Jste připraveni na den G?

Jste připraveni na obecné nařízení o ochraně osobních údajů (GDPR)? Datum, kdy nabyde účinnosti, známé také jako „Den G“, tedy 25. květen 2018, se kvapem blíží a velké i malé organizace mají z jeho naplňování stále mnoho obav. Prvním krokem k dodržování tohoto nařízení je definice správných otázek, které byste měli položit svým současným i budoucím dodavatelům IT služeb.

196
0
SDÍLET

Tady je pět vzorových otázek včetně toho, co byste se měli v odpovědích dozvědět, jak je naformuloval Dierk Schindler, šéf právního oddělení pro region EMEA ve společnosti NetApp, který zároveň působí jako globální ředitel Contract Management & Services NetApp.

Jak jste jako poskytovatel technologických služeb přistoupil k dodržování GDPR?

Pokud vám dodavatel IT služeb odpoví, že používá nějaké technologické řešení, které vaší firmě dodržování GDPR pomůže zvládnout, trvejte na tom, aby vám vysvětlil, jak tato technologie pracuje. Jeho odpověď není důležitá pouze k tomu, abyste mohli posoudit jeho odbornou způsobilost, ale zejména abyste si ověřili, jaké má znalosti o právních a technologických aspektech GDPR. Váš IT dodavatel musí být bezvýhradně spolehlivý, musíte si být jistí, že dokáže spravovat a chránit vaše citlivá data. Pokud není schopen poskytnout uspokojivou odpověď, najděte si na tyto služby raději někoho jiného.

Jaký vliv má cloudové řešení na GDPR?

Cloudová řešení představují největší zásah do průmyslu ochrany dat za poslední desetiletí. Z tohoto důvodu by se jejich všudypřítomnost měla stát významnou součástí diskusí a řešení GDPR.  Firmy poskytující IT služby by si měly uvědomit, jak funguje globální cloudový ekosystém z hlediska svrchovanosti správy, přenosu a dokonalé ochrany dat. Moderní data jsou distribuována dynamickým a rozmanitým způsobem a bývají ukládána v různých heterogenních prostředích a někdy i na různých kontinentech. Právní předpisy na ochranu soukromí uživatelů v tomto datovém ekosystému dohánějí technologický vývoj. Proto je nutné, aby se firmy ujistily o tom, že jejich provozní postupy udržují s vývojem krok a kombinují možnosti moderního řízení dat s požadavky nových zákonů o datové komunikaci.

Jsou osobní data a bezpečnost dat jedno a totéž?

GDPR a kybernetická bezpečnost – tyto dva pojmy jsou často v diskusích o osobních datech spojovány. I když jsou oba termíny důležité, rozhodně nejsou totožné. Je nutné, aby váš dodavatel IT řešení mezi nimi chápal rozdíl a byl vás schopen vést správným směrem.

Zabezpečení dat a sítě je především záležitostí bezpečnostních systémů. Přestože tato skutečnost je v kontextu GDPR jen jedním z dílů skládačky, soukromí dat vyžaduje mnohem víc, zejména silné obchodní a administrativní procesy zaměřené na ochranu soukromí dat, a také změnu myšlení zaměstnanců a obchodních partnerů. Zabezpečení dat samo o sobě ještě nezaručuje, že vaše organizace disponuje vhodnou a efektivní kontrolou ochrany osobních údajů a že je v konečném důsledku kompatibilní se standardem GDPR.

Je IT technologie všelékem na dodržování GDPR?

Pokud vás bude váš dodavatel IT řešení přesvědčovat o tom, že alfou a omegou dodržování GDPR je technologie, je jasné, že podstatě tohoto nařízení vůbec nerozumí.  Pokud jde o dodržování GDPR, pak by organizace měly brát v potaz tři základní součásti: lidi, procesy a technologii. Technologie, i když se může zdát klíčovým elementem, vás nemůže nikdy ochránit před lidskými chybami, zejména před takovými, které jsou způsobeny úmyslně bez vědomí toho, že jde o operačně a právně nesprávný postup.

Proto je nutné, aby byly organizace na GDPR kulturně připravené. Je nutné znovu vyhodnotit všechny datové procesy s otevřenou myslí. Součástí tohoto postupu je porozumění různým třídám dat, identifikace a označování osobních údajů a přehodnocení případů, v nichž by se organizace mohla obejít bez využívání osobních údajů. Teprve pak tento přístup povede ke splnění požadavků na moderní strategii správy dat a správná rozhodnutí v oblasti IT. K tomu je zapotřebí připravit si komplexní strategii zahrnující spolupráci různých oblastí organizace. Tento přístup v podstatě znamená nejen zapojení pověřence pro ochranu dat, ale také marketingového, finančního, technického a generálního ředitele a jejich týmů. Stručně řečeno, GDPR je jedním z mála právních předpisů, který spojuje technologii s aplikací zákona, a proto je třeba, aby podniky zvážily všechny tři prvky: lidi, procesy a technologie.

Jak navrhujete, abychom strukturovali program dodržování GDPR?

Dobrým výchozím bodem pro navržení a realizaci programu dodržování GDPR je přístup založený na vyhodnocení míry rizika. Každý tým dané organizace individuálně vyhodnotí rizika, s nimiž se může setkat, následně pak zástupci všech týmů společně připraví program dodržování GDPR, přičemž mohou vycházet z odborných znalostí celé organizace. V tomto přístupu se opět spojují tři klíčové aspekty, které byly zmíněny již dříve: lidé, procesy a technologie.

Je důležité, aby vás váš současný nebo budoucí dodavatel IT služeb seznámil s tím, kterou z těchto tří klíčových součástí je schopen efektivně podpořit. Obvykle jediný dodavatel IT služeb není schopen řídit všechny tři elementy. V takovém případě by měl být schopen přijmout do svého týmu ty chybějící a spojit je do jediného komplexního programu.

ZANECHTE ODPOVĚĎ

Vložte svůj komentář.
Vaše jméno