Jak byste popsal situaci kolem GDPR horečky, která se stává pro mnohé organizace žhavým tématem?

Přípravy na příchod nového nařízení EU o ochraně osobních údajů jsou již v plném proudu. GDPR vejde v účinnost již 25. května 2018, a je tak nejvyšší čas začít se přípravě skutečně věnovat. Troufám si říci, že firmy, které v průběhu ledna příštího roku nezahájí alespoň analytické práce, již nestihnou celý proces k uvedenému datu úspěšně dokončit, a budou tak riskovat vysoké sankce. Jen pro představu, mnohé velké společnosti, jako například finanční instituce, zahajovaly analytické kroky již před rokem a nyní finišují se samotnou implementací. Chtěl bych tak pochválit všechny organizace, které se tématu GDPR již zodpovědně věnují a nenechávají vše až na poslední chvíli. V současnosti konzultujeme a řídíme přípravu projektů již v desítkách společností od malých a středních firem až po velké organizace s rozsáhlou sítí poboček.

Vy už jste v terénu a konzultujete přímo ve firmách. Co poradíte těm, kteří ještě nezačali? Představme si typickou organizaci a interního zaměstnance, který dostal za úkol problematiku GDPR vyřešit. Co byste z vlastní zkušenosti poradil, kde začít, na co se zaměřit?

Jak nám samotná praxe ukazuje, tak pro úspěšné zvládnutí a dosažení souladu s legislativou je třeba k celé záležitosti přistoupit ve smyslu projektového řízení, neboť zavedení nové normy GDPR si vyžaduje maximální spolupráci všech zúčastněných, kteří v dané organizaci přicházejí do styku s osobními údaji nebo s nimi jakkoliv nakládají. Pro názornou ilustraci bych tento proces přirovnal například k zavedení certifikace ISO. Jedná se tedy o soubor jednotlivých řízených kroků, od datového auditu, analýzy současného stavu, návrhu nápravných opatření, tvorbu směrnice, školení zaměstnanců, až po samotnou implementaci.

Uvažujte o GDPR jako o projektu

V praxi se setkáváme s rozdílnými přístupy, kdo má vlastně ve firmě GDPR řešit. Někde je to personální ředitel, jinde vedoucí IT, asistent ředitele, právní oddělení… je to interní rozhodnutí každé organizace, vychází ze znalosti prostředí a konkrétní situace a my to plně respektujeme. Ale jako první radu bych zmínil: „Uvažujte o GDPR jako o projektu.“

Jmenujte manažera pro GDPR

Vytvořte pro tento projekt manažerskou roli a svěřte jí patřičné kompetence, zejména pracovní čas, rozpočet a to nejdůležitější – možnost kvalitní a vstřícné komunikace se všemi, kterých se ochrana osobních údajů ve vaší organizaci týká. Právě kvalitní komunikace mezi jednotlivými odděleními, manažery, zaměstnanci, umožní vedoucímu projektu přístup k potřebným informacím a zdrojům.

Sestavte kompetentní tým

Do týmu nominujte zástupce ze všech oddělení, kde přicházejí do styku s osobními údaji. Jedině tak zjistíte relevantní informace, jak je s osobními daty nakládáno, jak jsou uchovávána, zabezpečena a chráněna. Získáte tak potřebný přehled o rozsahu zpracování osobních údajů ve vaší organizaci. To bude váš kvalitní zdroj pro zadání detailní analýzy současného stavu a posouzení souladu s GDPR. Všem doporučuji do týmu přizvat, kromě personalisty, obchodního a marketingového ředitele, kteří komunikují se zaměstnanci a zákazníky, také zástupce IT oddělení. Z našich zkušeností už víme, jak nepostradatelnou roli hraje v případě znalostí a informací o elektronickém zpracování dat a míře technického zabezpečení v dané organizaci. Následně bude také kompetentní osobou při samotné implementaci nápravných opatření pro udržení vysoké míry zabezpečení elektronizace osobních údajů.

Proveďte datový audit

Najděte odpovědi na základní otázky: jaká data evidujete, spadají do kategorie osobních údajů, jedná se o citlivé údaje, kde jsou data uložena, jak jsou technicky zabezpečena a kdo k nim má přístup. Vytvoříte tak přesný obraz o tom, jak je s osobními údaji ve vaší organizaci skutečně nakládáno, jaké interní procesy s nimi souvisí, jak jsou chráněna a zabezpečena. Získáte jedinečný dokument, který se pro vás stane kvalitním zdrojem pro analýzu a odborné posouzení, zda jsou vaše současné procesy na ochranu osobních údajů v souladu s novou legislativou, případně která nápravná opatření budete muset přijmout a implementovat, abyste byli v květnu příštího roku připraveni!

Jan Pawlik Security Consultant ve společnosti Trusted Network Solutions.