“Cloud může výrazně snížit provozní zátěž a bezpečnostní rizika,” říká v rozhovoru o přípravě na nařízení GDPR Jeff Bullwinkel, evropský ředitel pro právní záležitosti, Microsoft.

Co je to GDPR a proč je důležité?

Všeobecné nařízení o ochraně osobních údajů, neboli GDPR, určí nová pravidla pro soukromí, bezpečnost a soulad se zákony na globální úrovni. V ekonomice založené na datech je životně důležité chránit soukromí lidí, jejichž data ekonomiku pohánějí, a dosáhnout vysoké úrovně důvěry na obou stranách. To je jeden z klíčových důvodů, proč má GDPR vstoupit v platnost jako nový zákon Evropské unie na ochranu dat. Nahrazuje směrnici Data Protection Directive, která je v platnosti od roku 1995. I když GDPR zachovává více principů ze starší směrnice, je to mnohem ambicióznější zákon. Jednou z jeho nejvýraznějších novinek je to, že GDPR dává jednotlivcům větší kontrolu nad svými osobními údaji a zavádí mnoho nových povinností organizacím, které osobní údaje sbírají, spravují nebo analyzují. Nařízení GDPR dává i nové kompetence národním regulátorům postihovat organizace porušující zákon vysokými pokutami a umožní jim navzájem mnohem lépe spolupracovat.

Je vzhledem k GDPR výhodné používat cloudové služby?

Ano. I když žádná cloudová služba nezbaví zodpovědnosti majitele dat plnit podmínky GDPR, může významně snížit provozní zátěž a minimalizovat bezpečnostní rizika. Můžeme to přirovnat k řízení auta: používat cloud je jako mít bezpečností pásy, airbag a parkovacího asistenta – vše, co činí vaši jízdu komfortnější a bezpečnější. Ale pořád je to řidič, který si musí zapnout pás, použít řídící nástroje a nekonzumovat alkohol před jízdou.

Jedním z největších problémů, na které organizace narážejí, jsou nestrukturované osobní údaje, tzn. ty, které mají lidé v emailech a v různých dokumentech ve svých počítačích. Cloudové služby, jako např. Office 365, poskytují nástroje (např. eDiscovery), které pomáhají lokalizovat data, řídit práva (kdo má k čemu přístup) a mohou pomoci i se správou dat – např. když máte jednu verzi dokumentu s osobními údaji na SharePointu a sdílíte k ní pouze link, namísto distribuce dokumentu v příloze emailu. Mnohem snáze změníte či smažete osobní údaje, pokud máte pouze jeden dokument na SharePointu, než když musíte hledat více různých příloh v emailové schránce několika lidí…

Pokud jde o bezpečnost, Windows 10 – operační systém poskytovaný jako služba – aktivně přispívá k ochraně dat proti ransomware a škodlivému softwaru. Díky používání cloudové služby Microsoftu (Azure) namísto vlastních serverů významně zvýšíte i zabezpečení dat. Servery mohou být zcizeny, zaplaveny či jinak poškozeny. A organizace bývají zabezpečeny jen tak, jak si mohou dovolit. Data uložená v cloudové službě Azure mají nejvyšší úroveň ochrany a Microsoft má množství certifikátů a auditů, včetně těch vztahujících se k problematice GDPR. Pokud používáte vlastní server, musíte si takové certifikáty opatřit i aktualizovat sami.

Toto jsou jen některé příklady, mohl bych jich uvést mnohem víc. Pokusím se to krátce shrnout: Naše cloudové služby vám mohou pomoci zmapovat a uspořádat data a vyhovět požadavkům souvisejícím s ochranou dat proti celé řadě bezpečnostních rizik.     

Kde se nachází O365 a Azure servery a odpovídá to pravidlům GDPR o přenosu dat mimo EU?

Začnu všeobecnými pravidly, kterými se řídíme ve všech případech, jež se týkají nakládání s daty. V Microsoftu jsme vždy dbali na to, aby byly naše technologie, vyvíjené produkty i služby důvěryhodné, a vždy dbáme na soukromí, bezpečnost a transparentnost. Bezpečnost je opravdu neodmyslitelnou součástí všech našich produktů, od řízení identity přes plánování informací až po analýzu a management rizik. Soulad s mezinárodně uznávanými standardy, jako těmi, které stanoví ISO a další třetí strany, dává zákazníkům pocit jistoty. Mohou tak využívat klíčových výhod cloudu, jako jsou efektivita, flexibilita a bezpečnost. Například cloudové služby Microsoft Azure vyhovují 70 různým mezinárodním a průmyslovým certifikátům a atestacím.

Kromě toho jsme přesvědčeni, že osobní údaje zákazníků jsou jejich vlastnictvím. A toto přesvědčení podtrhuje náš závazek na úplnou transparentnost, pokud jde o uložení dat a jejich využívání.

