IBM je na GDPR připravena

Jak se daří společnosti IBM? Na které oblasti se aktuálně nejvíce soustředíte?

Petr Leština: Společnost IBM v globálním měřítku směřuje do oblastí congnitive a cloud computingu, ale samozřejmě i do dalších progresivních oblastí (IoT, Průmysl 4.0 atd.). Důležité jsou také oblasti analytiky a bezpečnosti, které pomáhají vytvářet další podstatné rozvojové směry pro IBM. Vedle tradičního prodeje softwaru a hardwaru, který dlouhodobě reprezentoval to, co IBM dělala, představují zmíněné oblasti nové cesty, kterými se vydáváme.

A co Watson?

Daniel Joksch: Watson je alfou a omegou IBM kognitivních technologií a umělé inteligence, jako červená nit se postupně proplétá celým naším portfoliem, počínaje u  cloudu a analytiky a konče u bezpečnosti, kde „Watson for cybersecurity“ podporuje pokročilou analýzu bezpečnostních incidentů pro bezpečnostní techniky. Postupně inklinujeme k zapojování samoučících metod a kognitivních technologií a jejich implikování do všech oblastí, kde působíme. Když odhlédnu od cognitive a cloudu, tak třetím trendem, směrem, kterým se ubíráme, je integrace, tedy přechod od oddělených řešení k propojené síti, kdy společnost neřeší problémy v jednotlivých separátních problematikách, ale všechny nástroje spolu spolupracují. Jde o chytrý přístup. Nestačí pouze vlastnit chytrou technologii, je nezbytné také chytře přistupovat k problémům. Jednotlivé funkce spolu musí komunikovat a řešit daný problém.

Když přejdeme ke cloudu, jsou na českém trhu nějaká specifika v oblasti adaptace cloudu?

Petr Leština: Čeští k lienti v oblasti cloudu kopírují celosvětový trend, tedy vydávají se cestou hybridního IT. Naprostá většina českých klientů historicky koncipovala IT do vlastních nebo hostingových datacenter, v poslední době řada klientů konsolidovala IT se svými zahraničními mateřskými společnostmi. Díky tomu u sebe mohou provozovat kritické systémy a nekritické mít u cloudových poskytovatelů. Noví zákazníci, tedy typicky startupové společnosti, nemají téměř žádné vlastní IT, takže fungují převážně díky cloudovým technologiím. Jde o tzv. „cloud-born“ společnosti, které se zrodily v cloudu a své IT nikdy neměly. Na druhou stranu většina z nich využívá vícero poskytovatelů, takže i v tomto případě můžeme říct, že jsou klienty hybridního cloudu. Nepoužívají cloud jenom jednoho poskytovatele, aby nebyli závislí pouze na něm.

Daniel Joksch: Co se týká oblasti bezpečnosti, tak s příchodem cloudu je vnímán také příchod nových rizik. Z pohledu bezpečnosti nelze jednoznačně říct, zda jsou tato rizika vyšší nebo nižší, vždy záleží na konkrétním případu. Pravdou ale je, že pro spoustu organizací může přechod do cloudu znamenat nejen úsporu časových a finančních prostředků, ale také řešení v oblasti udržení bezpečnosti obsahu přeneseného do cloudu. Při zavádění on-permise řešení mohou vzniknout značné náklady se zaváděním bezpečnostních standardů a technologií pro udržení důvěryhodnosti řešení. Cloudové řešení, které disponuje celou škálou bezpečnostních certifikací, pak může organizaci situaci značně usnadnit. To je jeden z důvodů, proč mnohé společnosti této možnosti využívají a určitou část odpovědnosti přenášejí na poskytovatele cloudových řešení. Jejich úkolem je pak zajistit bezpečnost jak technickou, tak procesní nad daty, která jim zákazník poskytl, a udržet jejich důvěrnost. Když se odkáži i směrem k GDPR, důležitý bude právě vztah mezi organizací poskytující data do cloudu a provozovatelem služby. Momentálně na trhu není nic jako certifikace deklarující soulad s GDPR pro cloudové poskytovatele. Organizace by se tak měly ptát, jak jsou služby poskytovatelů na požadavky nařízení připraveny, a v co nejtransparentnější variantě mít toto vyjádření uchováno pro případný audit.

Jsou čeští zákazníci citlivější na bezpečnost cloudu než ti v zahraničí?

Petr Leština: Český zákazník je oproti západním a severním Evropanům více konzervativní. Kdybych to měl říci jinak, tak Čech se více rozmýšlí, než udělá nějaký krok. Vstup do oblasti cloudu, který je pro naprostou většinu Čechů synonymem bezpečnostního rizika, byť to vůbec nemusí být pravda, je velmi pozvolný. Nemusí jít o špatné chování, ale je to prvek, kterým se lišíme od západních zemí. My jsme tady pro českého zákazníka partnerem, byť jsou datacentra umístěna v zahraničí, pořád leží na území Evropské unie. Klient se nemusí domáhat informací a podpory v zahraničních pobočkách. My jsme pro něj lokálním partnerem.

