je zpracovávám ní mimo informační systémy a tak dál
jsou samo že byl šířeny povinnosti správců zpracovatelů dát a takže dip já žít a
že vlastně celý ten přístup je založen na hodnocení rizik a vy byste měli vyhodnocovat
jaká jsou tady zpracování spojena rizika
a přijmout opatření proto abyste ta rizika
bud zcela eliminovali nebo alespoň snížili na přijatelnou úroveň
a to zásadní co vlastně ale zbudil to pozor no za pro se dneska jo
čili piáno v if televizi a v novinách a podobně je
že jsou tam nastavený drakonicky _e sankce
pokuta za
zato že pokud nebudete v souladu s židy pyra
bude se můžeme odstupňovaná love té nejvyšší může to může dosáhnout až dvacet milionů eur
čili něco jako kolem půl miliardy korun
na provoz a nebo
čtyři procenta zmizí na něho obratu firmy podle toho co je vyšší
takže to je to co vlastně upoutal pozornost a pro se toho ti všichni manažeři
v rámci začali bát neřekli a pak si vlasně se budeme muset dělat
a _e
to židy pianiny budeme si říkat jednotlivé body ale tam jsou hlavní zásady které byste
měli dodržovat i zpracováváte osobní údaje první
každé zpracování by měla mít definováno účel za jakým účelem i vy ty osobní údaje
zpracováváte a současně ta data osobní by měla být omezila právě na tenhleten účel
nemůžeme říct že účelem je poskytování knihovník služeb
ale my tam data která nesouvisí s tím poskytování knihovních služeb
chtěli stanovení účel
a k tomu se váže všechno ostatní další zákonnost
existuje asi pět nebo šest zákonných důvodů které vám dovolí sbírat osobní údaje prvním je
že je to ze zákona například můžete vést personalistiku pusťte firma a některé další věc
další důvod je že k tomu máte souhlas subjekt údajů třetí důvod že je to
pro plnění smluv
štvrtý důvod
je že je to v zájmu subjekt údajů samotného pátý důvody to v zájmu toho
zpracovatele dat a šestý důvody to ve veřejném zájmu ale ty poslední tři na ně
moc nespoléhejte protože tam to vyžaduje jako nějaký test pro pocem elity a z důkladně
zda zvažování jako jestli skutečně tohleto je na místě takže
takže _m vy musíte mít zákonný důvod
a ten prokázat prošla data sbírat
to zpracování musí být transparentní a korektní férové znamená uživatel musí vědět že hodně osobní
údaje sbíráte
musíte mu dyž si to vyžádá poskytnout přístup k těm informacím kterém oni vedete
a spoustu další a další informaci
minimalizace údajů
to souvisí s tím účelem
vy jste oprávněni sbírat jenom ty osobní údaje které bezprostředně souvisí s tím danem účelem
a žádné další navíc tomhletom případě jinak je to samostatné zpracování které zase musí mít
vlastní účet vlastní zákony jako odůvodnění
a ten tyhlety náležitosti
časově omezené uložení
red že vypila říká že nemůžete ta data která jste nasbírali o někom udržovat libovolně
dlouho
musíte zdůvodnit na jakou dobu je moje to udržovat a proč růstem odůvodní čili není
možné na dobu neurčitou nebo na nekonečně
přesnost aktuálnost údajů vy jste zodpovědní za to že ta osobní údaje tam budou přesné
budou aktuální nebo zastaralé
to je vaše povinnost a může namítat co by utajovaných jasně mít problém
a poslední integrita důvěrnost
to znamená vy se musíte postarat o to aby ta data byla vpořádku aby byla
bezpečná aby neulítla aby byla zabezpečena tyhlety věci či tohleto sou ty základní principy které
u každého toho jednotlivého zpracování si musíte nějakým způsobem ujasnit vydefinovat zdokumentovat analyzovat přímo od
opatření
proč se do toho šli
a
pokud ještě trošičku ti typy já něco začali dělat tak jako začínáte tušil že to
jako velice jako problémová záležitost velice riskantní
velice bezbřehá nemá to žádné hranice a spadá pod to téměř cokoliv jako co si
jenom představíte
osobním údajem je cokoliv co se vztahuje nějaké je fyzicky žijící fyzické osoby
že jenom ty profláknutý jména citlivé údaje ale podobně ale i to že jste tady
na konferenci že sedíte filete místnosti že máte nějakou jmenovku dnes jménem dole to sou
všechno osobní údaje
takže proč jsme do toho šli u nás neostré výpočetní techniky no první důvody je
že my sme a i ty centrum velké univerzity čili provozujeme
velké množství různých informačních systémů desítky velký informačních systémů takže to nás dopadne tak jako
tak takže jako prostě
není nač čekat
druhý důvod je když nebudeme aktivní a se mi to ne uchopíme tak to za
nás vymyslel někdo jiný a patrně to vymyslí takže nás to nebude líbit že nám
to bude blokovat nějaké činnosti
bude to pro z našeho pohledu nesmyslné ale už to b někde zakotvené budeme se
tím seřízly a máme problém čili lepší je když je to vymyslíme sami
a třetí důvod jak sem říkal ta problematika jen naprosto bezbřehá
pokud source dostali na starost nebo s nima jde zabývá tak první problém je že
vy nevíte o tu začíná tam prostě spadá totálně úplně všechno že ví jak to
uchopit
a někdo to musí koordinovat
a ty nějaký low ty velký instituci by měl být pověřen nets pro ochranu osobních
údajů podle čili piják určité typy instituci by to bylo _m takového člověka měli mít
