3 věci, ve kterých vám Office 365 pomůže s GDPR
O GDPR už jste pravděpodobně slyšeli. Média se touto přísnou právní normou zabývají v poslední době častěji než Agátou Hanychovou a Kim Kardashian, což jsou pro mě dvě zásadní měřítka – když ty něco překoná, je to už opravdu vážná věc. Ale jestli žijete izolováni ve své bublině a zmíněnou démonickou zkratku jste ještě nezaznamenali, začneme krátkým opáčkem.
Co je to GDPR
Jednoduše řečeno je to právní nařízení z dílny Evropské unie, která vytáhla do boje za ochranu osobních údajů fyzických osob. Ačkoliv ji za to mnozí kritizují, já osobně tento záměr vidím jako správný. Když někomu vysvětlíte, co všechno o něm vědí firmy jako Google nebo Facebook, v devíti z deseti případů je výsledkem pokleslá čelist a okamžité pořízení nějakého softwaru na ochranu digitální identity, jako je například Kaspersky Security.
Tradiční problém EU legislativců spočívá v tom, že když už se do něčeho pustí, vezmou to „od podlahy“ a z původní rozumné myšlenky stvoří monstrum. GDPR směrnice má 88 stran a i zkušený právník se při jejím studiu zapotí. Ještě větší stres mu pak způsobí praktické dotazy podnikatelů, kteří jsou touto normou zasaženi, protože GDPR obsahuje spoustu obecných frází, jež si každý může vyložit jinak. Jediný velmi konkrétní bod je drakonická pokuta až 20 milionů EUR nebo 4 % ročního obratu firmy, podle toho, co je větší.
Tohoto zmatku a strachu z likvidačních pokut obratem využili různí podnikavci, kteří pozakládali eseróčka se základním jměním tisíc korun. Nechají si dobře zaplatit různé rady a jednoduché dotazníčky a při prvním problému svého klienta otočí firmu do bankrotu. Nezapomínejte, že ať už vám s GDPR radí kdokoliv, plná zodpovědnost je jen a pouze na vás.
Proto doporučuji, abyste se seznámili s nějakým solidním výkladem GDPR a sami s použitím vlastního rozumu promysleli, jaké změny je potřeba ve vaší firmě udělat. GDPR totiž mnohem víc spočívá v procesech než v nějakém „tvrdém“ zabezpečení. A nezapomínejte ani na to, že pokuta 20 milionů EUR je maximální strop a reálné pokuty se budou nejspíš rozdávat mnohem níž.
Pokud inspektor na vaší straně uvidí jasnou snahu věc řešit a neuniknou vám zrovna supercitlivá data typu zdravotní záznamy, ale například „jen“ seznam jmen a e-mailových adres, pravděpodobně to nějak ustojíte, podmínkou však je, že jste zavedli odpovídající technická a organizační opatření, tzv. „záměrnou a standardní ochranu osobních údajů“. Mezi opatření, která můžete snadno nasadit, nejsou drahá, ale přitom jsou velmi účinná, je použití vhodného softwaru pro fungování vaší firmy.
1. Zahoďte starosti do cloudu
Pokud pro provozování elektronické pošty, ukládání dat nebo zálohování používáte vlastní servery, které si stavíte sami nebo to pro vás dělá nějaký šikovný externí ajťák, nesete vy z pohledu GDPR plnou zodpovědnost za zabezpečení všech těchto dat. Při kontrole se budete zpovídat z toho, jaké technologie používáte, a inspektora neoblomí to, že nová verze zabezpečení pro vás byla moc drahá, a tak máte verzi z roku 2012, která ale byla prolomena už v roce 2013 a všude po internetu jsou návody, jak se k vám nabourat.
Inspektora také nebude zajímat, že váš externí ajťák používá u všech svých klientů stejné admin heslo, a tudíž se nějaký šikula dostal i k vám a vykradl vám databázi. Neuspějete ani s tím, že jste měli server za dveřmi se dvěma zámky. Zloděj se k němu přesto dostal, odnesl si ho a má vaše data k dispozici. Všech těchto selhání a následných pokut se můžete snadno vyvarovat tím, že přesunete svoje e-maily a soubory do Office 365.
Od té chvíle máte na své straně silného partnera Microsoft, který do zabezpečení svých datových center investuje obrovské sumy peněz a automaticky vše aktualizuje na nejnovější verze softwaru, což by vaše peněženka sotva unesla, kdybyste si totéž měli udržovat u sebe. Microsoft se tím stává zpracovatelem dat a přebírá na sebe povinnosti s tím spojené.
Jinými slovy – zaplatíte pár stokorun měsíčně za to, že se o vaše data na špičkové úrovni stará někdo jiný, a ještě s tím získáte všechny další výhody Office 365. Odcizí-li vám zloděj vaše počítače, o svá data nenávratně nepřijdete, neboť nejsou v nich, nýbrž v cloudu. Vy si přinesete nový notebook a po zalogování do vašeho cloudového účtu Office 365 máte vše opět k dispozici. Je to elegantní, praktické a levné. A pokud bude notebook s Windows i šifrovaný pomocí funkce BitLocker, pak z toho nic nežli notebook bez dat zloděj mít nebude.
2. Šifrování a Data Leakage Prevention
V GDPR nejde jen o ochranu vašich firemních dat před vetřelci z temného internetového podsvětí. Mnohem častěji dochází k únikům dat selháním vlastních zaměstnanců, ať už to jsou úmyslné činy, kdy zaměstnanec ze msty či pro své vlastní obohacení poškodí svého zaměstnavatele, nebo neúmyslná pochybení nedbalostního charakteru, která ale mají v důsledku stejně neblahý dopad.