Když už jste zmínili GDPR, co všechno zde společnost IBM nabízí?

Petr Leština: Oproti jiným poskytovatelům není IBM jenom klasickým providerem, který poskytuje služby datového centra, ale máme celou řadu služeb, které mají spíše konzultační nebo doporučující charakter. Jsme klientovi schopni poradit, nejen mu nabídnout cloudové služby datového centra, ale doporučíme mu a pomůžeme s tím, jakým způsobem u GDPR vystupovat a jak být připraven, aby splnil legislativní požadavky.

Daniel Joksch: Portfolio služeb i produktů je tak rozsáhlé, že můžeme říct, že kromě právních služeb, které standardně neposkytujeme, jsme schopni pokrýt jak problematiku ZoKB, tak i GDPR od začátku do konce. Máme analytické nástroje, které řeší odhalování a identifikaci dat a udržování systému up-to-date, stejně tak nabízíme nástroje, které pomáhají s výmazem nebo přenositelností, nad tím vším pak nabízíme orchestrace těchto nástrojů pro efektivní správu požadavků nařízení. Dále řešíme celou tematiku z pohledu bezpečnosti, ať je to prevence úniků dat, které jsou deklarovány přímo v nařízení, monitoring databází, přístupů k souborům a nestrukturovaným datům, stejně jako dohled nad celým prostředím pomocí bezpečnostního monitoringu. Udržet kontrolu nad prostředím organizace a zavést procesy a nástroje na minimalizaci rizik spojených s osobními údaji bude významným tématem následujících měsíců. IBM bezpečnostní téma vnímá a snaží se organizacím pomoci jak formou služeb, od úvodních analýz po implementaci nástrojů, tak nabídkou řešení.

Co se podle vás s GDPR změní?

Daniel Joksch: Nařízení ve své podstatě přenáší velkou míru odpovědnosti na správce osobních údajů. Pro správce to pak znamená hned několik věcí. Nejprve musí přijít interní posouzení souladu s nařízením, musí si zhodnotit vlastní prostředí a procesy, jaké osobní údaje drží v kontextu nařízení, zavést systém řízení rizik a auditovat připravenost organizace z pohledu bezpečnosti. Následně přichází revize externích vztahů, což je primárně vztah správce a zpracovatele, přičemž zpracovatel je jakákoliv třetí strana, které správce organizace poskytne osobní údaje k dodatečnému zpracování (typicky marketingové, HR agentury), a účel zpracování je stanoven správcem. Nastavení tohoto vztahu je jednou z výzev nařízení. Určit, kdo má jaká práva a povinnosti ve vztahu k osobním údajům, případně nastavit adekvátně SLA a sankce. Revize smluvního vztahu a celkově požadavek od správce ke zpracovateli a naopak, aby doložil, jak plní požadavky nařízení, bude jedním z témat následujícího roku, potažmo let dalších v případě zavádění jakékoliv nové služby či spolupráce s novým partnerem. Na jednu stranu bude mít nařízení značný obchodní potenciál pro celý trh. Jestli se k povinnostem společnost postaví zodpovědně a v co nejkratší době, může získat značnou konkurenční výhodu na trhu a akvizovat nové zákazníky i tržby. Organizace budou v budoucnu téměř jistě poptávat převážně služby, které jsou v souladu s požadavky nového nařízení.

Jak vnímáte GDPR, co teď společnosti čeká?

Petr Leština: Nařízení vnímáme jako příležitost, a to jak pro dodavatele, tak i pro zákazníky. Pro zákazníka to znamená do určité míry zrevidovat své IT, provést nejen inventuru, ale i jistou modernizaci a zhodnocení a plánování rozvoje informačních & komunikačních technologií. Na jeho základě pak provede rozhodnutí, jaké další kroky v IT podnikne.