V souvislosti s GDPR je třeba říct, že Microsoft ukládá data evropských zákazníků ve svých datacentrech v EU, zejména v Irsku a Nizozemsku. A nadále pokračujeme v rozšiřování našich evropských datacenter. Tato datacentra mají podporu datacenter v dalších lokalitách, abychom mohli poskytovat podporu 24/7. Co se týká uchovávání dat v EU a jejich přenos mimo Evropskou unii, GDPR nijak zásadně nemění pravidla nastavená předcházející směrnicí. Na naše klíčové cloudové služby, jako jsou Office 365 nebo Azure, se vztahují nejenom Privacy Shield, ale i standardní smluvní doložky (EU Model Clauses), přijaté Evropskou komisí. Současná nastavení tak nevyžadují žádné změny.

Navíc do našich smluvních podmínek používání online služeb jsme přidali nové podmínky a zásady, které navazují na GDPR. Na toto nařízení se připravujeme již dva roky, abychom se ujistili, že naše služby jsou s ním v souladu. Teď tedy můžeme naše zkušenosti předat našim zákazníkům a pomoci jim splnit požadavky nového nařízení.

Jak dlouho přibližně trvá proces přechodu k dodržování GDPR?

Těžko říct. To se odvíjí od velikosti a struktury dané organizace i oboru podnikání – některé společnosti pracují s mnohem větším objemem osobních údajů než jiné.

Příprava na GDPR je proces, který vyžaduje plánování, implementaci a neustálou rekalibraci, protože praktická aplikace 25. květnem jen začne. Je to jako když se balíte na dlouhou cestu do nové země, ale ta cesta 25. května neskončí, naopak teprve vyrazíte. Kvalita přípravy a výbavy, kterou si s sebou sbalíte, rozhodne, jak rychle půjdete, zda budete cestovat hladce anebo se zaseknete na první překážce. Klíčové je zvolit si vhodné nástroje tak, abyste mohli snadno vyhovět všem požadavkům a vypořádat se s případnými incidenty tak, aby to váš byznys nezpomalilo, ale ideálně ještě více povzbudilo.

Jsou nějaká pozitiva nebo příležitosti spojené s přechodem na dodržování GDPR?

Jednoznačně ano! GDPR vnímáme v mnoha ohledech jako velkou příležitost. Je to poprvé, kdy společnosti dokáží nejenom sbírat a uchovávat obrovské množství dat, ale také tyto informace měnit na poznatky, které nabízejí nové možnosti. Jak říká Satya Nadella – data se stávají novou elektřinou, která pohání firmy. To otevírá dveře produktivitě a inovacím: společnostem včetně neziskových organizací to pomáhá v předstihu reagovat na potřeby zákazníků přes analýzy založené na datech a pohání to novou generaci inovátorů. To vše se nakonec promítne do růstu. Organizace by se neměly soustředit pouze na to, aby dodržovaly nová pravidla. Je to příležitost vidět, začít a podpořit využívání dat jako motoru růstu. Společnosti, které mají jednotnou strategii na zužitkování a spravování dat, to nejenom zúročí, ale budou z toho profitovat ještě další desítky let.

Klíčovým hráčem je zde důvěra. Lidé se podělí o své údaje pouze tehdy, když uvěří, že je při jejich správě respektováno jejich soukromí. Věřím, že nezisková organizace, která to zvládne, se tím odliší od ostatních a bude žádaným partnerem pro komerční sektor v případě fundraisingu a vytváření společných hodnot. Žádná z uznávaných korporací nebude chtít riskovat svoji pověst partnerstvím se organizací, která nechrání data svých klientů.

GDPR klade na organizace, které shromažďují nebo zpracovávají data, velké množství požadavků, včetně povinnosti splnit šest klíčových pravidel:
  • Transparentnost, férovost a dodržování zákona při správě a používání osobních údajů. Každému budete muset jasně vysvětlit, jak používáte jeho osobní údaje a budete také potřebovat „právní základ“ na zpracování těchto dat.
  • Omezit zpracování osobních údajů na specifikované, konkrétní a legitimní účely. Souhlas se zpracováním osobních údajů nebude možné zveřejnit ani opakovaně použít na účely, které se „neshodují“ s účelem, pro který byly původně shromážděny.
  • Minimalizovat sběr a uchovávání osobních údajů na množství adekvátní a relevantní zamýšlenému účelu.
  • Zajistit přesnost osobních údajů a umožnit jejich výmaz anebo opravu. Budete se muset ujistit, že osobní data, která vlastníte, jsou správná a mohou být opravena v případě nepřesností.
  • Omezit uchovávání osobních údajů. Budete muset zajistit, že osobní údaje uchováváte pouze tak dlouho, jak je nevyhnutelné pro dosáhnutí cíle, pro který byla data sesbírána.
  • Zajistit bezpečnost, integritu a důvěryhodnost osobních údajů. Vaše organizace bude muset podniknout kroky k tomu, aby uchovávala údaje bezpečně (díky technickým, bezpečnostním a organizačním prostředkům).