Jak chránit v běžné každodenní praxi osobní údaje abychom se z toho nezbláznili, ale abychom mohli v klidu pracovat a co nejvíce dodrželi dikci zákona? Z předchozích článků už víme co jsou osobní údaje, máme zpracovanou bezpečnostní analýzu, u osobních údajů si evidujeme účely a důvody zpracování. A jak tedy zajistit fyzickou ochranu nejenom elektronických dat, ale také osobních dat na tištěných dokumentech?
Neomezený přístup k informacím
Přístup zaměstnanců a spolupracujících kolegů (OSVČ) ve firmě k osobním údajům by neměl být neomezený. Nejen proto, že nám to nařizuje GDPR, ale také proto, že to dává smysl i obchodně. Víte co udělá člověk, který pro vás pracuje a rozhodne se odejít? Než vám dá výpověď, stáhne si preventivně databázi klientů. Třeba se mu hodí k rozjezdu vaší konkurence…
Proto je v rámci zvýšení ochrany osobních údajů dobré se zamyslet nad tím, kdo a k jakým datům a dokumentům má přístup. Je například zcela běžné, že:
...přístup k hlavnímu firemnímu emailu má několik zaměstnanců zákaznické podpory, jejich vedoucí a kolegyně z prvního patra, která občas zaskakuje…
...klientské složky se všemi dokumenty jsou nahrány na cloudu, kam se dostanou všichni zaměstnanci, co kdyby zaskakovali za chybějícího kolegu a nutně potřebovali informaci…
... realitní kancelář eviduje databázi všech realizovaných zakázek s fotografiemi, detaily nemovitostí, s otevřenými kontaktními údaji pro sestavení jakési cenové mapy v dané lokalitě…
Fyzické zabezpečení
Jistě není nutné zmiňovat, že provozovny a kanceláře musíte zamykat. To byste asi dělali i bez GDPR. Na druhou stranu již nebude například možné, aby se klientské složky volně “povalovaly” po stolech nebo k nim měl kdokoliv volný přístup.
Nastavte procesy a oběh dokumentů ve firmě tak, aby byly dokumenty a smlouvy s údaji pod zámkem. Pokud s nimi bude chtít někdo fyzicky nakládat, měl by existovat výpůjční řád a směrnice s interními pravidly. Doporučuji maximum informací dnes převádět do elektronické podoby, kde se pak s úpravou pravidel a umožnění dalšího přístupu pracuje snadněji.
Elektronická bezpečnost
Kde všude zpracováváme osobní údaje? Tak primárně je to v telefonu, v diáři, na disku počítače, v cloudu kam ukládáte data k zálohování nebo ke sdílení s ostatními a v dalších aplikacích (Facebook, Twitter, Scanner v telefonu apod.).
Nastavení hesel
Začněme určitě tím základním a to je nastavením bezpečných hesel. Nejenom to, že byste neměli používat telefon bez hesla, ale heslo by mělo být dostatečně silné, aby obstálo v případě ztráty telefonu. Moderní telefony také umožňují data “zničit” na dálku, třeba ze svého notebooku. To se hodí právě v případě ztráty nebo odcizení.
Ke správě hesel doporučuji začít používat některou z elektronických “peněženek”. Já například používám www.lastpass.com, kam si ukládám všechna hesla k různým aplikacím a účtům. K této službě pak mám heslo, které je 14 znaků dlouhé, má několik číslic, zástupných znaků atd. Tedy jedno extrémně silné heslo, které slouží k přístupu k těm dalším. POZOR: nepište si to heslo do peněženky na lísteček ! 🙂
Používané aplikace
Pokud používáte aplikace na správu dokumentů nebo kontaktů, používejte jen ty ověřené a ty co jsou s GDPR v souladu. Platí zde pár pravidel, o kterých jsem již také psal. Například služba vám musí umožnit “uzavřít” (i elektronicky) zpracovatelskou smlouvu. To je prohlášení provozovatele aplikace, že dodržuje bezpečností zásady dané EU, data jsou ukládána na discích v rámci EU atd.
