facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
IT Systems - online trafika
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 10/2017 , IT právo

Jak úspěšně zvládnout přípravu na GDPR?

O výsledku rozhodují už první krůčky na startu

Jan Pawlik


Jak úspěšně zvládnout přípravu na GDPR?Na aktuální situaci ve firmách, které berou přípravu na příchod nového nařízení o ochraně osobních údajů skutečně vážně, jsme se zeptali bezpečnostního specialisty Jana Pawlika ze společnosti Trusted Network Solutions, který se systematicky věnuje ochraně dat a řízení informační bezpečnosti.


Jak byste popsal situaci kolem GDPR horečky, která se stává pro mnohé organizace žhavým tématem?

Přípravy na příchod nového nařízení EU o ochraně osobních údajů jsou již v plném proudu. GDPR vejde v účinnost již 25. května 2018, a je tak nejvyšší čas začít se přípravě skutečně věnovat. Troufám si říci, že firmy, které v průběhu ledna příštího roku nezahájí alespoň analytické práce, již nestihnou celý proces k uvedenému datu úspěšně dokončit, a budou tak riskovat vysoké sankce. Jen pro představu, mnohé velké společnosti, jako například finanční instituce, zahajovaly analytické kroky již před rokem a nyní finišují se samotnou implementací. Chtěl bych tak pochválit všechny organizace, které se tématu GDPR již zodpovědně věnují a nenechávají vše až na poslední chvíli. V současnosti konzultujeme a řídíme přípravu projektů již v desítkách společností od malých a středních firem až po velké organizace s rozsáhlou sítí poboček.


Vy už jste v terénu a konzultujete přímo ve firmách. Co poradíte těm, kteří ještě nezačali? Představme si typickou organizaci a interního zaměstnance, který dostal za úkol problematiku GDPR vyřešit. Co byste z vlastní zkušenosti poradil, kde začít, na co se zaměřit?

Jak nám samotná praxe ukazuje, tak pro úspěšné zvládnutí a dosažení souladu s legislativou je třeba k celé záležitosti přistoupit ve smyslu projektového řízení, neboť zavedení nové normy GDPR si vyžaduje maximální spolupráci všech zúčastněných, kteří v dané organizaci přicházejí do styku s osobními údaji nebo s nimi jakkoliv nakládají. Pro názornou ilustraci bych tento proces přirovnal například k zavedení certifikace ISO. Jedná se tedy o soubor jednotlivých řízených kroků, od datového auditu, analýzy současného stavu, návrhu nápravných opatření, tvorbu směrnice, školení zaměstnanců, až po samotnou implementaci.

Uvažujte o GDPR jako o projektu

V praxi se setkáváme s rozdílnými přístupy, kdo má vlastně ve firmě GDPR řešit. Někde je to personální ředitel, jinde vedoucí IT, asistent ředitele, právní oddělení… je to interní rozhodnutí každé organizace, vychází ze znalosti prostředí a konkrétní situace a my to plně respektujeme. Ale jako první radu bych zmínil: „Uvažujte o GDPR jako o projektu.“

Jmenujte manažera pro GDPR

Vytvořte pro tento projekt manažerskou roli a svěřte jí patřičné kompetence, zejména pracovní čas, rozpočet a to nejdůležitější – možnost kvalitní a vstřícné komunikace se všemi, kterých se ochrana osobních údajů ve vaší organizaci týká. Právě kvalitní komunikace mezi jednotlivými odděleními, manažery, zaměstnanci, umožní vedoucímu projektu přístup k potřebným informacím a zdrojům.

Sestavte kompetentní tým

Do týmu nominujte zástupce ze všech oddělení, kde přicházejí do styku s osobními údaji. Jedině tak zjistíte relevantní informace, jak je s osobními daty nakládáno, jak jsou uchovávána, zabezpečena a chráněna. Získáte tak potřebný přehled o rozsahu zpracování osobních údajů ve vaší organizaci. To bude váš kvalitní zdroj pro zadání detailní analýzy současného stavu a posouzení souladu s GDPR. Všem doporučuji do týmu přizvat, kromě personalisty, obchodního a marketingového ředitele, kteří komunikují se zaměstnanci a zákazníky, také zástupce IT oddělení. Z našich zkušeností už víme, jak nepostradatelnou roli hraje v případě znalostí a informací o elektronickém zpracování dat a míře technického zabezpečení v dané organizaci. Následně bude také kompetentní osobou při samotné implementaci nápravných opatření pro udržení vysoké míry zabezpečení elektronizace osobních údajů.

Proveďte datový audit

Najděte odpovědi na základní otázky: jaká data evidujete, spadají do kategorie osobních údajů, jedná se o citlivé údaje, kde jsou data uložena, jak jsou technicky zabezpečena a kdo k nim má přístup. Vytvoříte tak přesný obraz o tom, jak je s osobními údaji ve vaší organizaci skutečně nakládáno, jaké interní procesy s nimi souvisí, jak jsou chráněna a zabezpečena. Získáte jedinečný dokument, který se pro vás stane kvalitním zdrojem pro analýzu a odborné posouzení, zda jsou vaše současné procesy na ochranu osobních údajů v souladu s novou legislativou, případně která nápravná opatření budete muset přijmout a implementovat, abyste byli v květnu příštího roku připraveni!

Jan Pawlik Jan Pawlik
Security Consultant ve společnosti Trusted Network Solutions.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.