Daniel Joksch: Rozhodně se nedá jasně předpovědět, zda bude dopad GDPR ryze pozitivní či negativní. Téma GDPR je v poslední době značně medializované – koná se plno konferencí, workshopů, vychází velké množství článků týkajících se této oblasti. Mnoho obchodních společností v tématu vidí obchodní příležitosti. Vždy se najde skupina organizací, jimž nařízení něco přinese, ale i takové, pro něž bude představovat téměř ve stu procentech čistou zátěž. V pozitivním směru může nařízení navýšit tlak na vedení společností k uvolnění prostředků na revize současného stavu a dokončení dlouho plánovaných projektů, které dosud nezískaly podporu ze strany managementu. Zavedení rizikového přístupu a vyšších bezpečnostních standardů pak umožní organizacím fungovat efektivněji a s nižší mírou rizika. Na druhou stranu ruku v ruce s tím přichází značné časové i finanční náklady a administrativní zátěž pro spoustu organizací v době, než se trh nařízení přizpůsobí. Když ale porovnáme rozdíly mezi zákonem 101/2000 Sb. O ochraně osobních údajů a GDPR, pak značné penzum požadavků je již obsaženo ve stávajícím zákoně a nejedná se vždy o naprosté novinky. Nařízení klade vyšší nároky na zabezpečení, data management, na plnění práv subjektu údajů a hrozí výrazně vyššími pokutami a odpovědností.

Za co se tedy budou udělovat astronomické pokuty, kterých se všichni děsí?

Petr Leština: Sankce jsou postihem za to, že společnost nepracuje s informacemi tak, jak by měla. Společnosti, které už dnes s daty nakládají v souladu se zákonem, se v podstatě GDPR nemusí obávat. Na druhou stranu pokud společnost nezachází s daty tak, jak by měla, ať už vědomě, či nevědomě, mohou ji postihnout velmi vysoké sankce. V ideálním případě by k tomu nikdy nemělo dojít.

Co bude podle vás tou největší změnou, které budou firmy v souvislosti s GDPR čelit?

Daniel Joksch: Historicky jsou společnosti zvyklé na to, že data kupí. Hromadění dat je pak nejsnadnější v originální podobě a stále není příliš zavedenou praxí data pseudonymizovat, anonymizovat nebo zavádět jiné formy zabezpečení pro snížení rizika porušení důvěrnosti. Data se vždy hodí, jsou hybatelem dnešní doby a mnohokrát víceméně ekvivalentem hodnoty. Tvoří velkou část duševního vlastnictví společností, jejich těžba a obchod s nimi je v dnešní době výdělečným podnikáním. Nové nařízení směřuje na data přímo vázaná k fyzickým osobám (osobní údaje) a zavádí právě praxi minimalizace jejich kumulace a maximalizaci jejich zabezpečení. Pro oprávněné držení osobních údajů musí být jasný právní titul, kterým může být v některých případech souhlas se zpracováním osobních údajů nebo titul z oblasti tzv. „zákonnosti“ (veřejný, oprávněný zájem správce, zajištění zdraví/bezpečnosti subjektu, smluvní vztahy, jiné zákonné povinnosti). Bez jasného právního titulu organizace nesmí osobní údaje držet.

Jak si myslíte, že bude probíhat kontrola a vymáhání ze strany kontrolních orgánů ČR?

Daniel Joksch: Jedním z primárních účelů nařízení je harmonizovat ochranu osobních údajů napříč státy EU. Současný poradní orgán WP29, který se dnes zabývá výkladovými stanovisky, by měl být po 26. květnu 2018 plynule přetvořen v tzv. European Privacy Board. EPB pak bude zastřešujícím regulátorem pro všechny členské státy EU v oblasti ochrany osobních údajů. V ČR pak bude lokální dohled na národní úrovni vykonávat úřad na ochranu osobních údajů. Vždy půjde o konzultaci nahoru směrem na dohledový orgán na úrovni EU tak, aby probíhala harmonizace. Bude značně záležet na finální podobě auditů ze strany UOOU, mnoho společností totiž stále spekuluje nad tím, kde vůbec s implementací požadavků začít a zda bude odpovídat požadavkům auditu. Momentálně se doporučení a projekty zavedení souladu s GDPR staví na co nejaktuálnějších informacích jak z národní úrovně, tak úrovně EU. Doufejme, že časem přijde i metodologie samotných auditů, aby organizace věděly, jak se co nejlépe a nejefektivněji přizpůsobit.

Je IBM na GDPR interně připravená?

Petr Leština: Ano, The Code of Conduct for Cloud Service Providers je v podstatě deklarace IBM jako jedné ze společností, která vystupuje na trhu jako cloud service provider. Vedle dalších (Oracle, SAP) patříme mezi zakládající členy. Deklarujeme připravenost na GDPR na úrovni cloudového poskytovatele. Více na www.ibm.com/blogs/policy/eu-cloud- -code-of-conduct/ nebo na https://eucoc.cloud.