na plný úvazek nebo na nějaký úvazek
to sou i třeba školy a obce a já nevím knihovny a další tyhlety záležitosti
a samozřejmě tyhleti lidí na trhu nejsou mi v současné době taky žádného nemáme takže
nemůžeme spoléhat na to že nějak
superman spory by být jak přidáte nám to všechno udělá my to musíme nachystat a
budeme rádi dyž tom květnu
se podaří nějakou sehnat
adrese pojedete dva roky do toho dostávat seznamovat se z univerzitu a podobně takže nemůžeme
na nic čekat musíme tohoto nachystat
co té oblasti žili pijan současnosti u nás na univerzitě děláme
a začátkem tohoto kalendářního roku stav provedl jakousi rekonstrukcí aby to oddělení
ta oddělení divize které má milé odpovídalo těm novým požadavkům které mu nevěsta po nás
chce
a jednou s tou novou divizi která vznikla že se sloučila cyber bezpečnost spolu s
těmi oddělení mi které mají větší nějaká data jako třeba jako knihovnickou informační centrum a
další věci
a vzniklo nové oddělení divize kvůli bezpečnosti a zprávy dát
které dostal právě zodpovědnost a tady tuhletu oblast ženy je
přímo
na uveďte vy člena skupinka lidí která za to zodpovídá která tam musí řešit
takže my jsme začali z nějakých nekoordinačními pracemi na univerzitě mapování má tady tyhlety věci
které bys obvykle začíná
zkraje roku sme využili výzvy sdružení u a podali jsme pilotní projekt do u na
to vyzkoušet si tyhlety věci
a současné době před
jednatřicátého desátý jsme odevzdali centralizovaný rozhovory projekt ministerstva školství na příští rok pro všech dvacet
šest veřejných vysokých škol české republice
takže no stručně kdybych se zmínil ničemu ta koordinace na univerzitě u nás vedení rozjelo
zodpovědnost jaký typ jako tři oblasti prvně právně oblast že tahle ta skupina má na
starosti vypracování lesní legislativy metodiky a další věci
pak je ta technická oblast čili to soud informační systémy je a další systémy zpracování
a pak je to personální zajištění že by se jednání lidí kteří tohoto budou mít
na starosti dlouhodobě
takže tohle to současné době nějak se s tím perem _e scházíme se hádáme se
domlouváme se a tak dál
pilotní projekt fondů rozvoje cesnet ten sme podali začátkem roku je byl odstartoval zhruba od
dubna
pro mimo silikonu jestli tam zapojených pět další partnerů jako karlovo nevez ta západočeská zastav
plzni o nevěsta pardubice vysoká škola báňská
a akademie věd středisko společných činnosti
a cílem tohoto relativně malého projektu bylo jednak zpracovat nějaké právní analýzy především právní analýzu
dopadů tři typy a přímo na haiti systémy na veřejných vysokých školách
druhá věc je vypracovat metodiku typy já jej typy a jednejte protekční nevím pak assessment
u těch a s zpracování osobních údajů kde je vysoké riziko pro ty subjekty vy
ste povinně podle g typy a udělat první pohled to
hloubkovou analýzu a přímo ty opatření čili na to je vlastně tohoto dělat pracovat metodiku
a tu si pilotně ověřit na několika vybraných málo těchhle případech tak to je jeden
s těch cílů taky toho pilotního projektu
dalším cílem je
a vlastně šířit informovanost o tom že vypij a zejména vtom akademickém světě takže bysme
nastartovaný spousta s netem
sally seminářů zopakovat a něho toho přes na každé tři měsíce se fráze pořádá velký
seminář pro zájemce kde se postupně to téma rozebírat
a pokračuje se naučil mysim tři nebo čtyři tyhle ty semináře
a další bylo získání znalosti a zkušenosti pro
proto bychom mohli do nějakého rozsáhlejšího vyššího projektu a tím větším projektem byl právě ten
centralizovaný rozhovory projekt ministerstva školství
pokud se ve školství tak možná víte že ministerstvo školství každý rok vypisuje výzvu na
centralizované rozvojové projekty
a jedno s těch témat je přizpůsobení vlastně systému na vysokých školách
změnám legislativy kam patří samo že mi takže dík jana podobně takže do téhle té
oblasti
my sme dali
podali velký pro je ten byl podán kdy na třicátýmu desátý
zapojilo se do něho všech dvacet šest veřejných vysokých škol české republice pro soukromé školy
tenleten program jako není možné jako se měl zapojit a ty cíle které tam jsou
dosáhnout toho aby vlastně k tomu dvacátému pátému pátý což jako je za chviličku a
ta doba je strašně krátká mohli všechny ty veřejné vysoké školy prokázat že sou souladu
s židy pí ale aspoň těch klíčových oblastech
nestihneme to všechno to znamená vytipovat si nakažený co sou to ty klíčové oblasti kde
to musíme nějakým způsobem udělat a i do toho nějak společně pomáhat
druhá věc je do konce roku osumnáct kdy ten projekt
ošetřit všechny zásadní systém zase ne všechny
že vemte si měl nákou analyzovat identifikovali sedne set systému kterých se pracuje za osobními
údaji na čvut
my sme jenom těch centrálních systémů které máme na univerzitě máme asi kolem padesáti hospodyň
informační systémy personální mzdové
stravovací ubytovací systémy knihovní systém je bla takový spousta dalších
a to nemluvím o těch věcech které se dělají konkrétně u žen na fakulta a
