Nařízení o ochraně osobních údajů se dotkne všech oblastí podnikání bez ohledu na velikost firmy nebo předmět její činnosti. Soulad s novými pravidly přitom nestojí na zavedení dílčího univerzálního bezpečnostního systému. Jde spíše o kritický pohled "do vlastních řad" s cílem učinit pořádek, zavést a dlouhodobě udržovat opatření, která osobní údaje opravdu dostatečně ochrání. Nezřídka se přitom podaří odhalit a odstranit i nejrůznější nedostatky v organizaci práce, v řídicích procesech nebo i v zabezpečení IT.

První, co by měl učinit každý, kdo implementuje GDPR, je ujasnění, co je vlastně třeba chránit, získat přehled, s jakými osobními údaji a jak se v organizaci pracuje, kde jsou uložena, kdo k nim má přístup a jak s nimi může nakládat. Nejde přitom jen o údaje v počítačích, nýbrž i o údaje v nejrůznějších papírových dokumentech, ve smlouvách nebo třeba na mikrofiších. Poté by měla následovat analýza rizik. Jejím úkolem je odhalit a vyhodnotit potenciální rizika, která v souvislosti se zpracováním údajů hrozí. Analýza rizik je velmi důležitý krok, neboť rizika do značné míry ovlivňují další postup implementace a s tím i celkové náklady na zavedení GDPR. Dostatečně účinná opatření lze totiž vhodně zvolit a nastavit pouze tehdy, jsou-li rizika definována správně a adekvátně. V případě úniku osobních údajů může mít úroveň jejich rizikovosti také zásadní dopad na výši udělené sankce. Teprve se znalostí údajů, které je třeba chránit, a rizik, jež hrozí, lze přistoupit k uskutečňování organizačních, procesních a technických opatření. Při jejich realizaci je třeba mít neustále na paměti také fakt, že GDPR není jednorázová akce, nýbrž kontinuální proces.

Zbývá vám ještě 20 % článku
První 2 měsíce předplatného za 40 Kč
  • První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Nově všechny články v audioverzi
Máte již předplatné?
Přihlásit se