Daniel Joksch: Samozřejmě IBM má silný tým, který se dlouhodobě zabývá ochranou osobních údajů především v zahraničí. Například zákon na ochranu osobních údajů v Německu je již tvrdý a důsledný. Tudíž tím, že fungujeme mezinárodně, musíme pracovat i se současnou legislativou napříč všemi státy a naše produkty i služby jsou tak postaveny, aby dokázaly odpovědět na požadavky legislativy kdekoliv na světě. Zároveň má každá z našich produktových větví vlastního produktového manažera, který se zabývá pouze oblastí ochrany dat. Tento člověk pak blízce komunikuje s naším privacy týmem a reflektuje jejich požadavky do vývoje našich řešení.

Myslíte si, že budou všechny společnosti na GDPR včas dostatečně připraveny?

Petr Leština: Ani cesta do cloudu není jednorázová záležitost. Neznáme klienta, který by v podstatě ukončil provoz svého celého IT a všechno přemigroval na cloud v jednom okamžiku. Důležitá je také volba správných systémů a aplikací, které budou přenášeny a s GDPR je to velmi podobné.

Daniel Joksch: Vždycky na konci úvodních analýz, které se připravují, vzniká plán souladu s nařízením. Ten nemusí končit 25. května 2018. Jde se samozřejmě po prioritách. Představte si váhy. Na jedné straně mám míru rizika, na druhé technická a organizační opatření. Když budu zavádět opatření, bude mi klesat riziko, ale je to vykoupeno náklady. Každá společnost bude hledat ideální rovnováhu, při níž minimalizuje co nejefektivněji rizika s co nejnižšími náklady. Některá rizika pak mohou být vyhodnocena jako zbytková a organizace je akceptuje a bude s nimi nadále pracovat. Tato zbytková rizika je pak ideální komunikovat s dozorovým úřadem a vyjasnit si, zda jsou skutečně přijatelná. Prioritami bude určitě zmapování prostředí organizace a držených osobních údajů, schopnost dodržovat práva občanů EU a v neposlední řadě zajištění bezpečnosti. Na otázku, zda budou všechny společnosti dostatečně připraveny, není jednoznačná odpověď, bude velmi záležet na úsilí, které do problematiky vloží v následujících měsících. Ale je téměř jisté, že ne všichni budou plně připraveni.

Dá se říct, že se v IBM těšíte na účinnost GDPR?

Daniel Joksch: IBM se podílela už na vyjednávání GDPR na úrovni EU. Samozřejmě nařízení tady není posledních sedm měsíců, ale už několik let. Stejně jako pro ostatní  polečnosti nabízející řešení a služby schopné pomoci naplnit požadavky nařízení, to pro nás představuje obchodní příležitost. Na druhé straně jsou pro nás požadavky nařízení závazné stejně jako pro jakoukoliv jinou organizaci. Do třetice pak naše aktivity vnímáme jako odpovědnost vůči trhu. Snažíme se organizace vzdělávat a pomáhat jim nalézt nejefektivnější cestu, jak se s požadavky vypořádat. Na trhu je stále spousta společností, které o nařízení nemají ani tušení. Šíření povědomí je cesta, jak zabránit, aby se organizace nenechaly vystrašit a začaly realizovat potřebné kroky. Přidaná hodnota, kterou bychom trhu rádi přinesli, je tedy na několika rovinách a vzhledem k tomu, kolik neznámých stále tuto tematiku provází, se nedá říct, zda je možné se na účinnost těšit, či nikoliv.

Jaký je váš osobní názor na GDPR?

Petr Leština: GDPR vzniklo jako další regulativní mechanismus. Kdyby byly veškeré IT principy s ohledem na ukládání a správu dat dodržovány, nebylo by zapotřebí, aby podobné nařízení a zákon vůbec vznikaly. Z mého osobního hlediska, pokud by všichni dodržovali, co mají, žádné podobné zákony by nebyly potřeba.

Daniel Joksch: Bylo by ideální, kdybychom regulace nepotřebovali a kdyby se každý choval pod neviditelnou rukou trhu a společnosti tak, jak má. Žijeme však ve světě, který už nějakým způsobem regulovaný je, a trend se v nejbližších letech pravděpodobně nezmění. GDPR podle mě není ničím jiným než přirozeným vývojem dlouhodobého směru harmonizovat a centralizovat různé oblasti napříč členskými státy EU. Data a speciálně osobní údaje jsou důležitou složkou ve volném pohybu obyvatel EU po členských státech i mimo ni, stejně jako motorem pro mnohé podnikatelské záměry. Bylo jen otázkou času, kdy se téma jejich zpracování a zabezpečení na úrovni EU bude řešit. Vždy záleží na úhlu pohledu. GDPR s sebou nese svá pozitiva i negativa, ale to více méně každá nově přicházející legislativa. Až běžná praxe a dlouhodobější vývoj ukážou, jestli GDPR bylo pozitivním krokem směrem k informační společnosti, nebo jestli šlo o krok restriktivní, který organizacím zkomplikuje jejich každodenní činnost.