Zaměstnanec, který se chystá odejít, si začne přeposílat na soukromý e-mail desítky dokumentů. Vytuneluje svého zaměstnavatele a se spoustou cenných informací odchází ke konkurenci nebo zakládá vlastní business. Office 365 vás na podezřelé chování upozorní. Dokáže sledovat i formáty, jako jsou čísla bankovních účtů, kreditních karet nebo cokoliv jiného, co si nadefinujete. Pak si můžete nastavit, jestli e-maily obsahující takové informace vůbec nepustíte z firmy, nebo je dovolíte odeslat, ale dostanete o nich notifikaci.
Velmi účinné je také šifrování dokumentů. Jako autor dokumentu určíte, kdo jej smí otevřít, kdo jej smí editovat, kdo jej smí či nesmí přeposlat dál. Můžete třeba nastavit, že tento dokument otevřou jen vaši zaměstnanci a že se přes Azure Active Directory před otevřením dokumentu vždy ověřuje, jestli je daný člověk přihlášený a má platný účet, neboli zda je vaším zaměstnancem.
Pokud už zaměstnancem není, i kdyby si přeposlal všechny e-maily na soukromý účet, Microsoft mu nedovolí žádný dokument otevřít. Při ověřování totiž zjistí, že identita daného uživatele už není v seznamu Active Directory daného zaměstnavatele, a tudíž uplatní pravidlo, že nezaměstnanec k dokumentu už nemá přístup.
Můžete například nastavit, že veškeré e-maily a jejich přílohy poslané generálním ředitelem nelze vytisknout ani z nich udělat printscreen. Nebo že všechny zprávy jdoucí z finančního oddělení či externí účetní firmy nelze přeposlat. Všechna tato pravidla si můžete jednoduše naklikat v Exchange Online, který v Office 365 spravuje elektronickou poštu.
Pokud navíc zavedete procesní pravidlo, že každý dokument je uložen jen jednou v jednom centrálním sharepointovém úložišti, přestanou vám v e-mailech lítat desítky příloh, neboť si všichni budou přeposílat pouze link na daný dokument, na kterém nastavíte taková oprávnění, jaká potřebujete.
3. eDiscovery aneb kde všechna ta data jsou
Další zajímavou novinkou GDPR je vaše povinnost sdělit fyzické osobě na její požádání, jaká osobní data o ní vedete. Rovněž je vaší povinností tyto osobní údaje na požádání fyzické osoby smazat. To se nevztahuje na případy, kdy držet nějaký osobní údaj ukládá zákon nebo máte oprávněný důvod, např. uzavřenou smlouvu.
Kupříkladu zákazník, který se u vás zaregistroval, abyste mu každý den posílali na jeho e-mail předpověď počasí, po vás nemůže chtít, abyste nevěděli jeho e-mailovou adresu. Buď si službu zruší, nebo bude muset strpět, že jeho adresu znáte. Možná o něm ale také víte jeho rodné číslo, protože vám ho kdysi poslal v rámci nějaké komunikace. To rodné číslo k ničemu nepotřebujete a na zákazníkovo požádání máte povinnost ho smazat.
V tomto okamžiku nastává typický problém. Musíte zjistit, jaká data o dané fyzické osobě víte a kde jsou uložená, abyste je mohli smazat. E-mail s rodným číslem zákazníka přišel na info@vašefirma.cz. Zde si ho přeposlali tři pracovníci mezi sebou. Každý ho má v počítači, jeden z nich uložený navíc v telefonu. Další zaměstnanec e-mail uložil jako dokument na SharePoint a rodné číslo zapsal do profilu zákazníka v excelovské tabulce, k níž mají přístup další dva lidi.
Protože se jednou zákazník opozdil s platbou, zapsal si jeho rodné číslo pracovník účtárny do Access databáze, kterou sdílí i s oddělením reklamací – zákazník se totiž jmenuje Jan Novák a těch mají mezi zákazníky několik, tak aby měli další informaci, podle níž mohou určit toho správného Jana Nováka.
A mohli bychom vymýšlet další scénáře, co se s rodným číslem mohlo stát. S nástrojem eDiscovery, který je součástí i toho nejlevnějšího plánu Office 365, zadáte klíčové slovo, a nástroj prohledá celé vaše prostředí Office 365. Identifikuje, kde všude se daný údaj nachází, a vy pak můžete pohodlně všechny tyto výskyty smazat a klidně spát, protože před zákonem máte splněno.
Office 365 a GDPR
Nezbývá než se smířit s tím, že tu GDPR je, a i když se pravděpodobně reálné pokuty maximální hranici blížit nebudou, i nižší sankce vás bude bolet. Nepříjemná je i povinnost hlásit veškeré incidenty, a to nejen úřadům. Nejmenovaný velký e-shop se takto musel veřejně přiznat svým zákazníkům, že mu kdosi odcizil tisíce přihlašovacích údajů, a to pracně budované reputaci firmy také nepřidá.
Proto se vyplatí udělat si ve svém podnikání procesní a softwarový pořádek. Nevěřte nikomu, kdo bude tvrdit, že si stačí koupit Office 365, a máte hotovo. Zabezpečení osobních údajů je jen jedna z povinností, které GDPR ukládá. Na druhou stranu je tento osvědčený kancelářský software jedním z nejlepších a nejdostupnějších nástrojů, jaké můžete nejen pro GDPR využít. Pokud jej navíc doplníte o profesionální zálohování těch nejcitlivějších dat do zvláštního archivu, můžete se vůči GDPR cítit zase o něco bezpečněji.
