facebook

Enterprise Mobility Management versus GDPR

GDPR není jen nutné zlo

system4uGDPR – přicházející nařízení EU o ochraně osobních údajů a také tajemná zkratka, která dokáže vyvolat v nejedné firmě vážné obavy. Jedná se však spíše o nechuť pochopit podstatu tohoto nařízení.


Mnohým firmám přitom může pomoci uvědomit si, co dělaly špatně a riskovaly tím třeba pověst svého podnikání. GDPR se týká každé firmy v různém rozsahu, ale jeho podstata je stále stejná. Chránit a nezneužívat žádné osobní údaje.

EMM technologie a GDPR

Enterprise Mobility Management (EMM) jsou technologie pro hromadnou správu a zabezpečení mobilních zařízení ve firmách. Zaměstnanci přistupují k firemním datům z těchto zařízení prakticky odkudkoli a kdykoli a IT oddělení nesmí nad těmito zařízeními ztratit kontrolu.

GDPR s EMM technologiemi úzce souvisí – na jednu stranu firma musí chránit svá data a na druhou stranu i data, která díky EMM technologiím shromažďuje o svých zaměstnancích. A právě EMM technologie jsou v GDPR dokumentaci výslovně jmenovány jako riziko ve vztahu ke zpracování osobních údajů, v tomto případě zaměstnanců, uživatelů mobilních zařízení s nasazenou EMM technologií. Správné nasazení a používání těchto technologií ve firmách podléhá specifickým podmínkám a mělo by být dokumentováno vypracováním speciální studie.

Firmy do svého interního IT prostředí implementují EMM technologie na základě svého oprávněného zájmu – ochrany dat, sítě, majetku apod. Prostřednictvím těchto technologií má však zaměstnavatel přístup také k některým osobním údajům zaměstnance. Mohou to být geolokační údaje, údaje o instalovaných aplikacích, sledování zařízení a ukládání informací z něj v reálném čase a mnohé další, které o zaměstnanci prozrazují informace z jeho osobního života. A právě tato data je třeba pečlivě chránit, aby nedošlo k jejich zneužití či ztrátě.

BYOD z perspektivy GDPR

Další částí této problematiky je implementace EMM technologií na soukromých zařízeních používaných pro práci (BYOD). Koncept BYOD je moderní a progresivní model zaměstnanecké politiky zvyšující pracovní komfort zaměstnanců. Jedná se o jakési propojení soukromého a pracovního života.

Například takový monitoring zařízení, který lze díky EMM technologiím provádět, představuje citlivý zásah do soukromí zaměstnance a je nutné rozlišovat mezi soukromým a služebním použitím zařízení. Do těch částí, které jsou používány jen pro soukromé účely, nesmí zaměstnavatel vůbec vstupovat. Při sledování polohy a provozu těchto zařízení nesmí být zpracovávána data týkající se soukromého a rodinného života zaměstnance.

Tato problematika je ve vztahu ke GDPR řešena ve Stanovisku 2/2017 ke zpracování osobních údajů na pracovišti a vydala jej pracovní skupina, která je nezávislým evropským poradním orgánem pro otázky ochrany údajů a soukromí.

Posouzení vlivu na ochranu osobních údajů

Před nasazením jakékoli EMM technologie by mělo být vypracováno Posouzení vlivu na ochranu osobních údajů (tzv. DPIA neboli Data Protection Impact Assesment). Samotné DPIA je proces, který se provádí na základě speciálního dokumentovaného postupu. Toto posouzení zhodnotí, zda je nasazení zvolené EMM technologie nezbytné a zda související zpracování osobních dat odpovídá zásadám GDPR. Při posouzení je nezbytné analyzovat všechna data, která jsou ukládána v databázi EMM, tedy nejenom data přístupná přes administrátorskou konzoli.

Nositelná zařízení a zpracování zdravotních údajů

Nejen telefony a tablety patří do skupiny mobilních zařízení používaných ve firemním prostředí. Do hry vstupují také chytré hodinky nebo fitness náramky. Tato zařízení zpracovávají například data zahrnující zdravotní údaje a je považováno za nezákonné a výslovně zakázané takovéto údaje jakkoli zpracovávat, a to i v případě, že se jedná o agregované informace nebo anonymizované údaje. Data by tedy měla být dostupná jen zaměstnanci, tedy tomu, kdo takové zařízení používá, nikoli zaměstnavateli.

Posouzení souladu

Firmy, které již mají implementovanou některou z EMM technologií anebo o této implementaci teprve uvažují, nyní musí o tomto kroku přemýšlet také ve vztahu ke GDPR. Společnost System4u je implementátor EMM technologií všech světových výrobců. Naši techničtí pracovníci tedy dokonale znají IT prostředí firem, do kterých EMM technologie zavádí. Proto je společnost System4u schopna provést posouzení i vliv EMM z druhé strany, tedy z hlediska ochrany osobních údajů zaměstnanců, kteří pro svou práci mobilní zařízení s nasazenou EMM technologií používají. System4u pomůže firmám vyhodnotit jejich aktuální nastavení politik EMM z pohledu souladu s požadavky GDPR, v případě nalezeného nesouladu doporučit nejvhodnější řešení a také vypracovat požadovaný DPIA dokument. Díky správnému nasazení EMM mají firmy pod kontrolou nejen zákaznická data, ale i data svých zaměstnanců.

Petra Holubcová Petra Holubcová
Autorka článku je manažerkou marketingu ve společnosti System4u, s. r. o.