na
kamerové systémy na různé bezpečnostní systémy přístupové systémy o logování všeho možného jako ze všech
systému takže je to neskutečně jako rozsah
takže zase aspoň ty zásadní
upraví do konce roku s tím že samo že my počítáme s tím že tohleto
není jednoletá záležitost tohleto je běh na dlouhou trať to znamená bude se pokračovat další
letech
naše představa je že pokud nastane nějaká situace že k nám zavítal ňáká kontrola s
úřadu
potom květnu
tak musíme být potřebuji schopni proto podívejte si my už máme nějaký plán tímhletím jsme
se zabývali tady máme už nějaké
nějaké doporučení nějaké metodiky tady mám jak pro mě systémy a tady tohleto je obraz
o které víme že budeme řeší ale na ně ještě nedošlo
nejhorší by bylo pokud by došli já zjistili že vlastně vy nemáte co ukázat že
ste se tím nezabývají na nebi vás i se můžeme k průšvih
třetí ten cíl je nasadit první verzi jakéhosi komplexního řešení té problematiky ochraně osobních údajů
na vysokých školách já zápětí hned sami promítnu co si představujeme pod tím komplexním řešení
není to jedna věc ty věci myslet a vytipovaně asi devět oblastí tedy něco budeme
muset dělat
a nastartovat jakousi dlouhodobou spolupráci vysokých škol téhle té oblasti předpokládáme že v dalších letech
by to mohlo směřovat běžně všemu co že by byla předtím a jak byste mohli
prokázat že jste v souladu že ste komponent
zdi vypila a to je že pro ňáký sektor pro nějakou blaze zpracován kodex chování
tedy detailně popisuje co a jak mají vlastně ti členové dané oblasti dělat
a vy vlastně když budete prokážete že ste v souladu s tím kodexem nebudete automaticky
komponent taky zdědit já zamořuje ten kodex musí být odsouhlasený úřady na ochranu osobních údajů
podobně
ten projekt je docela velký rozsah je tam asi žádáme dvacet milionů korun uvidíme kolik
nám dá zdaleka to nebude stačit do znamená školy to budu suplovat jako ze svého
a je tam několik pracovních skupin pracovní skupina právo která zahrnuje jak tady univerzitní legislativce
kteři maji tvořit univerzitní legislativu do směrnice tak ty právní teoretiky třeba u nás u
nás ústavu práva technology na právnické fakultě takže dělaj ty spíš teoretické analýzy a věci
vtom o tom
implementační skupina zahrnuje podskupinu proto interní legislativu podskupinu pro o personální zajištění čili pro spolupráci
těch pověřen suchý některé malé školy třeba ty umělecké nemusí mít každý vlastně pověřen celé
mohou spolupracovat jako nějakým jiným třást o pověřen sem
a oblast právo tvorbu metody k nejrůznějších typů
oblast pravo
jak řešit speciální věci
kdy my máme tagované ztřískat ty lesy já s na podporu o sobě specifickými nároky
to znamená nediktovaně studenti o kterých se spousta informací a teď se tomu si speciální
ošetřovat
hash po a škole vzdělávání a tyhlety věci
pak je tam velká skupina ty na ty informační systémy kde se předpokládá že většina
škol má podobné nebo s ten informační systémy to znamená může řešit jako společně
a ty pro ty další aspoň jako zpracovat nějaké společné metodiky a postupy a doporučení
a samozřejmě velká skupina
to je specifická pro viz pro vysoké škole to sou výzkumná na
obrovské množství výzkumný dá a když oblasti u nás třeba medicíny zdravotnictví ale je třeba
jako humanitní jako oblastí a podobně kdy ta data se tam válí jako nesměl všudy
možně že jo a u těch
není to možná až tak jako nepolíbil na oblast oblasti zdravotnictví pak to je tam
to musí vyřešit i v minulosti pod že tam jsou skutečně zdravotního nejsou jsem se
citlivé takže když seděl nějaké projekty tak voni sou zavedení tam jsou etické komise které
tohleto posuzují a nedoporučí
ale samo že mi vedle toho jako každý pan profesor docent má na svém počítači
z minula
mraky dát jako kterých se nechce vzdát dat
kde sou jako super citlivé údaje tyhlety věci čili ta oblast výzkumy dobře tak jako
velice když na
co si představujeme po tím komplexním systémem ochrany osobních údajů na vysoké škole
má to tady těhletěch devět bodů čili první věci je interní legislativa čili
každá škola je představa že přímé nějakou univers směrnici
a pokyny které upraví ty základní principy zpracování na univers to znamená
zejména zodpovědnost kdo za co zodpovídá
jaké má povinnosti a jaké jsou obecné postupy
ty směrnice musí být dostatečně obecné protože ty školy sou velice různorodé není uvnitř l
mezi sebou
a směrnice se nemění příliš často takže tady měl plavat skutečně ty základní principy
další oblasti personální zajištění čili jedna co ještě bych potřebných takzvaných kapacit což ne na
za změnit zejména znamená toho pověřen se dip já jdi ta protection of i se
které jsme usoudili že každá vysoká škola musí vpodstatě nějak mít a zřejmě ve velké
vysoké školy našeho typu nebo královka
zřejmě tam to nezvládne jenom jeden člověk tam to bude musíte být asi složitější záležitost
ten bude potřebovat právní podporu po je potřeboval metodickou podporu takže to bude
širší ty
