8 tipů, na co si dát při GDPR pozor

gdpr

Příští rok v květnu vstoupí v platnost nová Evropská směrnice o ochraně osobních údajů, zkráceně GDPR. S větší ochranou dat by měly přijít přísnější sankce za její nesplnění. Může se zdát, že zbývá dostatek času na přípravu, ale opak je pravdou. Zde je seznam několika úskalí, jež bude třeba překonat, ale také benefitů, které může toto nařízení firmám přinést.

1. Vágní legislativa

Jako první je potřeba zmínit určitou vágnost legislativy. Zatím není dostatečně konkrétní, chybí např. prováděcí předpisy. Podobné to ale bylo ze začátku i se směrnicí PSD2, kde nějakou dobu trvalo, než se upřesnila. Dá se očekávat, že se bude v průběhu roku dále doplňovat (např. certifikace). Nejasná je především definice toho, co je to osobní údaj. Své o tom vědí například banky, které postupně zjišťují, jak hodně rozsáhlé je to téma. Hlavní doporučení zní: při definici, co vše je předmětem úpravy GDPR, začít od shora, nejít zbytečně do detailů.

2. Nedostatek času

Na implementaci nařízení mají dnes firmy/banky zhruba 12 měsíců. Vzhledem k tomu, že se jedná o velmi komplexní záležitost a změnové procesy v bankách nejsou vždy nejrychlejší, dá se říct, že čas pracuje proti nim.

3. Chybějící metodika (vyzkoušený přístup)

Specifikem GDPR je, že na něj neexistuje žádná metodika, která by se dala z dřívějška využít. Jednotliví aktéři si ji musí vymyslet, v lepším případě se učit od sebe navzájem. Aktivní a nápomocné v tom jsou především asociace, které mají pracovní skupiny, disponují právníky, apod. (např. Česká bankovní asociace, Česká asociace pojišťoven).

4. Pořádek v datech

Na jednu stranu nařízení firmy/banky omezí, na stranou druhou jim může přinést řadu příležitostí. Tou hlavní bude to, že si budou muset udělat ve svých systémech pořádek s daty (zavést struktury a postupy), což jim ve finále zefektivní práci s nimi. Ocení to pak hlavně marketing, obchod nebo risk management, tedy oddělení, která věčně bojují s neaktuálními kontaktními údaji klientů.

5. Posílení interních kapacit

Regulace může posílit také interní kapacity firem/bank. Tak zvaný Data Governance totiž stanovuje odpovědnosti a pravidla pro řízení dat a tím zvyšuje užitečnost jejich využití. Firmy tak budou moci konečně řídit svá data (jedno z nejcennějších aktiv) a převzít tak od IT úlohu skutečného vlastníka.

Schopnost řídit svá data na dobré úrovni, zvláště v době digitální transformace, má totiž dnes jen málokdo. Zde vidíme ohromný prostor ke zlepšení.

6. Problém smazatelnosti

Náročným oříškem se pro banky zdá být požadavek klienta na smazání údajů. Jejich systémy jsou totiž nastaveny tak, aby se data o klientech neztratila. Máme na mysli např. nutnost zpětného auditu ČNB, jak, kdy a kým byla data změněna. Někdo to řeší jen zamezením přístupu k datům. Je však otázkou, zda to bude stačit a regulátor to akceptuje…

7. Data mimo systém

Dalším překvapivě velkým problémem budou data, která se nacházejí mimo IT systémy. Například excelové tabulky a reporty na ploše počítačů, ale také nejrůznější soubory se záznamy nebo e-maily. I ty budou od příštího roku podléhat GDPR. Firmy tak budou nuceny upravit všechny své dotčené procesy, aby odpovídaly novému, přísnějšímu nařízení.

8. Tipy na závěr

Abyste zvládli nástrahy tohoto nového nařízení, doporučujeme nezapomenout na tyto tři věci: zapojte do procesu všechna oddělení bez rozdílu (každý konzumuje nějaká data), analyzujte vždy shora dolů a nezacházejte příliš do detailů.

Diskuze k článku