Ochrana osobních údajů - aktuální problém pro manažery

Společnost KPMG zveřejnila výsledky studie zabývající se ochranou osobních údajů. Ze studie vyplývá, že společně s růstem úlohy (a ceny) informací v dnešním světě, stává se stále citlivější záležitostí i problém ochrany soukromí a osobních údajů.

Klienti se nejvíce obávají o bezpečnost osobních dat při on-line transakcích, zejména jedná-li se o údaje o platebních kartách nebo jiné klíčové informace. Důvěra samozřejmě není jediným měřítkem, podle kterého se klient rozhoduje, je však nezbytnou podmínkou.
 

 
Zpráva Forrester Brief z 1. prosince 2000 udává, že neochota (a strach) zákazníků sdílet informace osobního charakteru na internetu připravila americké společnosti v roce 2000 o nejméně 12,4 miliardy dolarů (v roce 2000 utratilo 35 milionů Američanů on-line nakupováním 45 miliard dolarů).

Jiný zdroj uvádí, že 94 % uživatelů internetu vyžaduje potrestání osob, které zneužijí osobní data. V případě, že internetová firma poruší svou politiku ochrany osobních dat a použije osobní data způsobem, který jí tato politika zakazuje, je 11 % uživatelů internetu pro potrestání vlastníků této společnosti vazbou, 27 % uživatelů pro finanční trest, 26 % respondentů požaduje zrušení dané webové stránky a 30 % považuje za vhodné její umístění na seznam nedůvěryhodných stránek.

Například z výzkumu společnosti Forrester Research vyplývá, že téměř tři čtvrtiny lidí (72 %) vnímají situaci, kdy podnikatelský subjekt poskytne informace osobního charakteru třetí straně jako zásah, který vysokou mírou narušuje jejich soukromí.

O tom, že strach uživatelů internetu o svá data není jen planým poplachem, dosvědčuje i následující zjištění. Podle studie KPMG nemá mnoho organizací stále přehled o tom, jaké informace zpracovávají, kdo k nim má přístup a jaké mohou být důsledky jejich zneužití. Špatné zacházení s osobními údaji může nejen vést ke značným finančním problémům, ale může hrubě poškodit firemní značku. Náklady na krizovou komunikaci s veřejností týkající se porušení ochrany osobních údajů mohou dosahovat výše několika desítek tisíc dolarů v závislosti na velikosti společnosti a viditelnosti její značky. Tyto náklady nezahrnují ztráty v prodejích a poškození značky.

Nedávno například zaplatila jedna velká americká banka miliony dolarů za prodej důvěrných informací o svých klientech telemarketingové firmě (informace obsahovaly čísla účtů klientů, zůstatky na jejich účtech, čísla sociálního pojištění a telefonní čísla). Zaměstnanci jednoho ministerstva v USA obviňují svého zaměstnavatele, protože umožnil spolupracovníkům přístup k jejich osobním údajům (číslo sociálního pojištění, datum narození). Každý ze 180 000 poškozených požaduje odškodné ve výši jednoho tisíce dolarů.

KPMG vidí řešení tohoto problému ve vypracování a zavedení uceleného programu řízení rizik a ochrany osobních údajů.

Tento program plní v organizacích následující role:

. Vysvětlit problematiku ochrany osobních údajů.
. Ošetřit jejich získávání, využívání a uchovávání.
. Zajistit jejich přesnost, důvěrnost a bezpečnost. Identifikovat problémy plynoucí z poskytování osobních údajů třetím stranám.
. Zajistit slučitelnost s celkovým systémem směrnic.
. Sledovat a vyhodnocovat dopady změn v legislativě.

Vývoj a zavedení tohoto programu nemůže existovat samostatně. Organizace musí přesně vědět, které informace potřebují a shromažďování informací bez dalšího využití musí být eliminováno. Program řízení rizik a osobních údajů by měl být výsledkem společného úsilí několika oddělení společnosti. Důležité je rovněž jasné určení odpovědností. Doporučuje se zavedení specifické pozice, tzv. CPO (Chief Privacy Officer), která tyto aktivity koordinuje. Členy týmu by měli být odborníci z následujících oblastí: řízení informačních rizik a analýzy procesů, managementu, právního oddělení, marketingu, IT i vnitřního auditu. Celý proces ochrany osobních údajů lze popsat životním cyklem o pěti fázích:

. Strategie a identifikace rizik - Tato fáze zahrnuje detailní pochopení fungování společnosti a vnějších vlivů. Organizace musí identifikovat a ohodnotit podnikatelská rizika. Výstupem je jednoznačná strategie v oblasti ochrany osobních údajů.

. Plánování a návrh programu - Strategie je stanovena a nyní je třeba se zaměřit na tvorbu politiky a konkrétního plánu, který zahrnuje všechny úrovně organizace i vztahy s dalšími subjekty. Jednotlivá rizika jsou pokrývána kontrolami.

. Vývoj programu - V této fázi jsou vytvářena konkrétní opatření v oblastech, týkajících se například směrnic, správy lidských zdrojů (školení), oddělení IT (úprava technické architektury).

. Zavedení - Organizace by měla dát svým partnerům jasně na vědomí svůj pokrok v oblasti ochrany osobních údajů. Nová opatření musí být plně zavedena do všech procesů v organizaci.

. Sledování a kontrola - Řízení rizik je činnost dlouhodobá, organizace se musí stále adaptovat na nové podmínky a legislativní omezení. Kvalitu a aktuálnost programu ochrany osobních údajů je velice vhodné si nechat prověřit třetí stranou.

Detailní rozbor tématu naleznete v novém dokumentu KPMG s názvem "A New Covenant with Stakeholders: Managing Privacy as a Competitive Advantage", který obsahuje také přehled mezinárodní legislativy v této oblasti a rozhovory s představiteli předních světových společností na téma ochrany soukromí a osobních údajů.

Konkrétní specifikace sady produktů KPMG v České republice v oblasti ochrany osobních údajů je k dispozici v dokumentu "Zajištění ochrany osobních údajů - aktuální téma manažerů".