Do účinnosti GDPR ostáva posledných 6 mesiacov. Odborníci v oblasti ochrany súkromia už dnes vedia pomerne jasne vyjadriť svoj názor na predmetnú legislatívu. Existujú dva tábory presadzujúce odlišné postoje. Jedna strana považuje GDPR za zásadnú zmenu v ochrane súkromia, druhá naopak zotrváva na označení „bublina“. Nech už ste zástancom jedného či druhého tábora, tento blog je venovaný krátkym poznatkom z implementácie GDPR.
1. Čítajte s porozumením
Kľúčom k správnemu vnímaniu GDPR je čítanie s porozumením. Je dobré, ak GDPR číta niekto kto rozumie kontextu, v ktorom bola táto legislatíva prijatá. Nie je dobré, ak čítanie prenecháte „len“ právnikovi či bezpečnostnému technikovi alebo procesnému architektovi. Dôležité sú skúsenosti s predmetnou legislatívou, vnímaním ochrany súkromia a stratégie Európskej únie a v neposlednom rade znalosť miestnych pomerov (organizácie). Potom pristúpte ku kritickému hodnoteniu práv a povinností vyplývajúcich z GDPR.
2. Zvoľte optimálnu stratégiu
Či už ste klient malý, stredný veľký, dobre viete či na implementáciu potrebujete otvoriť projekt alebo postačuje líniová aktivita. Malé firmy sa azda uspokoja s „gap“ analýzou a implementovaní legal must požiadaviek, ktoré sa dajú celkom dobre nakúpiť od rôznych dodávateľov na trhu. Pamätajte, že stratégia, ktorú zvolíte by mala vziať do úvahy nie len aktuálny stav vašej spoločnosti ale aj jej očakávaný vývoj. Uvažovať by ste mali v strednodobom horizonte. Zavádzaním nových technológií alebo vstupom na nový trh môžete významne ovplyvniť prijaté opatrenia GDPR. Pre veľké podnik či korporácie je podľa môjho názoru nevyhnutné rozpracovať komplexnú implementačnú cestovnú mapu, ktorá bude reflektovať už na existujúcu stratégiu riadenia dát v danej spoločnosti. Otázne je, či vnímate oblasť ochrany súkromia ako nezávislý prúd dátového manažmentu alebo ako súčasť celkovej organizácie dát. Od predmetného rozhodnutia bude závisieť životnosť navrhnutých implementačných opatrení a jej celkový výsledok.
3. Znalosť vnútorných procesov je kľúčová
Pamätajte na to, že ak sa rozhodnete akceptovať GDPR ako istú „kultúrnu zmenu“ pri čítaní povinností vyplývajúcich z GDPR prídete do momentu, kedy je potrebné zmeniť existujúce procesy. Nie všetky a nie za každú cenu. Dôležité je vybrať len tie, ktoré z hľadiska praktickej implementácie sú nevyhnutné k dosiahnutiu potrebného výsledku. Identifikácia kritických procesov ušetrí čas a peniaze. IT a procesní architekti sú tí, ktorí by mal sedieť v prvej rade na prednáškach GDPR.
4. Budujte od základov
Ak je to pre veľkosť spoločnosti relevantné, prípadne ak vás postavia pred otázku Data governance vždy odpovedajte áno. Ak je na to priestor implementujte pravidlá GDPR s ohľadom na Data governance. Docielite tým , že po skončení implementácie GDPR budú procesy fungovať vo vzájomnej súvislosti a navzájom sa podporovať. Či už z hľadiska dátovej kvality, architektúry, bezpečnosti a pod. Ak už máte dnes zavedený Data governance, tak zajtra budete z neho benefitovať. Prečo ho teda nerozšíriť o pravidlá ochrany súkromia?
5. Implementácia systémových opatrení musí byť priamoúmerná výsledku
GDPR prináša viaceré požiadavky, ktoré sa dotýkajú existujúcich informačných systémov. Či už právo na výmaz alebo prenos osobných údajov a právo na obmedzenie spracúvania sú vo svojej podstate zložitými systémovými opatreniami. Právo na prístup k osobným údajom predpokladá extrakciu dát z databázy na základe vopred definovaných kritérií. Právo na výmaz zasa predpokladá nastavenie retenčných periód. Je dôležité, aby tieto technické opatrenia boli implementované tam, kde to prinesie očakávaný výsledok. Prioritizujte, ktoré systémy vyžadujú full GDPR implementáciu.
6. Nevyhradzujte sa
Je dôležité nevyhradzovať sa voči GDPR. Mám namysli, nechcite ju vnímať len cez jednu optiku napríklad informačnej bezpečnosti alebo len ako právnej normy. GDPR nie je ani technická norma, nie je to len právny predpis a nie je to ani typická regulácia. Neodovzdávajte preto jej implementáciu do rúk expertom dedikovaným výlučne pre jednu oblasť.
7. Uvažujte kto je klient GDPR
Kto je interný klient? Ten kto má z osobných údajov najväčší profit. Ten by mal byť sponzorom celej implementácie. Chránite predsa jeho dáta. Dôležité je, aby ste mali jasne určeného vlastníka, ten by mal dať celej akcii správny smer. Kto je externý klient je asi zrejmé, no viete ako vyzerá? Je to nespokojný zákazník či bývalý zamestnanec? Zamerajte sa na to, čo tieto subjekty môžu od predmetnej legislatívy očakávať a aké práva sú pre nich najviac atraktívne.
8. Myslite na budúcnosť
Viete čo bude po 25.5.2018? alebo po 25.5.2025? Budete stále využívať tie isté technológie? Je v cieľovej architektúre systém, do ktorého investujete prostriedky na implementáciu GDPR? Na tieto otázky je vhodné si odpovedať skôr než pristúpite k implementácii. Je vhodné sa pozrieť na strednodobý a dlhodobý horizont a zosúladiť prijatú stratégiu s ohľadom na vyššie uvedené. Nezabúdajme aj na zmenu legislatívy, tá môže priniesť zmenu.
9. Zmena zhora
Ak nemáte podporu manažmentu spoločnosti nemáte v podstate nič. Podľa viacerých RACI matíc je vedenie spoločnosti zodpovedné za ochranu osobných údajov. Je to logické. Preto by bolo dobré, aby sa zmena začala realizovať z hora. Predpokladom k úspechu je nastavenie pravidelných workshopov s vedením spoločnosti. Ak presadíte vo vašej spoločnosti, že ochrana dát je priorita manažmentu, tak máte 50% úspechu zaručeného. Pochopiteľne, podpora z zhora pozitívne ovplyvňuje firmu ako celok jej nastavenie, plánovanie a rozpočet dedikovaný na GDPR.
10. Nie ste NASA akceptujte riziká
Podľa viacerých odborníkov nie je možné GDPR implementovať bez výhrad. Súhlasím s tým, že záruku 100% súladu s GDPR vám nemôže dať nikto. Samotný zákon nie je napísaný dokonale a v praxi sa už teraz stretávame s významnými právnymi kuriozitami a technickými obmedzeniami. Z uvedeného dôvodu bude nevyhnuté akceptovať riziká. Tieto riziká je vhodné premeniť do akčných plánov a rozložiť ich s ohľadom na vývoj predmetnej legislatívy do nasledujúcich období. Ak by Vám náhodou niekto garantoval 100% súlad s GDPR pošlite ho robiť pre NASA
