Stinné, ale i světlé stránky GDPR

Na jednu stranu jsou stesky firem zcela pochopitelné, zejména těch malých a středních, které nemají rozsáhlé korporátní týmy zvyklé řešit obdobné regulatorní požadavky. Vždyť také samo GDPR primárně vzniklo k ochraně fyzických osob a jejich údajů před velkými, nadnárodními korporacemi (zejména před aktivitami v digitálním světě). Ty využívaly své faktické převahy nad jedinci a téměř bez omezení obchodovaly s osobními daty a pracovaly s nimi ve svůj prospěch, mnohdy navzdory přání jednotlivce. A koho z nás občas nepřekvapilo nebo nenaštvalo nevyžádané reklamní sdělení nebo nabídka od firmy, se kterou jsme nikdy nebyli v kontaktu? I dnes není někdy zcela snadné odhlásit se z nevyžádaného newsletteru, jenž nám pravidelně chodí do emailové schránky. A to se k nám ještě nedostaly některé sofistikované agresivní marketingové metody běžné v západní Evropě atakující, např. náš mobilní telefon reklamou.

Že jsou dnes data cennou a ceněnou komoditou, o tom není třeba pochybovat. Většina velkých hráčů v digitálním světě dnes generuje nemalou část svých zisků právě z práce s daty, z cílené reklamy, z propojování či prodeje dat, včetně osobních údajů. Sociální sítě, internetový a mobilní prodej, cílená reklama v digitálním světě, ale i zapojení softwarových robotů a prvků umělé inteligence do procesů firem i do komunikace se zákazníky, to vše zvyšuje význam i hodnotu dat, včetně těch osobních.

Zároveň se ale stupňuje množství, cílenost a personalizace komunikace a marketingu vůči spotřebitelům a zákazníkům. A na rozdíl od lidské paměti, data o lidech se z digitálního světa neztrácejí a mohou být kdykoli použita v náš prospěch i neprospěch nebo být dokonce zneužita k nelegálním účelům.

A tady, z pohledu fyzické osoby, je třeba vidět v GDPR i jisté pozitivum – přeci jen dává nám, jednotlivcům, jistá práva bránit se „komerční lavině“ a v případě potřeby se domáhat svých práv při ochraně a rozumném nakládání s našimi osobními údaji. Firmy si tak již nebudou moci dělat s osobními údaji, co chtějí, a budou muset dodržovat jistá pravidla hry a v případě jejich porušení nést sankce, jejichž možná výše bude působit zcela jistě preventivně i represivně.

Z dosavadních zkušeností z realizovaných projektů víme, že většina firem nemá jasnou představu, jaké osobní údaje vůbec zpracovávají, kde je mají uložené a kdo k nim má přístup. Firmy tuší, jaká data mají uložená v informačních systémech a jaké procesy nad nimi probíhají, méně již tuší o oběhu papírových dokumentů obsahujících osobní údaje (o jejich nekontrolovatelném válení se po stolech kanceláří nebo u tiskáren nemluvě).

Zcela šedou zónou jsou pak data digitální mimo informační systémy, dokumenty obsahující osobní údaje uložené ve wordu, excelu, pdf apod., zapomenuté na ploše počítačů, na projektových discích či na cloudových úložištích. Tato data jsou z hlediska GDPR noční můrou firem, neboť kontrolovat a regulovat jejich výskyt je téměř nemožné, interní směrnice jsou málo účinné. Je zřejmé, že kontrolovat tato data bez moderních bezpečnostních technologií (např. DLP), a vynucovat si tak určité chování zaměstnanců, je téměř nemožné.

Není se tak čemu divit, že projekty GDPR ve firmách často končí právě na lidech v ICT (i když GDPR je multidisciplinární téma a zahrnuje oblast právní, bezpečnostní, ICT i procesní). Elektronizace již prostoupila procesy firem natolik, že IT ve firemních činnostech hraje zcela jistě zásadní roli.

V GDPR hraje ICT zásadní roli nejen z hlediska zabezpečení dat, ale i z hlediska připravenosti aplikací a systémů na nová práva fyzických osob (právo výmazu, přenositelnosti dat apod.). A tady nastává další oblast, v níž lze u GDPR najít jisté pozitivum pro firmy.

