GDPR – služby a nástroje k udržení souladu s požadavky na ochranu osobních údajů

Téma ochrany osobních údajů podpořené hrozbou vysokých sankcí otevírá Pandořinu skříňku bezpečnosti informačních technologií. Opatření, která je nutné provést k ochraně osobních údajů, jsou zároveň prospěšná i celkovému stavu IT a pořádku v organizaci obecně. Ovšem úklid zrovna není činnost, do které by se každý pouštěl s nadšením a vervou, i když to zrovna nepřikazují sváteční tradice. Někdy dokonce schází odvaha otevřít některé skříně, v obavě, co na nás odtamtud může vypadnout.

Obecné nařízení EU má ovšem motivační schopnost větší než vývěska o železné neděli. Proto jsme, chtě nechtě, ochotni se do úklidu pustit. Je ovšem lépe na to nebýt sami, abychom si ušetřili čas spotřebovaný na studium základních vstupních informací, vyplýtvaný na vymýšlení něčeho, co už bylo několikrát vymyšleno, ztracený metodou pokus a omyl, prokrastinovaný (protože se do těch nepříjemných povinností nikomu nechce)… spolykaný vytvářením něčeho, co už jiní dávno vytvořili, vyzkoušeli, odladili a cizelovali.

I když nám spolehlivý partner dokáže takové množství času ušetřit, pořád ještě není schopen dodat řešení „na klíč“, bez naší spolupráce. Jsou věci, části procesu, které za nás neodpracuje nikdo, protože se vážou přímo k fungování každé konkrétní organizace. GDPR vyžaduje existenci a dokumentaci procesů. To je Achillova pata každé menší společnosti, kde se procesy tradují ústním podáním a jsou tak flexibilní, že každý průchod procesem je vlastně malá premiéra.

Jestli jsme s takovým stavem spokojeni, budeme se snažit naplnit co nejvíce z požadavků na ochranu osobních údajů pomocí bezpečných technologií – naším úhlavním přítelem bude šifrování, správa zařízení (včetně těch mobilních!), super zabezpečené cloudové úložiště – a budeme se snažit přiblížit požadavkům GDPR z této strany. Partnera pak budeme hledat především mezi „nástrojaři“ – tedy těmi, kdo znají technologie, které umí posílit bezpečnost a pořádek v IT pomocí automatizace. Určitě je to lepší než naprostá ignorance.

Jestli však na nejmodernější technologie nemáme dostatek prostředků a také, pokud si uvědomujeme, že koncepčnější přístup může mít i jiné pozitivní efekty, budeme hledat partnery mezi zkušenými konzultanty, kteří nám pomohou se systematickým mapováním firemního prostředí, procesů a potřeb. Nemusí mít na všechno odpovědi, ale budou pokládat správné otázky. I tak snižujeme rizika plynoucí ze ztráty dat, s nimiž firma pracuje a hospodaří, nejen osobních údajů. A celkově to může mít velmi osvěžující efekt generálního úklidu, při kterém dojde na revize zašlých pravd a zaběhnutých schémat.

Třetí kvalifikací, kterou je pro potřeby souladu s GDPR potřeba přizvat, jsou právníci a tvůrci odpovídajících směrnic. Někdy je lze nahradit sbírkou šablon, často však budete potřebovat individuální úpravu a raději ji budete chtít svěřit odborníkům. Některé společnosti také budou muset jmenovat Pověřence pro ochranu osobních údajů (DPO), což není úplně snadná záležitost, pokud není firma dost velká na to, aby takového specialistu spotřebovala na plný pracovní úvazek. A ejhle – i zde mohou pomoci partneři, kteří buď umí kolegovi DPO vytvořit zázemí, nebo dokonce nabízejí DPO jako službu (experta sdíleného více firmami).

Ideální partner pak v sobě spojí všechny části potřebné k zajištění souladu s GDPR: bude rozumět nutné legislativě, technologiím, které pomohou efektivně řídit procesy a prostředky, i činnostem a potřebám naší firmy, aby jí pomohl šablony, nástroje a pravidla uvést do života.