ty ta interní legislativa která bude říkat ty obecné principy a u nás už máme
nějaký ty návrh nové směrnice o které se diskutuje ještě nebyla přijata bude přijata začátkem
roku ale intenzivní s není pracuje
tak
ta by měla být doplněna metodika na čili metodiky postupy a doporučení pro zodpovědné osoby
pro ty granty na univerzitě
ale taky pro ty zaměstnance a uživatele v různých oblastech line jenom jako těch proti
nebyl informační systémy pro to moc informačních systémů když vy víte systém nový
co musíte udělat že by byl mluví o
protekční bajty zájem
čili push návrhu toho systému musí být zohledněna ta ochrana osobních údajů
a co v oblasti webu co můžeme nebo nemůžeme dávat na weby vůbec jako jak
tohleto jako dělat všeho možného typu uni ve s ní ve fakultní weby konferenční weby
projektové weby a tak dál a tak dál
co s ukládáním dát můžeme tohleto dávat do cloudu office tři sta šedesát pět microsoftu
ste muzeu pracuje ten a data můžeme které ne jak je vůl se je tohle
dopravně podpoře no a
co já nevím a z mobilními zařízením jako
ano budete mít interně zabezpečeno všechno že jo ale když pan projektu neboli to bude
s mobilem tebe mi citlivá data tomu někdo ukradne na cestě budeme předepisovat jako že
musí být jako šifrovaná data na těhletěch věcech nebo jak do čeho do čeho jí
takže jak u současné době máme vypracovanou nebo navržená asi kolem dvaceti
oblastí a to jenom začátek kde budou muset vzniknou nějaké metodiky
další je
g typy a předpisuje že vy musíte vést evidenci s pracovní jednotlivých případů zpracování osobní
údaje f vaši organizaci takže my pracujeme v současné době na něčem čemu říkáme registr
činnosti zpracování
který by měl poskytnou základní přehled o tom co vlastně kde máme co se zpracovává
kdo je za to zodpovědný jak to bylo vyhodnocena jaké osobní údaje tam jsou komu
se ty osobní údaje předávají nebo nepředávají a spoustu takovýchto věcí některé ty položky co
tam mají být sou přímo předepsány učili pijan
další vyplývají z logiky věci čili máme současné době nějaký datový model máme funkční model
připravuje se implementace tohoto systému zase na různých školách to může být různé nějaký menší
školák je začátku jako ten registr může posloužit excelovská tabulka trestaný my už víme že
protože budeme mít těch případů zpracování
řádu spíše velké stovky
časem možná šli sice tak potřebujeme skutečně nějaký systém kterém se dá efektivně vyhledávat rastrová
tyhlety věci pracovat ženy byla předepisuje že každé tři roky úste aktualizovat ty blbej musí
proběhnout revize všechny tyhlety věci takže
je to
docela jako důležitý klíčový stavební prvek
posouzení dopadu zase čili pijatika jak jsem říkal vyhodnocení rizik
to znamená pro každé to jednotlivým jednotlivý případ zpracování vy musíme posoudit a rizika
a vpřípadě ta rizika jsou vysoká tak provést to vyhodnocení toho dopadu naše představa je
že my si voláme na začátku pro všechny ta zpracování jakési úvodní vyhodnocení rizik a
tam kde usoudíme že ta rizika nejsou vysoká tak to vyhodnocení se provede nějaký mít
zjednodušený zkráceně způsobem
a pouze tam je ta rizika budou skutečně vysoká tak tam se pude tou plnohodnotnou
metodikou dip já je proto hodnocení
na základě toho vyhodnocení pak se musí provést
příslušná opatření chtěli ty zpracování to znamená a když se jedná o technické úpravy těch
systémů doplní systému organizační opatření a spoustu další věci když nic jiného minimálně si budete
muset vypořádat s těmi novými právě tím subjekt údajů
souvislosti s tou transparentností a dalšími věcmi které jsou tam uveden
dokumentace to je
záchod
no pokud a změna toho paradigmat oproti tomu stávajícímu systému ve stávajícím systému nevím jako
jestli tady někdo douf to řešila core ale většinou
můj zkušenosti co vím u nás a jí na školách prostě někdo něco nahlásila toho
registru na úřadu a tím to pro všechny skončilo všichni byli z obliga
to je to chvíli nikam nehlásí té
ale musíte být schopni prokázat že to máte uděláme že to máte zdokumentováno
s tou transparentně souvisí i ve žena informace čili musí vzniknout
mimo jiné třeba webové stránky libujete dopředu informoval všechny subjekt údajů jaký hudební sbíráte jakej
oni mají práva kontakty na ty pověřen se na spoustu dalších další tyhleti věcí
a poslední důležitá věc je vzdělávání a školení vy máte zase za prvý na za
povinnost proškolit všechny zaměstnance všech kategorií všechny uživatele a prokazatelně
takže jedna z věcí soft tom projektu sebe vytvořit nějaké _e dvě kozy pro různé
kategorie uživatelů řídících pracovníků před zaměstnance nebo sektor dvě zaměstnance personální stíhat tyhlety věci a
dyž podstatě tyhle ti lidi budou mít povinnost rovnici těmi lidovými kurzy zároveň to bude
označeno zaznamenáno že tím prošla před organizace jakou může dokladovat že ti lidi školení a
spoustu tyhlety věci no takže tohle to jí je co si představíme po tím komplexním
systémem ochrany osobních údajů na vysoké škole
tak a když se dostávám k tomu co bylo v nadpisu toho projektu a o
čem se mu říkal že typy ja to pojetí je o analýze rizik
ale kterých rizik a jak dělat tu analýzu to je to je docela problém my
víme že máme nějakej fízl normy jako _m analýza rizik a podobně ale ty se
obvykle příliš obecná při rozsáhlé takže ne vždy jako musí by dostatečně použitelné
navíc na ta rizika se můžeme dívat se různých úhlů pohledu
s pohledu či typy já
pojem riziko znamená riziko pro práva a svobody subjekt údajů
nakolik vy můžete uškodit tím že hodně sbíráte nějaké údaje že ty vaše bude případně
jak uniknout nebo vy používáte nějakým nesprávně způsobem a tak na ženy riziko dip já
nezajímá riziko pro vaši organizaci činitel znamená riziko pro ten subjekt údajů že to je
potřeba si uvědomit
a jak jsem říkal
vy musíte vyhodnotit kde jsou zejména ta rizika vysoká a dyž jsou ta vysoká rizika
tak
identifikovat i opatření na snížení těch rizik
pak se podívat po těch opatření nějaká tam zůstala ta rizika či ta zbytková rizika
pokud sou ta zbytková rizika pořád ještě vysoká tak tomto okamžiku máte za povinnost konzultovat
předem to zpracování osobních údajů s úřady na ochranu osobních údajů
a ten mám buď řeknete tomu beze máte dělat nesmíte dělat a nebo jako musíte
hledat cesty jako jak by to dělat šlo pokud
čili to je pohled židy pijan rizika pro práva a svobody subjekt údajů
ale samozřejmě vaši šéfové dyž si vás najednou
taková je zejména zajímají rizika s pohledu té organizace
a pro tu organizaci ta rizika jsou zejména když dojde k nějakému průšvihu
rizika ztráta prestiže a důvěryhodnosti a zejména rizika finanční
a to nejen nemusí být jenom ty pokuty teda to mohlo by docela jako dramatické
a každý subjekt údajů vás může žalovat žádat náhradu škody zase když jako nějaká data
uniknout a můžou to být sekundární škody s toho že skutečně ztratíte zákazníky nebo něco
protože ste nedůvěryhodný partner a podobně že to jsou to je ten letem typ těch
rizik
na se můžeme máme tady ještě třetí pohledat osel rizika s pohledu toho čem je
tahle ta konference a to je otevřená společnost
čili tam je vysoce vysoké riziko
že
spousta institucí spousta lidí najednou pod dojmem se začne vytvářet hráli
a že my si budeme dělat autocenzura řekneme tyhlety věci radši nebudeme dělat vůbec nebo
ta data smažeme nespřís tipněme a podobně
takže to je velké riziko pro
pro tu vlastně
něco co bude proti té otevřené společnosti a proti těmhletěm věcem a bude hodně záležet
na to
jak se k tomu postaví
konkrétní lidé konkrétní ti kteří budou implementovat konkrétní vedoucí kteří měli a spoustu dalších počet
jsem říkal židy pijani je velice obecné vtom to vám neříká konkrétně přesně
ono vám říct a ty základní principy
a vy navázat i principy naplníte jaksi je vyložíte
a nemáme tady ještě moci diktaturu z minulosti samozřejmě jsou známy nějaké
na nějaké stanoviska úřadu na ochranu osobních údajů různým záležitostem
ale je to do značné míry povolené ona ne o dané a i naší škole
vidím že kolem toho vzrůstá
velká panika
takže tady několik příkladů s praxe těch panicky chování
fotky videa ze života organizace najednou se začali zabývat všechny ty piáno dělení a podobně
bude mi moc vůbec jako fotí dělat videa máme den otevřených dveří na kterých teplice
středoškoláků tam pobíhá fotograf no co s tím budeme muset dat now for stoleček na
tam se všech pět set příchozích středoškoláků bude poprvé opisovanou dělat souhlas
co s tím jako tyhlety věci takže na jedno jako velká panika
ne tohleto téma osobně jako hodně zajímá protože my sme před mnoha lety s pouze
studenty
takže fotky mi baví vytvořili pro univers to něco jako digitální knihovna fotografií kde jinak
zrovna žijeme fotky ze života té organizace a
s cílem uchovat to vlastně do budoucna jako aby tam byla ta vizuální stopa
jednak si mé vlastně s archivu univerzitního digitalizovany staré fotky o založení lester současnosti to
je současné době ta máme kolem šedesáti tisíc fotek tahleta na tohoto postupně narůstat
takže je a v žádném případě nemá v úmyslu jako tohleto smazána zahodí dar ostrá
stane fotky a podobně ale musíme jako být schopni najít nějakou cestu jak se s
tím vypořádat protože evidentně fotografií na tady člověk konkrétními ten člověk je nepochybně
osobní údaje
a v řadě případů to může být hodně jako
fu vozovkách citlivý osobní údaje
takže
to je jeden případ další
přišla paní tajemnice co budeme dělat s docházku jedna kniha má nám se to tam
válí fuchsin se kde se každý podepiš se kdo šel do práce
ty přece to sou jako hodně citlivé údaje že byl práci nebo prací co tam
byla tak na co slibujeme dělat budeme přecházet na elektronický systém aby nikdo neviděl kdy
ten další došel do práce jenom někdo jiný a tenhle
já jsem vyplnil sebe na snídani z metod _e kuchyň se do teďka jako takže
další případ seznamy účastníků
tady máme konference a seznam účastníků můžeme dělat seznam takový účastník můžeme ho vy si
naved tak běžného konferenci peněz tohleto se dělá
