Damoklův meč jménem GDPR
Příštím rokem počínaje vypukne další ze zásadních změn, které se významně dotýkají firemní sféry. Jde o nově stanovenou povinnost ochránit osobní data proti riziku jejich zneužití. Na tuto problematiku se proto nyní zaměřuje řada specialistů, kteří pomáhají firmám poradit či zajistit, jak se s novými požadavky, za jejichž nesplnění hrozí drakonické sankce, vypořádat. Jedním z nich je i Markéta Burešová, Customer Success Leader ve společnosti AFEL PRO.
Co si pod pojmem GDPR lze představit?
Jde o ochranu osobních údajů – nařízení EU s oficiálním názvem General Data Protection Regulation, které vstoupí v platnost 25. května 2018 a upravuje pravidla chování firem k informacím umožňujícím identifikovat konkrétní osobu. Údaje, které si pod tím můžeme představit, jsou například jméno, příjmení, rodné číslo, adresa, ale i internetová IP adresa, kamerový záznam či fotografie, podle které lze osobu identifikovat.
A jak se na to dívat? Osobní údaje jsou dnes téměř všude, v elektronické i listinné podobě. Například registrace do různých služeb, nákupy v e-shopech, různé věrnostní programy nebo i prostá návštěva internetové stránky, kdy se na příslušný web z počítače odesílá řada dat o jeho uživateli. Třetím stranám tak člověk dává o sobě hodně informací.
Věděli jste, že existují firmy, které sesbíraná data prodávají? A tak bohužel někdy nevíme, kam se naše osobní údaje dostanou. A možná i proto Unie rozhodla, že tyto informace je třeba chránit.
Data člověk poskytuje víceméně dobrovolně. Ale v momentu, kdy je dá nějaké firmě k dispozici, padá už zodpovědnost za ně na danou firmu?
Přesně tak. Jenže právě to mnoha firmám ještě nedochází. Jednak jsou tu sankce a ty mohou být pro některé firmy až likvidační – představují totiž 20 milionů eur nebo 4 % globálního obratu. Rozhodně nejde o malé částky a vzkaz pro firmy je jasný: Něco s tím dělejte! Za další nesmíme zapomínat na zničenou reputaci u zákazníků, a to může být mnohdy dokonce horší než jen peněžitá pokuta.
Kolik času mají ještě firmy, aby se na novou situaci připravily? Kolik zabere audit, nastavení procesů apod.?
To se liší případ od případu. V první fázi probíhá business analýza, která zjistí rozsah a případný nesoulad. Ta například u společnosti s 200 až 500 zaměstnanci zabere dva až tři měsíce. U větších je to ale pochopitelně déle. V této fázi zjišťujeme rizika, posuzujeme jejich závažnost a navrhujeme nápravná opatření. To vše společně s managementem firmy tak, aby řešení firmě sedlo a bylo proveditelné. My doporučujeme začít ihned.
Nápravná opatření mohou mít technický či organizační charakter. Naše zkušenost říká: Začněte s organizačními (většinou jich identifikuje až 70 %), obvykle jsou dostačující a jsou ve většině případů levnější. To ale neznamená, že v budoucnu firma nemá technická opatření aplikovat. Projekty či změny vedoucí k ochraně dat musí být hotové do května. My jsme realisté. Víme tak, že některá technická opatření se už stihnout nedají. Ten květnový datum je opravdu neúprosný.
Lze to chápat i tak, že dobrým organizačním řešením si firmy mohou ušetřit i aplikaci některých finančně náročných technických opatření?
Ano, je to přesně tak. Jedna z věcí, kterou firmám radíme, je změna kultury. Pokud lidé vnímají data a osobní údaje jako něco, k čemu se musí chovat zodpovědně, nemusí pak vždy dojít k restriktivním opatřením pomocí speciálních aplikací či softwaru. Firma ušetří a uživatelé jsou spokojenější, protože jim nezhoršujeme komfort nasazením omezujících aplikací. Na druhou stranu technická opatření zvyšují jistotu a zcela bez nich se určitě žádná firma neobejde.
Jeden z prvních principů, na který se zaměřujeme během analýzy, je zjistit účel ukládání informací a jejich skutečnou potřebnost. A pokud účel chybí, radíme neukládat. Tím se minimalizuje i potřeba je chránit.
Jsou-li informace potřebné z pohledu podnikání (například – informace o zákaznících) je jejich uchování ze zákona povinné. Pak si myslíme, že i kdyby toto nařízení neexistovalo, je třeba tato data chránit. Není potřeba se dívat na GDPR jako na něco, co je vnuceno „shora“ a restriktivně vyjmenovává, co všechno firma musí. Chceme firmy přesvědčit, že také ochrana dat je v zájmu jejich byznysu. Naší snahou je firmám pomáhat, aby data chránily správně.
Speciálně u obchodních firem bylo trendem shromažďovat maximum údajů, které de facto ani nepotřebovaly pro konkrétní účel, ale jen pro případ, že by se někdy mohla hodit...
Od toho se je snažíme odradit. Doporučujeme firmám shromažďovat pouze relevantní údaje pro jejich podnikání či z legislativního účelu. Dále jim radíme svoje data pravidelně „uklízet” - naše rada zní: zavést každoroční úklid, každý zaměstnanec uklidí stůl, všichni si projdou e-mailovou schránku, jednotlivé složky v PC a co není potřeba, se prostě smaže a skartuje.
