Snížení rizik v éře transparentnosti

U příležitosti mezinárodního Dne ochrany osobních údajů (Data Protection Day), který připadá na 28. ledna, přinášíme komentář Daniela Frieda, generálního manažera a hlavního vice prezidenta pro oblast EMEA a globální prodejní kanály ve společnosti Veeam Software.

Otázka ochrany dat a soukromí byla donedávna předmětem diskusí pouze omezených skupin lidí v rámci organizací. Pokud jste nebyli IT konzultant nebo podnikový právník, bylo dodržování pravidel ochrany osobních údajů záležitostí, o kterou se staral někdo jiný. Tak jak jsme se tedy dostali do situace, kdy je mnoha organizacím zákonem nařízeno najmout si někoho do funkce tzv. Pověřence pro ochranu osobních údajů (Data Protection Officer, DPO)? Proč se najednou tolik generálních ředitelů zajímá o zabezpečení dat a o pravidla na ochranu osobních údajů jejich společnosti? 

Můžete si sice namlouvat, že obor ochrany osobních údajů vzniknul až v roce 2018, ale nic nemůže být dále od pravdy. Z antropologického hlediska touží lidé po soukromí už více než 3 000 let. Dokazuje to například používání dělících zdí uvnitř budov, které se stalo běžným kolem roku 1500 našeho letopočtu. Pojem „právo na soukromí“, jak jej vnímáme dnes, je ale samozřejmě mnohem mladší – ostatně ten byl formalizován jako mezinárodní lidské právo v roce 1948. Švédsko se pak v roce 1973 stalo první zemí, která přijala vlastní zákon o ochraně dat. A i k tomuto prvnímu hmatatelnému úsilí o regulaci ochrany osobních údajů došlo v reakci na obavy veřejnosti z rostoucího využívání počítačů ke zpracování a ukládání osobních dat. 

Přestože naše chápání současných debat o ochraně osobních údajů musí být zasazeno do tohoto kontextu, nelze popřít, že rok 2018 byl skutečně zlomovým okamžikem. Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR) sice může být méně než dva roky staré, ale přesto je jeho dopad zásadní. Vzhledem k její velmi specifické povaze, která činí tuto regulaci vymahatelnou, se nebáli regulátoři kontrolující dodržování GDPR ukázat svaly. K dnešnímu dni vybrali na pokutách téměř 429 milionů eur, což je trvalou připomínkou pro všechny firmy zpracovávající data občanů Evropské unie, že za nedodržování požadavků na ochranu osobních údajů následují sankce.

Nedostatečné dovednosti v oblasti ochrany osobních údajů

Kromě toho, že poskytuje jasnější rámec pro vhodné postupy nakládání s daty, zaměřuje se GDPR při ochraně osobních údajů a soukromí více na lidi. Spíše než na technických standardech a softwarových požadavcích je založeno na základních právech občanů a na tom, jak je mohou lidé v organizaci dodržovat. Jeden z nejkonkrétnějších požadavků GDPR představuje Článek 37, který stanoví, že aby mohly některé společnosti zajistit soulad s regulací, musí jmenovat tzv. Pověřence pro ochranu osobních údajů. Konkrétně jde o jakýkoli veřejný orgán či společnost, jejíž hlavní činnosti vyžadují rozsáhlé sledování jednotlivců nebo spočívají v masivním zpracování údajů o trestních činech. 

Také v případech, kdy není jmenování Pověřence pro ochranu osobních údajů dle GDPR vyžadováno, doporučuje se jako nejlepší postup pro společnosti, které potřebují zajistit zavedení správných postupů pro zpracování dat. Uvážíme-li zjištění nejnovější studie společnosti Veeam Cloud Data Management report, která ukazuje, že organizace z různých odvětví investují v průměru 41 milionů dolarů do nasazení technologií na podporu business intelligence, stávají se zkušení Pověřenci pro ochranu osobních údajů žádaným zbožím. V roce 2018, kdy bylo schváleno GDPR, bylo nutné obsadit až 75 000 volných pozic Pověřenců pro ochranu osobních údajů, přičemž jen v Evropě a USA se jednalo přibližně o 28 000 z těchto pozic. 

Zejména během tohoto přechodného období musí organizace plošně vypěstovat kulturu transparentnosti, pokud jde o způsob, jakým jsou data využívána. Ne každý ve firmě může být expertem na ochranu dat, ale všichni zaměstnanci si musí uvědomit a pochopit základní principy. Kromě toho platí, že zatímco zajištění souladu s GDPR řeší Pověřenec pro ochranu osobních údajů, konečná zodpovědnost je na generálním řediteli. Ochrana dat je proto jak podnikatelské, tak i technologické téma. To znamená, že podniky musí mít zavedenou strategii IT, která umožní spolehlivé postupy při ochraně dat. 

Mysl nad hmotou

Výzkumníci společnosti Veeam zjistili, že tři čtvrtiny manažerů s rozhodujícími pravomocemi v IT se poohlížejí po řešení správy dat v cloudu jako prostředku pro vybudování chytřejší firmy. Správa dat v cloudu spojuje disciplíny jako zálohování, replikace a obnova po havárii napříč celým řešením správy cloudu a dat v organizaci. Zajišťuje, že budou data vždy dostupná, obnovitelná a zabezpečená. Ale stejně jako soukromí dat, je i IT odvětví také lidskou záležitostí. Ve světě, kdy podniky potřebují chránit svá data více než kdy dříve, hledají generální ředitelé, šéfové IT i Pověřenci pro ochranu osobních údajů spolehlivé partnery, kteří jim pomohou snížit rizika jejich správy dat. Taková podpora může mít i podobu konfigurace systémů pro správu dat, poskytnutí technického školení pro administrátory nebo základního školení ochrany osobních dat pro koncové uživatele. 

Den ochrany dat je pro nás všechny tím nejlepším dnem, kdy bychom měli zhodnotit, jakým způsobem používáme a prohlížíme data. A co víc, počátek nové dekády je vhodným okamžikem, kdy bychom si měli uvědomit, že se stále nacházíme uprostřed transformace. Dopad GDPR bude i nadále zásadní, když se budou podniky přizpůsobovat jeho požadavkům a jeho vynucovací orgány budou mít stále méně trpělivosti s těmi, kdo je nedodržují. Další pokuty a pošramocení pověsti budou jen zvyšovat poptávku po Pověřencích pro ochranu osobních údajů, tedy lidech s odbornými znalostmi a chutí pouštět se do výzev organizací v oblasti ochrany osobních údajů. Zatímco investice do technologií, jakými je správa dat v cloudu, bude zásadní pro strategii Pověřence pro ochranu osobních údajů, soukromí je dnes záležitostí lidí. Nejchytřejší investice proto budou směřovat k důvěryhodným partnerům, kteří mohou lidi na všech úrovních organizace provést přísným dodržováním předpisů a pomohou vytvořit autentickou kulturu transparentnosti dat.