mají studenti právo nebo může store informační systém
zveřejnit kdo kromě daného studenta další má zapsaný daný kus co utility tomto
že to je
a sou to zase jako údaj a dá se odvozovat různá míra citlivosti že jo
manželka zjistí že jste tvrdil že ste byli na open nálada ve stručnosti se tam
vůbec nebyli jak jste tam nebyli přihlášení nebo naopak jako
další
další téma pěkné co se mi líbil se někdo vytáhl
no my jsme do teďka vlastně před učebny věšeli papírek s rozvrhem
a zase u toho rozvrhu sou jména lidí
že máte tam _e nelíbí máte tam alokaci má to co udělal takže patrně budeme
muset dělat i rozvoj jako bys těch lidí jako že tenhleten
a tak já jsem že kanada to dovim ještě kousek daná co vizitky u dveří
jako že ho tam jsou taky mé na titul až a podobně takže zrušíme smažeme
_e a každý jenom bude jako navigovat
takže najednou prostě
už to jede
teďka už to jede a teď je otázka a já myslím že to je úkony
pro každého z nás zkusí se zachoval zdravý selský rozum a bojovat za tady tyhlety
věci se ne zvrátili něco protože samo že my si můžeme vymyslet pro danou oblast
nějaké
složité opatření které nám samotným bude komplikovat jako život jo
a
a možná let ani není potřeba dělat k když padne do při zatim úřadem tak
to řekne jo tak my sme si možná je nemyslej je to museli udělat aby
se to udělat tak fajn a ostatní tomu taky dělat jako
takže to s to sou to sou ta rizika která já vtom jako docela vidím
a ještě když se vrátím tomu prvnímu k těm fotkám to znamená
začali jsme tak vám jaksi diskutovat co s těma fotka má video má na univerzitě
není to ještě zpracováno jako do definitivní podoby ale jako sme si už to lze
sportovali či
jak na ty fotky i názory jsou velice různé
a přestože my máme třeba jako velice podpůrné právní oddělení které skutečně hledá jak ty
věci dělat tak aby šli dělat ne že vám to tohle to nejde tak kupodivu
jako ty s anilíne se na zejtra ale já mysim se mi to nestačí že
bysme eště byly ten jako takže najednou jako je to
čili ty varianty jsou
my se dostáváme mezi jakési mlýnské kameny je vybouřit a co blbnete jako did a
teďka to šlo oni to tenhle tak takže najednou bysme měli jako komplikujete nám život
a další nápad bouři kladné v žádném případě tohoto se nesmí dělat a
jo takže ti takže to budu implementovat tak ti budou tak tam letí těmi letí
těmi kameny takže jeden přístup je a líbila ne všechno jako takže preventivně si všechno
sami zakážeme představme fotit staré fotky roztrhám _e vymažeme a budeme jako bezpečí jo určitý
typ já chtěl takže to je jedna možnost ale
na něj a jaksi nějak tak odmítám jako přistoupit na takovéto řešení
další možné řešení je že se budeme
pokoušet zpracovat detailní metodiku to znamená budeme snažit přesně upravit podchytit jakoukoliv situaci já zdůvodnit
kdy co de něco nejde co k tomu musí být uděláno a podobně jedna věc
sou ty dny otevřených dveří druhá věc je návštěva premiéra
třetí náš věci je vánoční večírek jo jako něja a tady tyhlety věci nebo konference
tak tam je velké riziko vlastní pastiček jednak jako my stejně nedokážeme ty věci všecky
podchytit jako vtom a dále a druhá věc je že když to takhle naplánujeme tak
mi patrně řadě případů nebudeme schopni podle to poskytovala postupovat a pak najednou kontrol řekne
lidi vy nepostupujte ani podle vlastních jako metody které se si udělali
takže budete mít tam problém zase
další se můžeme důvod kašleme na to že jo nějak bylo nějak bude předtím sme
to taky ne řešení tak co
to je taky možná varianta možná to tak dopadne možná teďka je to na mundůr
a podobně rizika zákon sto jedna v roce dva ti se nepletu tam _e nějaké
takové ze pití a pak všichni zjistím že místo ho není ale jako všichni se
na to vykašlali jako ale moc tomu moc tomu jako nevěřím že to takhle jako
uplně dopadne
a ta reálná varianta podle mě já říkám zdravý rozum to znamená pojďme hledat nějakou
shodou variantu jak to de
udělat adresy nějaký války komplikací
a současně nesnaží se řešit úplně všechno znamená dávat nějaká rámcová doporučení a vyjedeme tam
nechal nějaké šedé zóny které raději nebudu upravovat aby jak dostat do nějakých pasti
jestli to takhle dopadne jestli s nám to podaří proto prosadit jako ve všech oblastech
to je psát ve hvězdách protože každý člověk jiný názor že jo a jak teďka
jako kdo rozhodne žádný bude rozhodovat někdo začínalo toho tak jak bude mít tu tendenci
sem s tím a kdyby
že jí u těch fotek zatím jsme se bavili třeba konkrétně u nás o tom
že
a maximální možné míře na takové ty oficiálně vlastně jak se použijeme zpravodajskou licenci která
je už současném občanském zákoníku čili která říká no pro ty účely zpravodajství reportáží fotografi
a tohleto můžeme dělat bez souhlasu
založeny jiná věc sou portrétní fotografie když je tam konkrétně jako osoba vyfocená
tam zřejmě to jsou vás bude
ale zase mi ušlo netoleto dělali v minulosti to znamená třeba na osobní webové stránky
na univerzitě si dopředu každej člověk zvolí jestli tam ta jeho fotka má být nebo
