Čo je to GDPR a prečo je dôležité?
Všeobecné nariadenie o ochrane osobných údajov, alebo GDPR, určí nové pravidlá pre súkromie, bezpečnosť a súlad so zákonmi na globálnej úrovni. V dátami poháňanej ekonomike je životne dôležité chrániť súkromie ľudí, ktorých dáta poháňajú ekonomiku, a dosiahnuť vysokú úroveň dôvery na oboch stranách. Toto je jeden z kľúčových dôvodov, prečo má GDPR vstúpiť do platnosti ako nový zákon Európskej únie na ochranu dát. Nahrádza nariadenie Data Protection Directive, ktoré platilo od 1995. Aj keď GDPR zachováva viacero princípov zo staršej direktívy, je to oveľa ambicióznejší zákon. Jednou z jeho najvýraznejších noviniek je to, že GDPR dáva jednotlivcom väčšiu kontrolu nad svojimi osobnými údajmi a zavádza mnoho nových povinností pre organizácie, ktoré zbierajú, spravujú alebo analyzujú osobné dáta. Nariadenie GDPR dáva aj nové kompetencie národným regulátorom postihovať organizácie, ktoré porušujú zákon, vysokými pokutami a umožní im oveľa užšie spolupracovať navzájom.
Je výhodné používať cloudové služby v súvislosti s GDPR?
Áno. Aj keď žiadna cloudová služba nezbaví zodpovednosti majiteľa dát plniť podmienky GDPR, no môže výrazne znížiť prevádzkovú záťaž a minimalizovať bezpečnostné riziká. Môžeme to prirovnať k šoférovaniu auta: používať cloud je ako mať zapnuté bezpečnostné pásy, airbag a riadiaceho asistenta, ktoré robia vašu jazdu pohodlnejšou a bezpečnejšou. No stále je to šofér, ktorý si musí zapnúť pás, použiť nástroje a nepožívať alkohol pred jazdou.
Jedným z najväčších problémov, na ktoré narážajú organizácie, sú neštruktúrované osobné dáta, čiže tie, ktoré majú ľudia v emailoch a v rôznych dokumentoch na svojich počítačoch. Cloudové služby ako Office 365 poskytujú nástroje (napríklad eDiscovery), ktoré pomáhajú lokalizovať dáta, riadiť práva (kto má k čomu prístup) a môžu pomôcť aj so spravovaním dát, napríklad keď máte jednu verziu dokumentu s osobnými údajmi na SharePointe a zdieľate iba link k nemu, namiesto distribúcie dokumentu v prílohe emailu. Oveľa ľahšie zmeníte či zmažete osobné informácie, ak máte iba jeden dokument na SharePointe, než keď musíte hľadať viacero rôznych príloh v mailovej schránke niekoľkých ľudí.
Pokiaľ ide o bezpečnosť, Windows 10 – čo je operačný systém poskytovaný ako služba – aktívne prispieva k ochrane dát proti ransomware a škodlivému software. Používanie Microsoft cloudu (Azure) namiesto vlastných serverov je aj značným zvýšením zabezpečenia dát. Servery môžu byť ukradnuté, zatopené atď. a organizácie bývajú zabezpečené iba tak, ako si môžu dovoliť. Dáta uskladnené v Azure majú najvyššiu úroveň ochrany a Microsoft má množstvo certifikátov a auditov, vrátane tých naviazaných na GDPR. Ak používate vlastný server, musíte získať a aktualizovať tieto certifikáty vy sami.
Toto je len pár príkladov, mohol by som uviesť kopec ďalších, ale iba to skúsim zhrnúť: Naše cloudové služby vám môžu pomôcť zmapovať a usporiadať dáta, splniť a manažovať požiadavky súvisiace s ochranou dát proti mnohým bezpečnostným rizikám.
Kde sa nachádzajú servery O365 a Azure a zodpovedá to pravidlám GDPR o prenose dát mimo EÚ?
Začnem všeobecnými princípmi, ktorými sa riadime pri všetkom, čo robíme vo vzťahu k dátam. V Microsofte sme vždy dbali na to, aby boli naše technológie, vyvíjané produkty a služby dôveryhodné a vždy sme mali na mysli súkromie, bezpečnosť a transparentnosť. Vlastne, bezpečnosť je neodmysliteľnou súčasťou všetkých našich produktov od manažmentu identity cez plánovanie informácií až po analytiku a rizikový manažment.
