Co Vy a GDPR? 2.

V prvním díle našeho seriálu jsme ze sebe dostali trochu toho spravedlivého (božího) hněvu a teď přišel čas na konstruktivní řešení reálných problémů. GDPR prostě jednoznačně nastane, o tom není vůbec žádných pochyb. Můžeme nesouhlasit, ale to je, slovy klasika, tak nějak vše, co s tím můžeme dělat.

Zatímco jsme se odmlčeli, neváleli jsme si šunky (většinou), ale snažili jsme se zavrtat co nejhlouběji do GDPR problematiky. Z téhle expedice máme notýsky našlapané cennými poznatky, o které se s vámi podělíme. Mluvit bude hlavně Zdenda, který se souhrou okolností stal naším GDPR guru (dlužno podotknout, že je z toho velmi nadšený). Řekne vám hlavně něco o tom, co všechno děláme, aby naši stávající klienti byli s GDPR v pohodě a taky, co můžeme udělat pro to, abyste s ním v pohodě byli i vy.

Pro snazší uchopení problému jsme si GDPR rozdělili na dvě části, právní a technickou. Empirickým výzkumem jsme ovšem dospěli k faktu, že nejde řešit jednu část bez druhé. Nejprve je třeba si uvědomit, jaká všechna data sbíráte a jestli s nimi umíte správně nakládat. Z toho vyplývají tři velmi důležité body:

  • interní procesy - práce s daty, ochrana dat, řízení přístupů pro oprávněné osoby, atd.
  • interní legislativa - úprava smluv s dodavateli a klienty, případně zaměstnanci a externisty
  • analýza informačních systémů a dalších systémů/aplikací/online nástrojů, se kterými přicházejí zaměstnanci (případně další zpracovatelé/administrátoři) do styku = kde je předpoklad, že se vyskytují/zpracovávají/posílají/uchovávají osobní údaje

 

V těchto bodech se realizuje spolupráce právního a IT segmentu GDPR implementace. Zajímavé je, že větší část práce leží na bedrech právních oddělení a to asi 80:20 vůči IT. Tento poměr se však může měnit projekt od projektu. A jak už jsme říkali, nefunguje to jedno bez druhého. Řešení, které si jede po své oborové lince a nezohlední více úhlů pohledu, velmi pravděpodobně nebude GDPR compliant.

A co můžeme udělat my, aby to Vaše podnikání GDPR Compliant bylo?

Provádíme analýzu systémů (jak jsme popsali výše), kterou následně konzultujeme s právním oddělením. Ve spolupráci s ním navrhneme patřičná nápravná opatření. U menších projektů máme pro klienty předpřipraveno několik možných variant technických opatření, která již GDPR Compliant jsou a úspěšně jsme je už aplikovali v jiných případech. A pokud jste malá či střední firma a žádné právní oddělení nemáte, vůbec nemusíte zoufat. Jsme připraveni konzultovat a vyřešit i právní otázky týkající se GDPR. Z tohoto důvodu aktivně spolupracujeme s právní firmou a jsme tak schopní nabídnout kompletní aplikaci GDPR do firmy (tedy včetně interních procesních a legislativních záležitostí).

A jak ses k tomu vlastně dostal, Zdendo?

Již delší dobu pracuju na projektu eshopu pro Intersport jako projektový manažer. V tomto projektu je aspektů pro řešení GDPR opravdu hodně a člověk se tady vyřádí. Tak nějak sem si s GDPR tedy začal tykat a v současnosti tuto problematiku řeším jako technický konzultant pro interní potřebu firmy a spolupracuji také na dalších projektech podobného zaměření.

Se základy GDPR problematiky se Zdenda seznámil přirozeně díky projektům, o které se stará. Další potřebné informace si doplnil na celodenní konferenci o GDPR (ExpoNet), kde se na tuto záležitost pohlíželo ze všech možných úhlů pohledu. A protože příval neustále měnících se informací je obrovský, čerpá Zdenda i z oficiálních stránek ÚOOÚ.

A co si o něm Zdenda vlastně myslí?

Jsem rád, že něco takového existuje a zároveň jsem skeptický. Chránit spotřebitele před nekalými praktikami a lajdáckým nakládáním s osobními daty (mimochodem v našich končinách velmi běžná praxe) je přínosné. Drakonické tresty možná zdánlivě neminou účinkem, ale já jsem trochu skeptik.  Obávám se toho, aby se z GDPR nestal velmi efektivní nástroj konkurenčního boje pro oslabení a likvidaci menších firem. Bohužel nepředpokládám, že by toto nařízení donutilo státní instituce nakládat s osobními údaji korektně (nejen úřady, ale i policii, výzvědné služby naše i zahraniční) a že by zamezilo nějakému kyberzločinu.

A co si o GDPR nejčastěji myslí klienti?

Myslím, že ji mají tendenci podceňovat. Mnohdy moc netuší, o co běží nebo nedohlédnou,  čeho všeho se toto nařízení týká a čeho je potřeba se vyvarovat. Mnohdy se setkávám s tím, že si klienti myslí, že bude stačit něco málo v rámci firmy aplikovat a to stačí. Bohužel kvůli vysokým pokutám opravdu nestačí. Pro firmy je to samozřejmě zátěž, a to jak na lidské zdroje, tak finanční, protože i doposud svědomitý klient si pro jistotu dělá analýzu současného stavu oproti GDPR, aby měl případně dokument, který může předložit, pokud by přece jenom dorazila kontrola z úřadu (předpokládám nějaké anonymní nahlášení).

Takže, jestli v problematice GDPR pořád ještě tápete, napište nám a společně určitě něco vymyslíme.

Očekávejte další díl☺

Tě Pix!

 
 
 
  • Sdílet: