Firemní mobilita a GDPR musí být v souladu

Mobilní technologie jsou v GDPR dokumentaci výslovně jmenovány jako riziko ve vztahu ke zpracování osobních údajů. Jejich správné nasazení a používání ve firmách podléhá specifickým podmínkám a mělo by být dokumentováno vypracováním speciální studie.

GDPR úzce souvisí s technologiemi pro hromadnou správu a zabezpečení mobilních zařízení (EMM - Enterprise Mobility Management). Zaměstnavatel nasazení technologií pro monitorování (jako jen např. EMM nebo DLP) provádí na základě svého oprávněného zájmu - ochrany dat, sítě, majetku apod.

Prostřednictvím EMM technologií má však zaměstnavatel přístup také k některým osobním údajům zaměstnance a tyto údaje je třeba dokonale zabezpečit. O jaké osobní údaje se jedná?

Mohou to být geolokační údaje, údaje o instalovaných aplikacích, sledování zařízení a ukládání informací z něj v reálném čase a mnohé další, které o zaměstnanci, uživateli mobilního zařízení s nasazenou EMM technologií, prozrazují informace z jeho osobního života.

Společnost System4u - implementátor EMM technologií, dokáže posoudit aktuální nastavení EMM z pohledu souladu s požadavky GDPR, v případě nalezeného nesouladu doporučit nejhodnější řešení a také vypracovat DPIA dokument.

Firmy, které již mají implementovanou některou z EMM technologií a nebo o této implementaci teprve uvažují, musí o tomto kroku přemýšlet také ve vztahu ke GDPR.

BYOD z perspektivy GDPR

Další částí této problematiky je implementace EMM technologií na soukromých zařízeních používaných pro práci (BYOD). Koncept BYOD je velice progresivní model zaměstnanecké politiky zvyšující pracovní komfort zaměstnanců a můžeme také hovořit o propojení soukromého a pracovního života.

Například monitoring zařízení, který lze díky EMM technologii provádět, představuje citlivý zásah do soukromí zaměstnance a je nutné rozlišovat mezi soukromým a služebním použitím zařízení. Do těch částí, která jsou používána jen pro soukromé účely, nesmí být ze strany zaměstnavatele vstupováno. Při sledování polohy a provozu těchto zařízení nesmí být zpracovávána data týkající se soukromého a rodinného života zaměstnance.

Tato problematika je ve vztahu ke GDPR řešena ve Stanovisku 2/2017 ke zpracování osobních údajů na pracovišti a vydala jej pracovní skupina, která je nezávislým evropským poradním orgánem pro otázky ochrany údajů a soukromí.

DPIA - Posouzení vlivu na ochranu osobních údajů

Před nasazením jakékoli výše popsané technologie by mělo být vypracováno Posouzení vlivu na ochranu osobních údajů - tzv. DPIA (Data Protection Impact Assesment). Samotné DPIA je proces, který se provádí na základě speciálního dokumentovaného postupu.

Toto posouzení zhodnotí, zda je nasazení EMM nezbytné a zda související zpracování dat odpovídá zásadám GDPR. Při posouzení je nezbytné analyzovat i data, která jsou ukládána v databázi EMM, nejenom data přístupná přes administrátorskou konzoli.

Nositelná zařízení a zpracování zdravotních údajů

Jakékoli zpracování dat zahrnujících zdravotní údaje je považováno za nezákonné a je výslovně zakázáno, a to i v případě, že se jedná o agregované informace nebo anonymizované údaje.

Data zaznamenávají např. fitness náramky a data by tedy měla být dostupná jen zaměstnanci, tedy tomu, kdo takové zařízení používá, nikoli zaměstnavateli.