Příprava na GDPR donutí firmy udělat si pořádek v datech

Za necelý rok vejde v platnost tzv. GDPR, tedy Nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nedodržení tohoto nařízení může být postihováno vysokými sankcemi – až do výše 20 milionů eur nebo 4 % ročního obratu, proto by firmy neměly přípravu zanedbat. Podle nedávného doporučení společnosti Gartner je nejvyšší čas s přípravou firemních systémů na GDPR začít, přesto si je v současné době jen desetina organizací vědomá toho, jaké sankce na ně mohou při zanedbání přípravy dolehnout; a ještě menší procento má představu o tom, jak by měly postupovat.   

Nejde ale jen o restrikci. Evropské nařízení o ochraně osobních údajů (GDPR) dosud platné předpisy pro zacházení s osobními daty v mnohém upřesňuje a zjednodušuje, navíc firmy v rámci přípravy mohou udělat pořádek ve schraňovaných datech a procesech pro nakládání s nimi. Potřebují především důkladně zmapovat infrastrukturu a procesy a zjistit, kde všude jsou osobní údaje uloženy, kdo má právo s nimi manipulovat, proč k nim má přístup a za jakým účelem je zpracovává. Velkým úkolem bude regulace „šedé zóny“ IT, tedy situace, kdy jsou data uložená mimo k tomu určená úložiště. Ať už jde o různé neoficiální zálohy nebo kopie na osobních stanicích, v noteboocích či telefonech zaměstnanců. 

Mezi klíčové úkoly GDPR patří především zabezpečení dat. Ondřej Ševeček, odborník na bezpečnost dat Počítačové školy Gopas, k tomu říká: „Úniky osobních údajů jsou ve valné většině způsobeny špatným zajištěním kybernetické bezpečnosti. Firmy budou muset nově definovat pravidla pro zajištění dat před úniky – a to jak před útoky zvenčí, tak před interními incidenty. Investice firem do této oblasti jsou nemalé, proto je třeba vyhodnotit, jakou úroveň zabezpečení dat firma opravdu potřebuje a jak je možné jej zajistit opravdu účelně. Nedílnou součástí přípravy na GDPR by proto mělo být i vzdělávání pracovníků odpovědných za zabezpečení dat.“

Lidé, kteří ve firmách zajišťují IT bezpečnost a právnický servis už většinou mají představu o tom, co GDPR obnáší. Ale ne vždy. Nedávný průzkum, který provedla společnost Kaspersky Lab například ukázal, že pětina IT specialistů dosud nemá představu o tom, co by měli zajistit. A ještě hůře jsou na tom zaměstnanci jiných oddělení, kteří s daty přicházejí denně do styku. „Zajištění souladu s GDPR je časově náročný projekt, na jehož začátku by měli zainteresovaní IT odborníci i management nejprve zjistit, jakým požadavkům budou muset jejich systémy vyhovět. Pomoci jim mohou naše nové specializované kurzy: Zákon o kybernetické bezpečnosti a GDPR - technické a procesní požadavky a Data Protection Officer s certifikační zkouškou,“ dodává Ondřej Ševeček.