POZOR na neplacené verze různých emailových služeb! Dle mých informací může Google poskytovat třetím osobám data z bezplatných gmailových účtů. Pokud využíváte placený Gsuite, je situace jiná. Toto je vždy nutné si ověřit. Asi jsme všichni zaznamenali v posledních dnech různá bezpečností hlášení o ochraně osobních údajů od aplikací typu Google Analytics, Twitter, Facebook apod.
Udělejte si ideálně pořádek v aplikaci i v počítači, vymažte nepoužívané aplikace, které by mohly pracovat s osobními údaji.
Šifrování
Pro elektronická zařízení se doporučuje používat šifrování. Nemluvím o komunikaci mezi zařízeními nebo o elektronické poště. To je již dnes standardem. Mluvím o zašifrování dat na disku pro případ odcizení. Tím zabráníte tomu, aby profík vyjmul z vašeho počítače disk a napojením na jiné zařízení přečetl data na něm uložená.
Nezapomeňte, že v případě úniku dat jste vy tím, kdo za jejich ztrátu ponese odpovědnost.
Přístup lidí do systému
Osobně to vidím tak, že GDPR chce po nás jednoduchou a logickou věc - bezpečnost nás obyčejných uživatelů. Není ovšem tak jednoduché vše v praxi správně nastavit…
Myšlenka je taková, že nikdo by ve firmě neměl mít přístup k více informacím, než které potřebuje k výkonu své práce. A to ať se již jedná o obchodníky, vedoucí nebo externí marketingovou firmu. Proč by například člověk, který řídí facebookové kampaně měl mít přístup k datu narození klientů nebo k adrese trvalého pobytu?
Jsou případy, kdy v rámci marketingu cílím na určitou lokalitu, k tomu bydliště potřebuji. Nicméně v tu chvíli nepotřebuji vědět přesnou identifikaci člověka, který tam bydlí. Rozumíte mi? Vždy bychom měli přemýšlet systémem… jaké minimum informací bude stačit danému člověku k vykonání své práce…
Jak zpřístupnit všechno a nic
Jsou ovšem případy, kdy skutečně potřebujete umožnit přístup některým lidem ve firmě ke všem informacím… Někdy je to z důvody přípravy statistických údajů, někdy je to pro potřeby účetní nebo marketingu. Nicméně tam nám GDPR říká, že bychom měli využít v maximální možné míře skrývání údajů umožňujících odhalení konkrétní osoby.
Anonymizace
Ideální pro statistické účely. Například potřebuji vědět, kolik klientů si koupilo minulý rok určitý produkt. K tomu nepotřebuji vidět konkrétní údaje o klientech, ale jen přehled objednávek daného produktu, cenu, datum apod. Takovéto údaje klidně mohu poskytnout i jiným lidem, protože nikdo není schopen teď ani v budoucnu pomocí žádného klíče dohledat konkrétní osobu, která za určitým údajem stojí.
Pseudonymizace
Uveďme si příklad: Chcete od kolegů aby připravili přehled nezaplacených faktur za celou společnost, aby jiní kolegové dlužníky obvolali. V tomto případě nebude nutné, aby daný pracovník viděl kontaktní údaje firem, jména jednatelů, emaily, telefony, přehled všech historických faktur a poznámky obchodníků z terénu.
Plně mu postačí pokud uvidí přehled nezaplacených faktur, která mají svá pořadová čísla a k nim může existovat číselník kontaktních osob. Tedy je ale možné, aby oprávněná osoba následně spárovala jeden údaj s druhým, ale ten dotyčný pracovník tuto možnost nemá.
Závěrem
Bezpečnost dat by měla být součástí ochrany obchodního tajemství, jen na ni v praxi zapomínáme a ignorujeme rizika, která hrozí při úniku takových informací. Co dělat, když osobní údaje uniknou, na to se zaměřím v příštím článku.
Předchozí díl je zde: GDPR – studené kontatky, volání, emailing, zasílání nabídek 4. část
Pokračování série je zde: GDPR a pracovněprávní vztahy – 6. část