Je nejvyšší čas začít s implementací GDPR, říká Jiří Černý, ředitel Microsoftu pro právní záležitosti pro Českou republiku a Slovensko
Již za necelý rok vstoupí v účinnost nařízení Evropské unie GDPR týkající se zpracování osobních dat občanů EU a znásobení pokut za porušení pravidel. IT firmy začínají bít na poplach, že většina českých firem není na nové nařízení připravena, ale především řada podniků ani s přípravami nezačala. „GDPR je dosud nejucelenějším souborem pravidel na ochranu osobních údajů na světě a dotkne se každého, kdo shromažďuje nebo jinak zpracovává osobní údaje občanů EU. Ačkoli toto nařízení začne platit již za méně než rok, v květnu 2018, povědomí o něm narůstá až v posledních měsících a navíc se výrazně liší sektor od sektoru. Obecně lze říci, že asi nejdále jsou v přípravě na GDPR finanční instituce a jiné regulované subjekty. Ostatní sektory podle našich zkušeností s implementací GDPR spíše začínají,“ říká Jiří Černý z českého Microsoftu.
► Kolik času vyžaduje implementace nařízení GDPR v případě středně velké firmy?
◄ Je to komplexní proces, který nelze zvládnout za pár týdnů. Je potřeba počítat alespoň s třemi až šesti měsíci na analytickou část – tedy zmapování zpracovávaných osobních údajů a jednotlivých procesů. Délka této fáze závisí na velikosti společnosti, robustnosti používaných systémů, množství a charakteru zpracovávaných dat a dalších faktorech. Časový rámec pro samotnou implementaci lze jen těžko odhadovat – vždy vychází z výsledků analytické fáze. Zpravidla půjde opět o horizont několika měsíců. Je tedy opravdu nejvyšší čas s implementací GDPR začít.
► Jaký dopad má GDPR na poskytovatele cloudových služeb?
◄ Nařízení se dotkne i poskytovatelů cloudu, kteří vůči ukládaným osobním údajům obvykle vystupují v roli takzvaného zpracovatele, tedy osoby, která plní pokyny správce. Správce je typicky zákazník cloudové služby, jenž ukládá v rámci cloudu osobní údaje. Hlavní požadavky GDPR na zpracovatele se týkají zabezpečení a technických a organizačních opatření, jejich pravidelné aktualizace a testování účinnosti a dále oblasti zvládání bezpečnostních incidentů. Lze předpokládat, že zákazníci budou očekávat doložení splnění těchto požadavků nezávislými audity a certifikacemi, např. z řady ISO, SOC a podobně. Kromě požadavků na infrastrukturu musejí poskytovatelé cloudových služeb upravit své zákaznické smlouvy, aby odpovídaly požadavkům GDPR. IT dodavatelé by měli být připraveni převzít smluvní závazky plynoucí z GDPR již nyní, pokud nabízejí svým zákazníkům smlouvy na dobu delší než jeden rok.
► Může cloud pomoci firmám – zákazníkům – s plněním požadavků GDPR?
◄ Kvalitní cloudové řešení může významně pomoci, a to zejména při plnění požadavků GDPR na infrastrukturu a její zabezpečení. Poskytovatelé cloudových služeb mohou nabídnout i podpůrné nástroje pro splnění dalších povinností, jako třeba hlášení bezpečnostních incidentů, povinnosti týkající se životního cyklu údajů, povinnosti vypracovat posouzení vlivu na ochranu osobních údajů. Poskytovatelé cloudových služeb vytvářejí tyto standardizované nástroje pro produkty využívané stovkami tisíc zákazníků napříč EU, a mohou si proto dovolit podstatně vyšší investice do těchto nástrojů než jednotlivý zákazník. To se výrazně projevuje i v oblasti zabezpečení. Pro představu – společnost Microsoft investuje do zabezpečení svých produktů a služeb více než miliardu dolarů ročně. Nicméně je důležité si uvědomit, že cloudové řešení samo o sobě nemůže zcela vyřešit všechny požadavky GDPR – jejich dodržování vždy zůstane úkolem a zodpovědností správce. Když si pořídíte bezpečné auto s řadou asistenčních systémů, také vás nezachrání, pokud se nepřipoutáte nebo budete jezdit v protisměru.
► Jaké změny jste museli udělat v Microsoftu?
◄ Jako jeden z prvních globálních poskytovatelů cloudových služeb nabízí Microsoft produkty připravené na GDPR, včetně nezbytné smluvní dokumentace. Konkrétně pro Bing jsme nové podmínky ochrany osobních údajů zveřejnili již v březnu, pro cloudové služby Azure a kancelářský balík Offi ce 365 na začátku června. Online prostředí, včetně například regulace cookies, však projde ještě minimálně jednou zásadní změnou, kterou by mělo přinést nové ePrivacy nařízení. Zveřejnění jeho finálního znění se neočekává dříve než na konci roku 2017, a na vyhodnocení jeho dopadů si tak musíme počkat.
► Zlepší se díky GDPR bezpečnost osobních dat a celkově bezpečnost internetu?
◄ Osobně si myslím, že ano. GDPR vytváří z transparentního nakládání s daty a z řádného zabezpečení jednu ze strategických priorit pro velké organizace i státní správu. To je důležitým krokem na cestě nejen ke zvýšení ochrany osobních údajů, ale i k vyšší kybernetické bezpečnosti. Přestože je GDPR právním předpisem EU, jeho dopad je fakticky globální, jelikož se vztahuje na všechny subjekty, které zpracovávají osobní údaje občanů zemí EU, a EU tak do podstatné míry ovlivňuje oblast ochrany osobních údajů po celém světě.
(rozhovor byl publikován v časopise Euro 26. 6. 2017)
