Homo sapiens sapiens má od přírody některé vzorce chování vloženy asi už do DNA a tak se necháme polekat bleskem (přitom pokud záblesk vidíme, už nám nic nehrozí), ale třeba i hrozbou pokuty (pokud je vysoká vzbuzuje obavy, aniž bychom věděli k podmínkám uložení něco více). Navíc se někteří snažíme věci odkládat, nebo jsme ochotni uvěřit tomu, že existují snadná a rychlá řešení. A tak se prostor kolem nás hemží buzzwordem (ošklivé slovo, ale nevím čím jej nahradit) GDPR ve spojení s výrazy snadno, rychle, řešení. Ono to však takhle nejde a nefunguje. Špatná zpráva, dostat se do souladu s GDPR je nutné si odpracovat. Proč vás čekají pot a slzy? Protože neexistuje software, který si nainstalujete „…a všechno bude fajn“.

Jednak GDPR není jen a pouze o ochraně dat. Ano to bychom měli jednodušší. Nainstalujeme si nabízené šifrátory, nacpeme se do cloudu, vezmeme si čipové karty, zapneme logování a jsme připraveni. Ne, že by implementace IT řešení byla snadná, ale pokud bychom se trápili jen a pouze ochranou osobních údajů, mohli bychom být mnohem veselejší. Z mého pohledu je však GDPR zejména o posílení práv subjektů osobních údajů (to je nás všech – všichni máme osobní údaje), vůči jejich správcům a zpracovatelům (to jsou ti, kteří z různých důvodů s našimi osobními údaji pracují). Bohužel posílení těchto práv, žádný software a ani žádný hardware nezvládne vyřešit. Musíte si zjistit, jaké osobní údaje a jakých subjektů jako správce či zpracovatel máte a jestli máte vůbec právo a nárok je mít. A ví subjekty vůbec, proč vám ty osobní údaje poskytují? A jak dlouho ty údaje uchováváte? A víte vůbec proč, je tak dlouho uchováváte? A protože je to všechno kvůli právům subjektu, potřebujete vyřešit, jak budete zpracovávat námitky subjektu proti zpracování nebo jeho žádost o výmaz (a co když ty údaje potřebujete pro nějaký úřad, že?). Takže ve skutečnosti si musíte udělat pořádnou inventuru a potom vymyslet a zadokumentovat procesy, kterými zajistíte výkon práv.

Samozřejmě dojde i na ochranu osobních údajů, ale opět to není jen a pouze o hardware a software. Musíte se rozhodnout, co budete implementovat, protože pozor, implementace třeba zmiňovaného šifrování není nezbytně nutné, GDPR není technická norma, která by stanovila exaktní parametry. Každopádně své rozhodnutí musíte podložit důvody, což znamená, že si to musíte zase odmyslet, odanalyzaovat, odpracovat, software nepomůže…. A co teprve potřeba „obalit“ i vlastní bezpečnost osobních údajů procesy a dokumentací. Rozhodně potřebujete řídit incidenty, což znamená, že si musíte zase namyslet, kdo to bude dělat a jak to bude dělat.

Bohužel ono to bez spálení kyslíku nejde a nepůjde. Neskákejte tedy na jednoduché slogany a nevěřte obchodníkům s deštěm.

Pokud Vás GDPR přesto děsí, nevíte kde začít a jak začít, neváhejte a obraťte se na AutoCont. Rádi Vám pomůžeme s implementací GDPR jako takového nebo aspoň poradíme. AutoCont ví jak.