A opět je to o firemní kultuře: Buď je možné to vyžadovat restriktivně, nebo to lidé pojmou třeba jako zábavnou show.
Jakého typu firem či rozsahu se GDPR týká?
Týká se všech, kteří sbírají nějaké osobní údaje. Větším zpracovatelům dokonce nařizuje zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů).
Pro určité činnosti jako je automatizované zpracování či zpracování citlivých údajů je navíc nařízení velmi přísné. A zase se vracíme k těm pokutám.
Co když hypoteticky dojde k situaci, že budou zneužita osobní data z menší firmy, která se bude hájit tím, že se na ní GDPR nevztahuje?
Myslíme, že i pro malé firmy může být únik dat problém a teď nemluvíme jen o pokutách, může jít i o ztrátu know-how či o reputaci firmy. Proto je dobré se tématu věnovat.
Doporučujeme firmám se nad tím zamyslet a přiměřená opatření provést.
Na vaší expozici na MSV Brno byl nápis GDPR pro strojírenství. V čem vidíte specifičnost průmyslových odvětví z pohledu ochrany citlivých dat?
První rozdíl je v tom, že specializace strojírenské výroby je obvykle jinde než ve sběru a prodeji dat. My si to uvědomujeme a snažíme se jim celou oblast ochrany osobních údajů zjednodušit a přiblížit, prostě je celou problematikou provést.
Na druhou stranu je dobré nezapomínat na nové technologie nastupujícího Průmyslu 4.0 a Internetu věcí. Ty jsou velmi často založené na datech. A ať už se jedná o osobní data či o know-how firmy, tato data je třeba chránit a tuto ochranu neustále zdokonalovat.
Na jaké nejčastější problémy nebo typy problémů narážíte v realizaci GDPR projektů? Na co se firmy nejčastěji ptají?
Nejčastější dotaz je, zda se daný termín neposune. Odpověď je bohužel nekompromisní: Ne, žádná výjimka pro ČR vyjednána nebyla. Od května to prostě bude tak.
Velmi často se také setkáváme s názorem, že GDPR se týká jen IT a „IT to nějak vyřeší“. Což je ovšem zásadní omyl a nepochopení věci. Týká se to celé firmy – prostě všech, kteří s osobními údaji pracují nebo k nim mají přístup. Myslím, že je to hodně o změně kultury a vztahu k osobním údajům na všech úrovních. A když už jsou zainteresována i jiná oddělení, pak je častá tendence posuzovat problematiku jen ze svého pohledu. Nám se vždy vyplatilo prodiskutovat vše s vedením firmy a najít opatření, která budou opravdu fungovat.
Stejně tak se mnoho firem domnívá, že se GDPR týká jen zákazníků. Opět špatně. Oblasti, kde se osobní údaje zpracovávají, nacházíme všude. Od zaměstnanců, přes zákazníky až po dodavatele.
Dalším častým omylem je, že nákup jednoho softwaru vyřeší celou problematiku – zase to tak není – je potřeba zavést mix opatření. A finálně, i když firmy uznávají nutnost vyhovět novým předpisům, nemají připravené rozpočty. Tak snad to v této oblasti bude na příští rok lepší.
Existuje něco jako polehčující okolnost pro firmy, které chtějí vyhovět regulím, ale technicky nebo časově to prostě nestihnou?
Samozřejmě bude záviset na dozorovém úřadu, který bude vykonávat dohled nad shodou s nařízením. Ale i kdyby ten byl zpočátku benevolentní, tak únik dat a zničená reputace u zákazníků mohou být pro firmu destruktivní.
Na druhou stranu víme, jak to u nás chodí, a takových firem bude asi hodně. Řešit vše na poslední chvíli je poměrně rozšířený postup. Je stále dost firem, které z nejrůznějších důvodů, včetně nedostatečné informovanosti, zatím k potřebným krokům nepřistoupily. Čím více se ale budou blížit k definitivnímu květnovému termínu, tím složitější situaci a dražší projekt budou mít. Bude mnohem větší tlak na to, aby řešení bylo provedeno rychle, což bude samozřejmě zvedat i cenu. Nebude už tolik času. Poroste tak poptávka i po potřebných specialistech. Navíc dostat potřebný souhlas od zákazníků ve stovkách až tisících bude asi docela problém.
Nicméně situace není ještě úplně beznadějná, ale zbývající čas je třeba smysluplně využít. Urychleně začít analýzou, nalezené rozdíly vyhodnotit, zprioritizovat a pustit se do nápravy. Je též potřeba myslet na pověřence pro ochranu osobních údajů (Data Protection Officer – DPO), což je povinnost všech firem nad 250 zaměstnanců. Firmám doporučujeme pověřence zapojit co nejdříve – i ten jim může svojí expertizou pomoci v hledání souladu s nařízením.
Firmy se mohou rozhodnout pozici obsadit vlastním pracovníkem nebo tuto službu nakupovat. U vlastních zaměstnanců legislativa vylučuje role např. ředitele (ať už generální, výrobní, technické nebo IT), kteří funkci vykovávat nemohou, a tak bude mnohdy potřeba takového specialistu hledat na trhu práce. Výhodou externí specializované firmy je spektrum zkušeností a jejich aplikace v různém kontextu. To je typické třeba právě ve strojírenství, kde řada řešení může být podobná.