GDPR – nové nařízení EU o ochraně osobních údajů a také tajemná zkratka, která dokáže vyvolat v nejedné firmě vážné obavy. Jedná se však spíše o nechuť pochopit podstatu tohoto nařízení. Mnohým firmám přitom může pomoci uvědomit si co dělali špatně a riskovali tím třeba pověst svého podnikání.
GDPR se týká každé firmy a to nejen ve vztahu k zákazníkům, ale i ve vztahu k zaměstnancům a má samozřejmě různý rozsah.
GDPR úzce souvisí s technologiemi pro hromadnou správu a zabezpečení mobilních zařízení (Enterprise Mobility Management – EMM).
Tyto technologie jsou v GDPR dokumentaci výslovně jmenovány jako riziko ve vztahu ke zpracování osobních údajů. Správné nasazení a používání těchto technologií ve firmách podléhá specifickým podmínkám a mělo by být dokumentováno vypracováním speciální studie.
Zaměstnavatel nasazení technologií pro monitorování (jako jen např. EMM nebo DLP) provádí na základě svého oprávněného zájmu – ochrany dat, sítě, majetku apod.
Prostřednictvím EMM technologií má však zaměstnavatel přístup také k některým osobním údajům zaměstnance a tyto údaje je třeba dokonale zabezpečit. O jaké osobní údaje se jedná? Mohou to být geolokační údaje, údaje o instalovaných aplikacích, sledování zařízení a ukládání informací z něj v reálném čase a mnohé další, které o zaměstnanci, uživateli mobilního zařízení s nasazenou EMM technologií, prozrazují informace z jeho osobního života.
Další částí této problematiky je implementace EMM technologií na soukromých zařízeních používaných pro práci (BYOD). Koncept BYOD je velice progresivní model zaměstnanecké politiky zvyšující pracovní komfort zaměstnanců a můžeme také hovořit o propojení soukromého a pracovního života.
Například takový monitoring zařízení, který lze díky EMM technologii provádět, představuje citlivý zásah do soukromí zaměstnance a je nutné rozlišovat mezi soukromým a služebním použitím zařízení. Do těch částí, která jsou používána jen pro soukromé účely, nesmí být ze strany zaměstnavatele vstupováno. Při sledování polohy a provozu těchto zařízení nesmí být zpracovávána data týkající se soukromého a rodinného života zaměstnance.
Tato problematika je ve vztahu ke GDPR řešena ve Stanovisku 2/2017 ke zpracování osobních údajů na pracovišti a vydala jej pracovní skupina, která je nezávislým evropským poradním orgánem pro otázky ochrany údajů a soukromí.
Před nasazením jakékoli výše popsané technologie by mělo být vypracováno Posouzení vlivu na ochranu osobních údajů (tzv. DPIA neboli Data Protection Impact Assesment). Samotné DPIA je proces, který se provádí na základě speciálního dokumentovaného postupu. Toto posouzení zhodnotí, zda je nasazení EMM nezbytné a zda související zpracování dat odpovídá zásadám GDPR. Při posouzení je nezbytné analyzovat i data, která jsou ukládána v databázi EMM, nejenom data přístupná přes administrátorskou konzoli.
Jakékoli zpracování dat zahrnujících zdravotní údaje je považováno za nezákonné a je výslovně zakázáno, a to i v případě, že se jedná o agregované informace nebo anonymizované údaje. Data zaznamenávají např. fitness náramky a data by tedy měla být dostupná jen zaměstnanci, tedy tomu, kdo takové zařízení používá, nikoli zaměstnavateli.
Firmy, které již mají implementovanou některou z EMM technologií a nebo o této implementaci teprve uvažují, musí o tomto kroku přemýšlet také ve vztahu ke GDPR.
Společnost System4u, implementátor EMM technologií, dokáže posoudit aktuální nastavení EMM z pohledu souladu s požadavky GDPR, v případě nalezeného nesouladu doporučit nejhodnější řešení a také vypracovat DPIA dokument.
Petra Holubcová, System4u a.s.
(Partnerský příspěvek)
Výdaje na mobilní produkty porostou letos i v dalších letech, přičemž podle analytiků IDC k růstu investic přispěje mimo jiné...