Protože si GDPR žádá k ochraně osobních údajů „technická a organizační opatření“, nutí firmy skutečně sledovat, jak mají svoje data, aplikace i infrastrukturu zabezpečenou z hlediska možných útoků, zneužití dat nebo třeba i nekalých konkurenčních aktivit. Je evidentní, že kybernetická bezpečnost je již dnes základní potřebou každé firmy pro ochranu nejen osobních údajů, ale i obchodních dat a informací o businessu firmy obecně. Bez ohledu na požadavky GDPR by tedy firmy měly této oblasti věnovat patřičnou pozornost (viz např. nedávné incidenty jednoho mobilního operátora nebo třeba internetového obchodu, kdy jim unikly rozsáhlé soubory osobních údajů).

Přesto je v řadě firem stále bezpečnost, zejména ta kybernetická, na druhé koleji a IT ředitelé mají často problémy obhájit před vedením firem investice do složitých, nákladných technologií, jimž laik jen stěží rozumí. A v tom je třeba vidět v GDPR příležitost, jak i pomocí této regulace přesvědčit management k účelnému zabezpečení a vyztužení aplikací i infrastruktury firmy (byť GDPR přímo nic nenařizuje).

Dnes by již firmy měly reálně zvažovat technologie jako: řízení přístupů do sítě (NAC), prevence před únikem dat (DLP), technologie SIEM/SOC, technologie pro obnovu dat, zálohování, vzdálená správa mobilních přístrojů (MDM), šifrování dat na všech zařízeních s citlivými daty, šifrování firemní komunikace dovnitř i mimo firmu, ochrana vnějšího perimetru (firewally), využívání antivirových programů, sandboxů, ale i pravidelné penetrační testy a vzdělávání zaměstnanců. Podobné nástroje dnes doporučuje i zákon o kybernetické bezpečnosti a související legislativa.

Požadavek na zabezpečení dat pak samozřejmě řadu firem přinutí zamyslet se nad tím, jestli není lepší eliminovat procesy „papírové“. Vždy je snazší efektivně řídit tvorbu, přístup, ochranu, ale i ukládání, mazání, vyhledávání v „digitálních“ dokumentech než interními postupy řešit a zabezpečit dokumenty s osobními údaji v papírové formě.

Pochopitelně s sebou GDPR nese i celou řadu méně příjemných povinností – potřebu vytvořit rozsáhlou dokumentační základnu k řízení procesů ochrany osobních údajů, procesů na řízení incidentů, procesů k naplnění práv a svobod fyzických osob, potřebu zmapovat a zdokumentovat všechna zpracování osobních údajů, vytvořit v organizaci patřičné role, proškolit zaměstnance, předělat zpracovatelské smlouvy nebo třeba kontrolovat souhlasy se zpracováním osobních údajů, doplnit informace o zpracováních osobních údajů na řadu dokumentů apod.

Náklady na tyto změny (organizační i technické) přijdou malé firmy na desítky tisící korun, střední na stovky tisíc až jednotky milionů a velké firmy na desítky, výjimečně i stovky milionů korun. Nemůžeme se tak divit, že firmy z toho nadšené nejsou. Dodavatelský trh pomáhající firmám s přípravami naopak významně ožil (právní, poradenský i ICT) a přes noc vznikla celá řada ad-hoc firem a nových GDPR „expertů“.

Z výše uvedeného je zřejmé, že rozhodne-li se firma pro najmutí poradce v oblasti zajištění souladu s GDPR, měla by zvážit partnera s historií delší než rok (kdy se o GDPR začalo mluvit), partnera s kompetencí v systému řízení bezpečnosti informací, kybernetické bezpečnosti, schopností pochopit základní principy fungování businessu firmy, jejího celkového regulačního prostředí. Zároveň partnera schopného zohlednit GDPR z právního hlediska (smlouvy, souhlasy se zpracováním), jakož i partnera schopného posoudit připravenost aplikací na nová práva fyzických osob.

Vzhledem k tomu, že se dosud vyvíjí výkladová praxe GDPR, ještě neexistuje jednotně akceptovaná metodika zavádění této regulace ani žádná ISO či obdobná norma. Úspěch GDPR projektu je velmi ovlivněn zkušeností poradce. Ten by měl být schopen nejen připravit firmu na GDPR ke květnu 2018 ve všech oblastech, ale měl by pomoci nastavit celý systém opatření tak, aby byl praktický pro jeho následné udržování a rozvíjení. Letos v květnu totiž téma GDPR nekončí, ale naopak začíná.