Řada firem a organizací se obává, že po startu GDPR bude obtížné či dokonce nelegální monitorovat, jak zaměstnanci využívají svěřenou firemní výpočetní techniku. Strachují se, že tak ztratí důležitý nástroj pro plánování investic do IT a bezpečnostní pojistku proti zneužívání firemních počítačů.
Pomocí softwarových nástrojů, jakým je například AuditPro od společnosti truconneXion, mohli zaměstnavatelé doposud zjišťovat, jak zaměstnanci využívají výpočetní techniku. Díky tomu také lépe alokovat zakoupené softwarové licence či optimálně přidělovat hardware. Monitoring významně pomáhá proti zneužívání výpočetní techniky, například instalaci nepovolených nebo škodlivých aplikací. A také pro kontrolu pracovního výkonu a nasazení. Budou firmy muset s takovým dohledem kvůli GDPR skončit? Rozhodně NE: sledovat zaměstnance bude možné i poté, co vstoupí nařízení GDPR v platnost. Firmy se ale budou muset přizpůsobit filozofii GDPR. Monitoring svěřených firemních prostředků se tak v rétorice GDPR může stát oprávněným zájmem zaměstnavatele. Požadavek, aby při realizaci tohoto zájmu nebylo nepatřičným způsobem zasaženo do práv zaměstnanců, zůstává totožný s legislativou platnou už nyní.
I nadále bude například možné sledovat, jak a kdy se využívají určité aplikace nebo hardware. Za oprávněný zájem lze považovat zjišťování, jaké aplikace uživatel skutečně využívá a které leží ladem, mohou posloužit někomu jinému a firma může ušetřit. Oprávněným zájmem je i prevence před virovou nákazou nebo hackerským útokem, který může přijít prostřednictvím aplikace, kterou si zaměstnanec svévolně nainstaluje na počítač.
Těžko by se ale dal obhájit rutinní, plošný monitoring vstupů z klávesnice za účelem zjištění, co zaměstnanec píše. Nejen, že to může zasahovat do soukromí zaměstnanců, ale těžko lze prokázat celoplošný oprávněný zájem. Výjimkou podle právníků jsou však namátkové kontroly, jejichž účelem je preventivně zamezit třeba zneužívání počítačů. Nicméně i o možnosti namátkových kontrol by měli být zaměstnanci informováni například firemní směrnicí.
Naprosto v souladu s filozofií a požadavky GDPR je monitoring technologií za účelem prevence ztráty či zneužití dat. Kontrola toho, jaké aplikace či soubory zaměstnanci na síť instalují či stahují, je tedy oprávněná. Nikoli však už třeba vlastní obsah souborů, například textových dokumentů. I tak lze zabránit například stahování autorsky chráněných softwarů, hudby či filmů prostřednictvím firemní sítě.
Případný monitorovací nástroj musí dále vyhovět řadě požadavků na správu osobních dat. Klíčová je ochrana uložených osobních údajů silným šifrováním s tím, že přístup je umožněn jen oprávněným osobám. Dalším předpokladem je schopnost nástroje zajistit právo monitorovaných subjektů na poskytnutí přehledu vedených osobních údajů ve strukturované formě. Důležitou vlastností je i schopnost nástroje automaticky vymazat data o uživatelích, kde monitoring již není třeba, například po odchodu zaměstnance ze společnosti.
Byť GDPR dělá starosti řadě firem, nemusí jeho implementace být jen nutným zlem, ale i příležitostí, jak zvýšit zabezpečení firemních dat a zefektivnit využívání firemního IT. S tím mohou pomoci i monitorovací nástroje typu AuditPro, které respektují požadavky nové legislativy.
Martin Hnízdil, truconneXion