nemá být
a není to formou optal aut by vám vydáme ti nechci tady si stáhněte ale
opty že dopředu si řekne a dokud sme řekli že ano tak místo p osoby
tam jako je nějaký bambula
něco takovýho
a k tomu a k tomu potřeba zachovat zdravý rozum který už dost jsme posedlí
či první jako prostorová vězně ti samozřejmě jako děti do třinácti let ty jsou považováni
za vysoce citlivý jako objekt pro osoby údajů takže když děláme děcko univerzitu mylný
de vlastně už děcka jako vo to osmi let vlastně sou přijímání na univerzitu absolvuje
matriku lácia ochotni na přednáška na tyhlety věci aby se to velice foto dokument tak
všichni tuší že tohleto je docela pro život záležitost s těma fotka má něco dělat
mimochodem zpracování osobních údajů je už jenom to že tenhle vlastníte push to je schováno
podpojmy zpracování to že myslíme dělat jenom to máte u sebe uloženo ženy kuš
tady tohleto je docela problematické
co do publikaci my potřebujeme do nějaký reklamní materiálu dávat samo že mi fotodokumentace a
podobně ti zase stanovisko našich právníků
pokud to budou skupinky fotky a tak dál a použijete to v rozumné míře tak
to neřešte dál možná nesouhlasit pokud je to portrétní fotografi nějaké konkrétní osoby tak tam
můžete jako riskantnější a témuž tomu ste pohlídat jedna z variant že si dopředu skoby
do hodnoty malýma tyhle ty fotky nafoťte jako pro takový účely a ty třeba používat
ale je potřeba ten zdravý rozum používat když někde vidím že nějaká fotka dirname by
ho nestaví si účely jako navíc zasedání vedení uvedete chlapi tam naskákali mezi do bazénu
že jo já sem tam na svatého tak to jasný že tohleto jaksi nemůžeme na
web jak to jako by to bylo jasné už před židy p r jako
takže
to je to je všechno co se v podstatě chtěl říct takže tady jsem hledal
jsem tomu nějakej takovej obrázek takový optimističtější moci nenašel
takže se teda aspoň jenom tady tohleto jako čína značky připravit se pozor teď k
dvacátého pátého pátý děkuji za pozornost
jestli jsou nějaké komentáře námitky
dotazy
tady pán modrém takže nám to za mělo fungovat
jak se chtěl zeptat na ty
rizika pro tu otevřenou společnost jestli i
otočí vyplývá zjevně jakým spolu s našim zákonům sto šest borců ne přístupu k informacím
no a já myslím že v rozporu není jako jo jako
ale jako vona on říkal samo že mi to jako že
to je podobný případech byl teďka ty zveřejnění těch platů vtom zlíně jako jo jsou
říkal jako prostě vy budete muset daleko více chci posuzovat dělat ten test pro porcelanity
koho
na jedné strany máte právo na
otevírání a přitom informaci
a na druhé je právo těch subjekt údajů na ochranu osobnosti já nich tým
jo takže to sou dvě práva která jdou proti sobě a to není nic neobvyklého
správný světě jako takže prostě
že vydělané říká že vy to
nesmíte udělat jako živit já říkal že vemu se postupovat zákonným způsobem jako a zákoně
je například že musíte tom do připadla ten pes proporcí nalitý a jsou i nějakej
postup jak se to má dělat a tak na
ale i ale i nepochybně to vždycky subjektivní věc na tom není jednoznačné měřítko na
to není algoritmu zasadit _e proměnná vás to vypadnete takhle tak
dobrý smluvní lze totiž může řídit tu vymazání údajů
byl štíhlý při statutu to zkoumání ústavu protože to rezort informace
když tu mentech to změří můžu tom o zapnuto zákona nějakým časem tu účetní záznamy
deset let jsou podobní
čemu slušně je tu lze řešit smysl
systému
jak jsem to zase na to na to není podle mého názoru jednotný mustr první
lize to se říkalo jakého pokud to zpracování je ze zákona
tak se můžeme tomu žadatele povíme jako nemůžeme vaše na ta smazat musíme se řídí
zákonem a zákon archivnictví nebo účetnictví nebo tom a říká mu se metoda že takhle
dlouho jako čili
při té první věc v jiných oblastech nemusí být jasná tady tahle ta doba ženy
anebo jestli můžete smazat nebo ne či tam u se rozhod to je
vyhovět žádosti smažou odmítnu když odmítnu nejak entitu jako je tohle to drží jako
a druhá věc je ten technicky aspect na tom se teďka jako vo že spousta
a i ty firem
které říkají no jo a dá se kolem toho psa jakoby ze pračka diplomky co
to znamená smazat na pražáky to neznamená _m na tom aktivním sebe to je ale
já musím jen lidi do těch zálohu na možné typy že jo ty mámo fonémová
je ty další věci jak tohleto dělat
nemáme jako jednoznačné řešení jako zase jako budou vám obchodníci s teplou vodou jako nabízet
ano ideální je dejte všechna data k nám do cloudu a tam vám nabízíme že
vy si nemusíte kopírovat nemaj na jednom místě dyž smaže tak se to je všechno
je na tom je nemístné definitivně smazáno jako ale tohle to není jako moc řešení
já myslím že zase nějakej pragmaticky přístup jako jo čili
ano víme že třeba ve stream informační systém u nás kolegové ruština zvažují že z
milosti mají tam spoustu údajů
kdy třeba studenti se přihlásili na školu byli přijati
ale ne zapsali se do studia
a tohleto se evidentně první kandidáti na to že bysme třeba už měli smazat aniž
