Nařízení o ochraně osobních údajů se dotkne všech oblastí podnikání bez ohledu na velikost firmy nebo předmět její činnosti. Soulad s novými pravidly přitom nestojí na zavedení dílčího univerzálního bezpečnostního systému. Jde spíše o kritický pohled "do vlastních řad" s cílem učinit pořádek, zavést a dlouhodobě udržovat opatření, která osobní údaje opravdu dostatečně ochrání. Nezřídka se přitom podaří odhalit a odstranit i nejrůznější nedostatky v organizaci práce, v řídicích procesech nebo i v zabezpečení IT.

První, co by měl učinit každý, kdo implementuje GDPR, je ujasnění, co je vlastně třeba chránit, získat přehled, s jakými osobními údaji a jak se v organizaci pracuje, kde jsou uložena, kdo k nim má přístup a jak s nimi může nakládat. Nejde přitom jen o údaje v počítačích, nýbrž i o údaje v nejrůznějších papírových dokumentech, ve smlouvách nebo třeba na mikrofiších. Poté by měla následovat analýza rizik. Jejím úkolem je odhalit a vyhodnotit potenciální rizika, která v souvislosti se zpracováním údajů hrozí. Analýza rizik je velmi důležitý krok, neboť rizika do značné míry ovlivňují další postup implementace a s tím i celkové náklady na zavedení GDPR. Dostatečně účinná opatření lze totiž vhodně zvolit a nastavit pouze tehdy, jsou-li rizika definována správně a adekvátně. V případě úniku osobních údajů může mít úroveň jejich rizikovosti také zásadní dopad na výši udělené sankce. Teprve se znalostí údajů, které je třeba chránit, a rizik, jež hrozí, lze přistoupit k uskutečňování organizačních, procesních a technických opatření. Při jejich realizaci je třeba mít neustále na paměti také fakt, že GDPR není jednorázová akce, nýbrž kontinuální proces.

...

Pokračování tohoto článku si mohou přečíst jen předplatitelé. Děkujeme za vaši přízeň.
Obsah starší než měsíc je součástí archivu a do článků zdarma se nepočítá. Chcete číst bez omezení? Předplaťte si plný přístup.
Předplatit od 199 Kč / měsíc
Máte již předplatné?