28. leden vyhlásila Rada Evropy jako Den ochrany osobních údajů (Data Protection Day). V tomto roce jde již o osmé výročí této akce, jejímž cílem je zvýšit povědomí o ochraně dat a informační bezpečnosti. U této příležitosti jsme položili několik otázek dvěma odborníkům, kteří se v O2 tomuto tématu věnují již několik let. Irena Aschermannová jako právnička, Richard Michálek jako specialista bezpečnosti.
Začneme hodně zeširoka – co si vlastně máme pod pojmem osobní údaj představit?
IA: Osobním údajem může být jakákoli informace, kterou je možné přiřadit určité fyzické osobě a která tuto osobu nějakým způsobem identifikuje. Může se jednat například o jméno, rodné nebo telefonní číslo, ale také výrobní číslo telefonu (IMEI), ze kterého zákazník volá, což je mimochodem dle právních předpisů údaj nutný pro poskytování služby.
Jaké základní typy údajů o svých zákaznících musíte evidovat?
IA: Abychom v O2 mohli účastníkům poskytovat služby, musíme o nich zpracovávat tři základní kategorie údajů: identifikační údaje, provozní a lokalizační údaje. Co se týče identifikačních údajů, jedná se o údaje, které jsou standardně vyžadovány při uzavření smlouvy. Tento druh údajů O2 zpracovává v databázi zákazníků po celou dobu trvání smlouvy.
K čemu slouží provozní a lokalizační údaje?
IA: Provozní a lokalizační údaje jsou nutné pro poskytnutí služby a bez těchto údajů bychom vůbec nemohli službu poskytnout. Jedná se např. o volané číslo, čas a trvání spojení, druh poskytnuté služby, objem stažených dat nebo identifikaci základnové stanice, ke které se účastník připojil. Tyto údaje O2 v souladu se zákonem maže, jakmile je již nepotřebuje k poskytnutí služby, jejímu vyúčtování, vyřízení reklamace nebo vymáhání.
Kromě zpracování provozních a lokalizačních údajů pro účely poskytnutí služby zákon všem poskytovatelům služeb elektronických komunikací též ukládá povinnost uchovávat provozní a lokalizační údaje např. pro účely trestního řízení.
K jakým dalším účelům O2 osobní údaje využívá? Může zákazník případně tyto další způsoby využití svých osobních údajů ovlivnit?
IA: V případě, že nám účastník udělil souhlas s využitím svých osobních údajů za účelem marketingu a marketingového oslovení, využíváme tyto údaje také pro vytváření a zasílání cílených obchodních nabídek. Na jejich základě se k zákazníkům dostávají informace o slevách, produktech a službách, které pro ně mohou být zajímavé a využitelné. Díky cíleným nabídkám se například nemůže stát, že bychom poslali reklamu na nový obchod v Karlových Varech třeba někomu, kdo se pohybuje na Moravě. Nicméně zákazník samozřejmě může svůj souhlas se zpracováním osobních údajů za účelem marketingu kdykoli odvolat.
Kde se zákazník, který se o zpracování osobních údajů zajímá, může dozvědět více?
IA: Oblast zpracování osobních údajů při poskytování služeb elektronických komunikacích je upravena v zákoně o osobních údajích, v zákoně o některých službách informační společnosti a v zákoně o elektronických komunikacích. Protože jsme si ale vědomi toho, že není snadné se v těchto právních předpisech zorientovat, připravili jsme pro naše zákazníky i širokou veřejnost na našich internetových stránkách sekci o ochraně osobních údajů, ve které jsou základní principy zpracování osobních údajů naší společností srozumitelným způsobem popsány. Nová sekce Soukromí je dostupná na našich internetových stránkách.
Všechny zmiňované údaje o zákaznicích je nutné maximálně chránit. Na to, jak jsou zabezpečena data našich zákazníků, jsme se zeptali experta na bezpečnost v O2 Richarda Michálka.
RM: Naše společnost si je vědoma své odpovědnosti v oblasti ochrany dat našich zákazníků. Proto údaje, které zmiňovala kolegyně Irena, maximálně chráníme. Abychom zabránili jejich úniku, používáme například systém na správu přístupu, který kontroluje správnost nastavení přístupů minimálně jednou denně. K údajům našich zákazníků se tak nedostane nikdo, kdo na to nemá příslušné oprávnění. Úniku dat také brání i naše dohledové systémy. Jak rád říkám – nemáme potřebu monitorovat zaměstnance. Jde nám o to vědět, co se děje s firemními daty.
Mají zákazníci nějakou záruku?
RM: Již v roce 2004 jsme jako jedna z prvních firem získali certifikaci ISO 27001. Ta naším zákazníkům zaručuje, že splňujeme požadavky na systém managementu bezpečnosti informací.
Svět digitálních technologií se rychle vyvíjí, proto je potřeba se mu rychle přizpůsobovat. Co jste pro posílení ochrany dat udělali za poslední rok?
RM: V naší společnosti nedávno vznikl tým nazvaný O2.cz CERT (Computer Emergency Response Team), který řeší především prevenci, ale reaguje také na různé bezpečnostní incidenty v síti. Tento tým je jako jeden z devíti v České republice veden jako Trusted Introducer v databázi Terena. Spolupracujeme také s Národním centrem kybernetické bezpečnosti. V rámci O2 je tento tým propojen s linkou technické podpory a poradci O2 Guru. Potřebné informace se tak k našim zákazníkům dostávají vždy co nejdříve.
Data je důležité chránit nejen v systémech. Důležité je také pomáhat zákazníkům v bezpečném používání jejich zařízení. Zítra vám přineseme několik praktických tipů, jak zabezpečit váš chytrý telefon.
