Zavádění evropských pravidel pro ochranu dat, které vyplývá z nařízení Evropského parlamentu a Rady 2016/679 o ochraně osobních údajů ze dne 27. dubna 2016 (tzv. GDPR) přinese povinnosti firmám všech velikostí a oborů, pro které bude znamenat revoluci v práci s osobními údaji a obrovskou administrativní i finanční zátěž. Problém je však v tom, že firmy stále ještě přesně neví, jaké konkrétní kroky mají činit. V současnosti je výklad nařízení je extrémně nejasný a je poměrně obtížně implementovatelné v naší národní legislativě.
Daniel Joksch, odborník na bezpečnost a ochranu dat, odhalí, jakým způsobem se společnost IBM Česká republika připravila na novou legislativu v oblasti ochrany osobních údajů.
Nařízení pro ochranu dat vstoupí v platnost v květnu 2018, firmám zbývá tedy jen něco málo přes rok na přípravu. Jak se na tuto změnu připravuje Vaše společnost? Máte vůbec k dispozici dostatek potřebných informací, co vše nařízení po firmách vyžaduje?
Máte ve Vaší firmě aktuálně nastavenu firemní strategii práce s osobními údaji?
Vzhledem k tomu, že IBM historicky zpracovává velké množství dat a je také jednou z vedoucích společností v oblasti kybernetické bezpečnosti, je vnitrofiremní kultura práce s daty na pokročilé úrovni. Naši zaměstnanci jsou plně informováni, jak mají s daty pracovat, aby se zabránilo porušení jejich zabezpečení a to nejen na úrovni dat osobních, ale také těch, která jsou citlivá pro nás nebo pro naše klienty. Kromě pravidelných školení jsou za tímto účelem zřízeny webové stránky, kde mohou zaměstnanci najít potřebné informace. GDPR samozřejmě přináší jisté změny, které musí být zahrnuty do procesů zpracování a školení, ale pro IBM to znamená spíše aktualizaci stávajícího stavu než zásadní změnu.
|
Profil společnosti IBM IBM vyvíjí množství kognitivních technologií, analytických a bezpečnostních nástrojů a pomáhá tak jak velkým organizacím, tak koncovým uživatelům. Týmy expertů pak pomáhají s realizací projektů napříč odvětvími a přináší klientům úsporu času. |
V souvislosti s novou úpravou pro ochranu dat vzniknou zaměstnavatelům nejen při nakládání s osobními údaji zaměstnanců značné administrativní povinnosti navíc. To s sebou samozřejmě nese i nutnost úpravy softwaru, změny procesů managementu dat, navýšení kapacit personálního oddělení apod. Je na tyto změny Vaše společnost připravena?
Naše společnost vytvořila globální tým, který se implementací požadavků GDPR interně zabývá. Zaměřuje se jak na zajištění souladu našich produktů a služeb s novým nařízením, tak na zajištění veškerých práv subjektů údajů a povinností správců, které z GDPR vyplývají. Procházíme všechny produktové řady, nabídku veškerých služeb i vnitřní procesy, ve kterých probíhají procesy shromažďování či zpracování osobních údajů. Zjišťujeme, kde jsme v souladu a kde je třeba přizpůsobit se novým požadavkům nařízení.
Jak se Vaší firmy dotkne nová povinnost jmenovat pověřence pro ochranu osobních údajů?
IBM má tým pracovníků, kteří zodpovídají za ochranu osobních údajů již dlouhou dobu stejně jako další velcí hráči na trhu. Změna bude tedy probíhat v tom, aby povinnosti těchto lidí, jejich postavení a zajištění jejich komunikace se subjekty údajů a úřady na ochranu osobních údajů odpovídaly novým požadavkům nařízení – například pokud jde o zajištění komunikace v národních jazycích daných států atd.
Jaká opatření pro zabezpečení zpracování osobních údajů aktuálně používáte ve Vaší firmě?
V rámci naší organizace máme v každém případě bezpečnost na mysli v průběhu každého zpracování. Ať už jde o bezpečné připojení do interní sítě, správu koncových stanic uživatelů, autorizace uživatelů a kontrola jejich rolí nebo bezpečnostní monitoring. Vzhledem k tomu, že nabízíme nejširší portfolio bezpečnostních produktů a služeb na trhu, tak se to samozřejmě odráží i na stavu vnitřní bezpečnosti.
|
Daniel Joksch specialista na bezpečnost a ochranu dat IBM |
Které z nových povinností správců či zpracovatelů údajů se týkají vaší společnosti a které z nich vnímáte jako nejproblematičtější?
Pokud vezmu v potaz klíčové body, ve kterých IBM podniká, a velikost firmy, tak by se dalo říci, že se nás v určité formě týkají téměř všechny povinnosti, které z nařízení vyplývají. Stejně jako pro většinu organizací, se kterými přicházíme každodenně do styku, bude pro IBM asi nejproblematičtější splnění nových povinností na výmaz a přenositelnost údajů vzhledem k jejich technicky náročnému zavedení.
Zmiňujete, že pro IBM bude jednou z nejobtížnějších povinností právo subjektu na výmaz osobních údajů. Jste již technicky a procesně připraveni realizovat bezodkladný výmaz osobních údajů, které o něm shromažďujete?
Připomeňme si, že v rámci nařízení je na výmaz údajů stanova lhůta jeden měsíc a v případě doložení komplikovaného provedení požadavku se tato lhůta může prodloužit až na tři měsíce. Bezodkladnost má tedy naštěstí nastavené hranice. V každém případě se na něj aktivně připravujeme, abychom byli v květnu 2018 schopni splnit práva občanů EU. Nicméně zatím samotným regulátorům není jasné, jak bude tato povinnost naplňována. Čekáme tedy na výkladová vodítka pracovní skupiny WP 29 a také postoj našeho Úřadu na ochranu osobních údajů.
Jak obtížné bude pro Vás splnění požadavků na zajištění ochrany subjektů údajů při datových transferech do zemí mimo EU?
IBM je globální společností, která zaměstnává přes 400 tisíc lidí po celém světě a spolupracuje s mnoha obchodními partnery v různých zemích světa. Při přenosu dat jsem plně v souladu s veškerou evropskou legislativu a jsme registrováni u Privacy Shieldu.
S tím vším nepochybně souvisí i výrazné dodatečné finanční náklady. Jste schopni odhadnout v jakých částkách se budou finanční náklady firem přibližně pohybovat?
Ze zkušeností, které máme z vyjednávání dopadů GDPR na české organizace a odezvy od našich klientů a partnerů, lze odhadnout, že finanční náklady se u větších společností budou pohybovat v milionech. Bude velmi záležet na velikosti společnosti, rozsahu zpracování a oboru podnikání.
Děkujeme za rozhovor.
-red-