Súlad s medzinárodne uznávanými štandardmi ako tie, ktoré stanovuje ISO a ďalšie tretie strany, dáva zákazníkom pocit istoty a oni si tak môžu užívať kľúčové výhody cloudu ako efektivita, flexibilita a bezpečnosť. Napríklad, cloudové služby Microsoft Azure spĺňajú 70 rôznych medzinárodných a priemyselných certifikácií a atestácií.
Okrem toho veríme, že dáta zákazníkov patria im a iba im a toto presvedčenie podčiarkuje náš záväzok na úplnú transparentnosť pokiaľ ide o to, kde sú dáta uložené a ako sa využívajú.
V súvislosti s GDPR treba povedať, že Microsoft ukladá dáta našich európskych zákazníkov v našich datacentrách v EÚ, najmä v Írsku a Holandsku, no naďalej pokračujeme v rozširovaní našich datacentier v Európe. Tieto datacentrá majú podporu datacentier v ďalších lokalitách, aby sme mohli poskytovať 24/7 podporu. Čo sa týka uchovávania dát v EÚ a ich prenosu mimo EÚ, GDPR nijako zásadne nemení pravidlá nastavené predchádzajúcou direktívou. Na naše kľúčové cloudové služby ako Office 365 alebo Azure sa vzťahuje nielen Privacy Shield ale aj Standard Contractual Clauses (EU Model Clauses) prijaté Európskou komisiou. Súčasné nastavenie si tak nevyžaduje žiadne zmeny.
Navyše, do našich zmluvných podmienok používania online služieb sme pridali nové podmienky a zásady, ktoré nadväzujú na GDPR. Na GDPR sa pripravujeme už dva roky, aby sme sa uistili, že naše služby toto nariadenie spĺňajú a teraz môžeme tieto naše skúsenosti odovzdať našim zákazníkom a pomôcť im splniť požiadavky nového nariadenia.
Približne ako dlho trvá proces prechodu k dodržiavaniu GDPR?
Ťažko povedať, keďže to záleží od veľkosti a komplexnosti danej organizácie rovnako ako na oblasti podnikania – niektoré organizácie pracujú s oveľa väčším množstvom osobných údajov ako iné.
Príprava na GDPR je proces, ktorý si vyžaduje plánovanie, implementáciu a neustálu rekalibráciu, keďže praktická aplikácia 25. mája iba začne. Je to ako keď sa balíte na dlhú cestu na nové územie, ale tá cesta sa 25. mája ešte len začne, nie skončí. Kvalita prípravy, výbavy, ktorú si zbalíte, rozhodne, ako rýchlo pôjdete, či zostanete na ceste alebo sa zaseknete na prvej prekážke. Kľúčové je zvoliť si vhodné nástroje, aby ste mohli hladko napĺňať všetky požiadavky a vysporiadať sa s incidentmi tak, aby to váš biznis nespomalilo, ale ideálne ho ešte nakoplo.
Prináša GDPR aj nejaké pozitíva či nové príležitosti?
Jednoznačne! GDPR vnímame v mnohých ohľadoch ako veľkú príležitosť. Po prvý raz dokážu organizácie nielen zbierať a uchovávať obrovské množstvá dát, ale aj meniť tie informácie na poznatky prediktívneho charakteru. Ako vraví Satya Nadella, dáta sa stávajú novou elektrinou, ktorá poháňa firmy. Toto otvára dvere produktivite a inováciám, spoločnostiam vrátane neziskových organizácií to pomáha vopred reagovať na potreby zákazníkov cez analýzy založené na dátach a poháňa to novú generáciu inovátorov. Toto všetko sa nakoniec premietne do rastu. Organizácie by sa nemali sústrediť iba na to, aby dodržali nové pravidlá. Je to príležitosť vidieť, začať a upevniť využívanie dát ako motor rastu. Organizácie, ktoré majú jednotnú stratégiu na zužitkovanie, manažovanie a správu dát to nielen že zúročia, ale budú z toho profitovať ešte ďalšie desiatky rokov.
Kľúčovým hráčom je tu dôvera. Ľudia sa podelia o dáta iba vtedy, keď uveria, že sa pri ich spracovaní rešpektuje ich súkromie. Verím, že nezisková organizácia, ktorá to zvládne, sa týmto odlíši od ostatných a bude žiadaným partnerom pre komerčný sektor, keď príde na fundraising a vytváranie spoločných hodnôt. Žiadna z uznávaných korporácií nebude chcieť riskovať svoju reputáciu partnerstvom s organizáciou, ktorá nechráni dáta svojich klientov.