by kdokoli vo to žádná jo čili udělat si revize třeba jestli tam nemáme nějaké
delikty nějaký je dát které bych tady by jsme se měli zbavit do štve
a teď je zase otázka jestli je smazat úplně nebo je třeba aspoň analyzovat protože
ta strana tam mohou být důležitá pro zpracování nějakých analýz s minulostí jako odkud se
hlásim studenti třeba další tyhlety věci
takže já mysim že ten přistupuje pragmaticky jano dyž jako se požádá a je tam
dohoda smažené máte ho smažu jako tam kde teďka to se ni
a
nebudu možná přijde ten jako metodikách upravovat je to mají ti dáte ajťáci na udělat
jako vpodstatě vše dostanou nějaké obnově záloh nebo něco takovýho tak to tam tak nějak
jako smažou
co jinak s tím upřímně řečeno chcete dělat jako že jo
geniální řešení neexistují
tam byl dotaz paní
je ten chtěla zeptat vlastně jakoby nastat mezi nimi teze se zřejmě ten skener i
cykl obchodním rejstříku a tak dále nás to s touhle který já zas motal objednáte
k práci s tím účetní té jedné to za zlé dvanáctá
no to už je to asi oblast krát trošičku jako překračuje moje znalosti kompetenci já
nejsem právník já jsem nechci původní profesi spíš ajťák na takové jako
ale jedna věci jako nevím jestli chtěj rejstřících se uskutečňuje osobní data ve smyslu živit
já osobně data znamená data o žijících fyzických osobách
no jasně ale vtom případě to statutární orgán napadá tam jako je velký předpoklady tam
sebe nad napasovat jako na tu zákonnou povinnost
zákon o čem je tohle to listí to musí být k
na více jako té novele zákona třeba jako která kterou jsem četl
stát upravuje velkou část o a co bude stát dělat jako s informacemi typu jan
jestli s trestné činnosti jsou ty činnosti a tady tyhlety věci tlačit
na to většinou
je ta nové ten nový zákon který se chystá by ten umožnil tomu stát objevuje
z mohou fungovat že to nějak jako mají
ano
jo
jasně no ale jak říkám
nejsem ani ste státní správy ani právník takže jako tady jako spíš jenom tak ho
jako obecně jako
nemůže víc konkrétní
tak já mám dotaz jenom jestli stokrát se to nějak s akutním i nemocnicemi
fakultní nemocnice vy
uši už teďka se nějak jako spolupracuje samo že mi ty společné projekty etické komisi
a tak dále navíc každý doktor jako který je za nevezdi tak sedí tak jako
nadražený ve špitálu že počítat propojovat a velice úzká
a vím že třeba teďka do té skupiny výzkumná data kterou jako sme navrhli do
toho našeho projektu
tak se nám právě ozvali lidi fakt hodně moc nejsou svaté anny a jsi asi
že jo ní tohleto taky řeší a rádi by spolupracovali žádné peníze nechtějí jenom chtějí
vpodstatě mi možnost jakoby z nějakýma sdílet i názory zkušenosti takže ano jako počítáme s
tím podporujeme
jo a
ale zase _e já sem říkal jako takové _m obecenstvo je někdy tady když se
sešla dvacet že veřejný vysokoškolská jde dva tři lidi vložit a jako nedělejme si iluze
že ve všech případech budeme schopni se shodnout na společném stanovisku na společném řešení
ale společně aspoň to věc analýzu ne na ty stejné různé alternativní řešení a každý
si pak vybere podle to je on to cítí a tak dál ale je tam
zájem jako spolupracovat a samo že ta oblasti jako je hodně citlivá protože zdravotní údaje
patří mezi citlivé údaje dvou řídit já s tomu že ta kategorie zvláštních já osobně
tak a máme chvilku na poslední rychlý dotaz tady vozvu doktorka nahoře
bych se chtěl zeptat jaký tam sou ty hranice to jde to společnost musí mít
nějakého pověřený se a kdy musí mít oboje ten samej co nás to nevozve kde
je nějákej částečného ten ale
a
jerry já nerozlišuje jestli plný úvazek poloviční a podobně mashe musí mít a nebo nemusí
mít na koho případně varianta sice nemusí mi dal ve vlastním zájmu si ho stejně
jako tvoří tam jsou tam jsou tři nějaké podmínky které jako říkají je obecně podmínky
kdy ta organizace musí mít toho pověřen se
ta podmínka je že tam dochází k nějakému a masivnímu zpracováváni velký osobních údajů potom
že vlastně to zpracovávání osobních údajů je něco jako
hlavního činností té organizace třeba je chlapi a tyhlety věci a pak je to je
třetího vlastně chceme si je to jaksi subjekt veřejné správy nebo veřejné moci
a k tomu třeba ministerstvo vnitra už vydalo metodický pokyn neříká že každá obec spadá
do té kategorie že subjekt veřejné moci že každá obec musí myslel pověřen se
můžou si rozdíl mezi sebou ale už tam vydali taky u jaksi upřesnění žije ověřené
se může obsluhovat víc než deset nocí maximálně
každá škola
je taky musím je to jeden se a podobně že ten z je to je
to obecně tam definována pomocí těch tří kritérií které jsou
do sondování takže
je to i na výklad právníka v některých případech
a je tam vyjímka že malá firma po dvě stě padesát zaměstnanců nemusí mít jako
paušál něco takovýho jako ale jak říkám i když jako usoudíte že třeba ty tři
podmínky které si tam přečtete jako na vás nemusí pasovat tak stejně pokuste velká organizace
tak jako je na zvážení jestli vy vlastně zájmu byste si jo
neřídil sami
tak já děkujeme
tak je to