Na GDPR selským rozumem

Téma nové evropské směrnice o ochraně osobních údajů GDPR - General Data Protection Regulation - se dostává stále více do popředí zájmu firem i médií.

Většina publikovaných informací má některé společné rysy. Zejména se jedná o strašení firem vysokými pokutami (20 milionů EUR nebo 4 % z obratu za uplynulý finanční rok) a vysvětlování komplikovanosti problematiky.

Málo kdo z autorů nabízí použitelný návod k řešení

Právníci vám „vyřeší“ GDPR jednou provždy vytvořením nové právní dokumentace, poradci nabízejí komplexní analýzy, které identifikují nedostatky a následně navrhnou a implementují nová řešení anebo výrobci bezpečnostních software nabízejí „krabičky“ řešící všechny GDPR problémy za vás.

Jaká je ale realita?

V první řadě je důležité si uvědomit, že GDPR v zásadě nenařizuje nic moc konkrétního. Pokud zrovna nejste banka, dodavatel energií, telekomunikační operátor, velká nemocnice nebo úřad, pravděpodobně pro vás nebude řešení GDPR dramaticky složité. Hlavní zásadou GDPR je, že každá organizace má zajistit přiměřená opatření pro zabezpečení osobních údajů, se kterými přichází do styku nebo které zpracovává. Pojďme tedy začít tuto problematiku řešit staletími ověřenou metodou selského rozumu.

Nejdříve je potřeba si ujasnit, jaké osobní údaje firma zpracovává, kde všude se tyto údaje nacházejí, kdo všechno k nim má přístup a jak s nimi pracuje. Zde platí obecné pravidlo, že management si myslí, že ví, ale realita je často dost odlišná. Proto se vyplatí promluvit s více lidmi ve firmě a v některých případech se může hodit třeba i krátký nezávislý monitoring práce s daty uvnitř společnosti.

Když jsme si jisti, že máme pravdivé odpovědi na výše uvedené otázky, následuje druhá část, kdy opět selským rozumem navrhneme přiměřená technická a organizační opatření na zabezpečení ochrany osobních údajů.

Typickým výsledkem pak bude kombinace, kdy například právník udělá lepší smlouvu s externím dodavatelem vašeho software nebo služby, ve firmě si upravíte některé procesy tak, aby do kontaktu s osobními údaji přicházelo méně pracovníků, vysvětlíte zaměstnancům, jak s daty pracovat a třeba zjistíte, že na vybrané počítačové stanice by bylo dobré aplikovat šifrování.

A jedna důležitá rada na závěr

GDPR sice řeší jen ochranu osobních údajů, ale v každé firmě se nachází mnoho jiných pro firmu důležitých a citlivých dat, jejichž ztráta nebo vynesení může potenciálně způsobit velké škody. Patří sem například obchodní smlouvy, projekty, patenty nebo jiné důležité know-how organizace.

GDPR je šance, jak v jednom kroku vyřešit nejen ochranu osobních údajů, ale stejně tak ostatních citlivých dat společnosti. K ochraně informací se můžete inspirovat například obecnými normami ISO 27001 nebo zákonem o kybernetické bezpečnosti, kde najdete konkrétní návody, jak na to. Můžete tak příslovečně zabít dvě mouchy jednou ranou.

Martin Ondráček, technický ředitel