Je najvyšší čas začať s implementáciou GDPR, hovorí Jiří Černý, riaditeľ Microsoftu pre právne záležitosti pre Českú republiku a Slovensko.
Už za necelý rok vstúpi do platnosti nariadenie Európskej únie GDPR týkajúce sa spracovania osobných údajov občanov EU a znásobenia pokút za porušovanie pravidiel. IT firmy začínajú biť na poplach, že väčšina našich firiem nielenže nie je na nové nariadenia pripravená, ale predovšetkým upozorňujú na to, že množstvo podnikov s prípravami ani nezačalo. ,,GDPR je doposiaľ najucelenejším súborom pravidiel na ochranu osobných údajov na svete, ktoré sa dotknú každého, kto zhromažďuje alebo inak spracováva osobné údaje občanov EU. Hoci toto nariadenie vstúpi do platnosti o necelý rok, a to v máji 2018, povedomie o ňom začalo narastať až v uplynulých mesiacoch a naviac sa výrazne líši sektor od sektoru. Všeobecne sa dá povedať, že v prípravách na GDPR najviac pokročili finančné inštitúcie a iné regulované subjekty. Ostatné sektory podľa našich skúseností s implementáciou GDPR skôr iba začínajú,“ hovorí Jiří Černý z českého Microsoftu.
Koľko času si vyžaduje implementácia GDPR v prípade stredne veľkej firmy?
Je to komplexný proces, ktorý sa nedá zvládnuť za pár týždňov. Je nevyhnutné počítať aspoň s tromi až šiestimi mesiacmi na analytickú časť – teda na zmapovanie spracovávania osobných údajov a jednotlivých procesov. Dĺžka tejto fázy závisí na veľkosti spoločnosti, robustnosti používaných systémov, na množstve a charaktere spracovávaných dát a na ďalších faktoroch. Časový rámec na samotnú implementáciu sa dá len ťažko odhadnúť – vždy vychádza z výsledkov analytickej fázy. Spravidla môžeme hovoriť o horizonte niekoľkých mesiacov. Je teda naozaj najvyšší čas začať s implementáciou GDPR.
Aký dosah má GDPR na poskytovateľov cloudových služieb?
Nariadenie sa dotkne i poskytovateľov cloudu, ktorí v spojení s ukladaním osobných údajov obyčajne vystupujú v pozícii takzvaného spracovávateľa, teda osoby, ktorá plní úlohy správcu. Správca je typický zákazník cloudovej služby, ktorý v rámci cloudovej služby ukladá osobné údaje. Hlavné požiadavky GDPR na spracovávateľov sa týkajú zabezpečenia a technických a organizačných nariadení, ich pravidelnej aktualizácie a testovania účinnosti a ďalej oblasti zvládania bezpečnosti incidentov. Dá sa predpokladať, že zákazníci budú očakávať potvrdenie splnenia týchto požiadaviek formou nezávislých auditov a certifikácií, napríklad od ISO, SOC a podobne. Okrem požiadaviek na infraštruktúru musia poskytovatelia cloudových služieb upraviť svoje zákaznícke zmluvy, aby zodpovedali požiadavkám GDPR. Dodávatelia IT by mali byť pripravení prevziať zmluvné záväzky vyplývajúce z GDPR už teraz, pokiaľ ponúkajú svojím zákazníkom zmluvy na obdobie dlhšie ako jeden rok.
Môže cloud pomôcť firmám – zákazníkom – s plnením požiadaviek GDPR?
Kvalitné cloudové riešenie môže významne pomôcť, a to hlavne pri napĺňaní požiadaviek GDPR na infraštruktúru a jej zabezpečenie. Poskytovatelia cloudových služieb môžu ponúknuť aj podporné nástroje na splnenie ďalších povinností, akým je napríklad hlásenie bezpečnostných incidentov, či povinnosti týkajúcej sa životného cyklu údajov alebo povinnosti vypracovať posúdenie vplyvu na ochranu osobných údajov. Poskytovatelia cloudových služieb vytvárajú tieto štandardizované nástroje na produkty, ktoré využívajú stovky tisíc zákazníkov po celej Európe a môžu si dovoliť podstatne vyššie investície do týchto nástrojov než zákazník individuálne. To sa výrazne prejavuje aj v oblasti zabezpečenia. Aby ste mali predstavu – spoločnosť Microsoft investuje do zabezpečenia svojich produktov a služieb viac ako miliardu dolárov ročne. Treba si však uvedomiť, že cloudové riešenie samo o sebe nedokáže úplne vyriešiť všetky požiadavky GDPR – ich dodržiavanie vždy zostane úlohou a zodpovednosťou správcu. Keď si zaobstaráte bezpečné auto s množstvom asistenčných systémov, tiež vás nezachráni, pokiaľ sa povedzme nepripútate bezpečnostným pásom alebo budete jazdiť v protismere.
Aké zmeny ste museli urobiť v Microsofte?
Ako jeden z prvých poskytovateľov cloudových služieb ponúka Microsoft produkty pripravené na GDPR, vrátane nevyhnutnej zmluvnej dokumentácie. Konkrétne pre Bing sme nové podmienky ochrany osobných údajov zverejnili už v marci, pre cloudové služby Azure a kancelársky balík Office 365 to bolo začiatkom júna. Online prostredie, napríklad vrátane cookies, však prejde ešte minimálne jednou zásadnou zmenou, ktorú by malo priniesť nové ePrivacy nariadenie. Zverejnenie jeho finálneho znenia sa neočakáva skôr ako na konci roku 2017, a na vyhodnotenie jeho dosahu si tak budeme musieť počkať.
Zlepší sa vďaka GDPR bezpečnosť osobných údajov a bezpečnosť internetu celkovo?
Osobne si myslím, že áno. GDPR vytvára z transparentného zaobchádzania s údajmi a z riadneho zabezpečenia jednu zo strategických priorít pre veľké organizácie aj štátnu správu. To je dôležitý krok na ceste nielen na zvýšenie ochrany osobných údajov, ale aj na vyššiu kybernetickú bezpečnosť. Hoci je GDPR právnym predpisom EU, jeho dosah je fakticky globálny, pretože sa vzťahuje na všetky subjekty, ktoré spracovávajú osobné údaje občanov krajín EU, a EU tak do podstatnej miery ovplyvňuje oblasť ochrany osobných údajov po celom svete.
(článok bol publikovaný v českom vydaní časopisu Euro 26.6.2017)