Přehled oblastí, kterých se z našeho hlediska dotýká GDPR a shrnutí našich kroků při jeho zavedení.
Když jsme poprvé slyšeli o novém nařízení GDPR, mysleli jsme si, že se jedná jen o novou verzi našeho starého zákona na ochranu osobních údajů. Ale čím více jsme se GDPR zabývali, přicházeli jsme na to, že se jedná o radikální změnu přístupu nejen k osobním údajům, ale k datům všeobecně, která zasáhne velkou část našeho provozu a bude se týkat i služeb a produktů poskytovaným našim zákazníkům.
I když samo nařízení obsahuje spoustu pokynů a povinností, a mnohde se zdá být neurčité nebo nedomyšlené, klíčová myšlenka, která ho prostupuje je vlastně jednoduchá: zpracovávat osobní údaje bude nadále možné jedině, když je předem jasný účel, a tento účel je povolen zákonem, je s ním v souladu.
Když jsme se podívali, kde nás GDPR jako firmu z oblasti ICT a softwaru ovlivňuje, identifikovali jsme následující oblasti:
Náš provoz
V tom nebudeme výjimeční: každá obchodní firma má ERP a CRM pro zpracování obchodní agendy, má zaměstnance a jejich mzdovou evidenci, komunikuje pomocí emailu a vytváří dokumenty ukládané v souborech. Náš přístup bude v tomto ohledu tedy „standardní“, použijeme široce přijímanou metodiku: Identifikovat osobní údaje, určit účel a zákonnost zpracování, zvážit rizika s tím spojená, stanovit politiku pro dobu zpracování a zabezpečení, nastavit oprávnění osob, zajistit výpočetní techniku šifrováním, papírové dokumenty lépe zamknout. V neposlední řadě vše sepsat, proškolit lidi a vše průběžně kontrolovat. Velký důraz budeme klást i na transparentnost při zpracování osobních údajů a splnění informační povinnosti jak vůči interním, tak externím subjektům.
Naše služby
V oblasti služeb poskytujeme dvě kategorie služeb, které budou vyžadovat rozdílný přístup. Instalační a servisní služby poskytované našim zákazníkům budou vyžadovat především zajištění dat našich zákazníků, které k takovým činnostem potřebujeme (jako jsou projekty a dokumentace, konfigurace, zálohy, přístupové údaje). Budeme se soustředit i na přesnější stanovení, které údaje potřebujeme vůbec ukládat a jak dlouho a kdo z našich technických specialistů k nim potřebuje přistupovat. K existujícím servisním smlouvám a smlouvám o dílo doplníme části mířící na ochranu osobních údajů a vymezení čím přesně nás zákazník pověřuje. Kromě školení našich specialistů budeme doplňovat i NDA uzavřená v rámci pracovních smluv. Druhou kategorií je poskytování cloudových služeb a pronájem technologie. Zde se navíc zaměříme na vyšší bezpečnost těchto technologií jak po stránce IT (dodatečné šifrování, vyšší stupeň zabezpečení, eliminace rizika zmenšením expozice systémů a vypnutím nepotřebných funkcí), tak i po stránce fyzické bezpečnosti (zamykání, kamerové systémy, procesní pravidla při práci v datacentru). Očekáváme uzavření smluv mezi námi a zákazníky o zpracování osobních údajů v souladu s nařízením GDPR.
Náš software
Při vývoji software, který dodáváme našim zákazníkům, nebo tvoří základ námi poskytovaných služeb, věnujeme maximální pozornost bezpečnosti už nyní. Nově v našich produktech implementujeme takové struktury a nástroje, které mají za cíl dovolit jejich uživatelům být v souladu s GDPR. Rozšiřujeme databáze o metadata sledující účely a legalitu zpracování. Metadata umožní přesně řídit a monitorovat přístup k osobním údajům klientů a rozlišovat stupeň citlivosti těchto údajů ve strukturovaných i nestrukturovaných datech. Mezi funkce podporující soulad s GDPR pak bude patřit schopnost vypsat všechny osobní údaje k dané osobě, schopnost automaticky znepřístupnit a smazat data, pro která již správce údajů nemá legalizaci (např. proto, že byl odvolán souhlas se zpracováním). Nepřímou souvislost s GDPR má nová funkce pro archivaci a přesun dat mimo produkční systémy. Rovněž zdokonalujeme funkci znalostní báze, které je s metadaty propojena a dovolí vám dokumentovat vaše procesy a demonstrovat tak soulad s GDPR nařízením. U softwaru a zařízení pro nahrávání hovorů nebo obrazovek pak připravíme metodiku, jak s pořízenými záznamy pracovat a nástroje na jejich třídění a výmaz.
Naše produkty a zboží
Jakožto distributor mnoha ICT produktů a technologií sledujeme, jak jsou ovlivňovány GDPR. Pro určité skupiny zboží buď sami vydáme metodiky, nebo shromáždíme doporučení od výrobců, jak s ním pracovat, abyste se vy, naši zákazníci, vyhnuli případným kolizím s GDPR. Máme na mysli např. CCTV kamery, systémy pro rozpoznávání SPZ, systémy pro automatickou kategorizaci osob v prostoru, ale i telefonní ústředny a v nich uložené telefonní seznamy, nebo videokonferenční systémy pro streamování seminářů. Spousta z těchto produktů může být vámi, našimi zákazníky, použita pro zpracování osobních údajů a při vašem procesu implementace GDPR budete potřebovat znát jejich vlastnosti a úskalí při jejich nasazení.
Závěrem bychom vás chtěli ujistit, že budeme i nadále postupovat flexibilně a vycházet vstříc vašim potřebám. Spolu s námi se vám podaří vyrovnat se s dopady GDPR, ale i dalších předpisů z oblasti ochrany soukromí, jako například blížící se směrnice označovaná jako ePrivacy.