Nařízení má být nástrojem občanů evropských zemí pro ochranu osobních údajů - legislativní úpravou, která je vymahatelná napříč Evropskou unií a díky hrozbám vysokých sankcí v případě nedodržení bude zřejmě i silně respektována. Její příchod však nemusí být ani pro firmy apokalypsou nebo něčím děsivým, stačí pouze nepodcenit přípravy a obecnému evropskému nařízení o ochraně osobních údajů věnovat patřičnou pozornost.

Na trhu je celá řada společností, které inzerují, že vám snadno a rychle zajistí soulad s GDPR. Ale jak už to tak v životě bývá, snadná řešení nejsou vždy ta nejšťastnější a tato problematika bohužel není výjimkou. Snaží-li se na vaši firmu taková společnost napasovat jakési univerzální řešení, berte to jako varovný signál. Jednoduché řešení aplikovatelné na všechny zkrátka neexistuje! Náš článek na stránkách kybez.cz Vám poradí 3 způsoby jak poznat firmy parazitující na GDPR.

Samozřejmě jsou na trhu i firmy, které vám s přípravami pomůžou, ale skutečná pomoc vyžaduje aplikaci značně specifických opatření, které vychází z prvotní důkladné analýzy vaší firmy, jejích struktur a procesů. Jednotlivé kroky Platformy KYBEZ ukazují, kudy se musí vydat, aby se podařilo rozklíčovat všechna specifika a následně „utkat síť“ procesů a opatření na míru konkrétní firmě.  Ptáte se kde začít?

Nechte si zmapovat interní procesy

Na úvod je nutné prověřit aktuální připravenost zkoumané firmy, což obnáší důkladné zmapování procesů v oblasti zpracování osobních údajů, průzkum rovin inventarizace a identifikace, odhalení rozvrstvení struktur i posouzení rizikových zpracování. Už tento výčet naznačuje, že se nejedná o nic snadného, a to jsme teprve na začátku cesty k optimalizaci firemních procesů.

Za výjimečnou lze považovat firmu, u které již prvotní fáze neodhalí nějakou tu skulinku - slabé místo, na kterém je možné zapracovat. Pokud firmy slabinu mají, a to věřte, že v naprosté většině mají, je nutná druhá fáze cesty za požadovanou optimalizací.

Zaměřeno na riziková místa

Za výjimečnou lze považovat firmu, u které již prvotní fáze neodhalí nějakou tu skulinku - slabé místo, na kterém je možné zapracovat. Pokud firmy slabinu mají, a to věřte, že v naprosté většině mají, je nutná druhá fáze cesty za požadovanou optimalizací. Zde se středem pozornosti stávají právě riziková zpracování osobních údajů včetně veškerých dopadů.

KYBEZ dovede jednotlivá zpracování údajů ohodnotit a rozčlenit do několikastupňové škály rizikovosti. Pro nejvyšší stupně pak okamžitě analyzuje možné dopady a navrhuje nejvhodnější opatření k odstranění rizika. Je paradox, že až v této fázi, kdy se mluví o konkrétních možných dopadech, dochází k prozření managementu většiny firem a uvědomění, jak nutné podstoupení změn a náprav je. Analýza je tak přínosem nejen pro odstranění strachu z nesplnění nařízení GDPR. Klíčové je i poznání firem, že v dnešní natolik elektronizované době je kybernetická bezpečnost nejen zákonnou povinností, ale i existenční nutností.

Jedničky a nuly

I tak jde popsat třetí úsek našeho putování. Analyzovat je nutné i samotné informační systémy, se kterými firma pracuje. Často se liší jejich algoritmy, nastavení, úroveň zabezpečení a s tím i související riziko. Tým IT expertů KYBEZ sestavil mechanismy, díky kterým odhalí rizikovost zpracování dat v jednotlivých systémech i úroveň bezpečnosti při komunikaci se třetími stranami. Optimalizovat tak lze nejen zmiňované firemní procesy, ale i systémovou infrastrukturu, nastavení firewallu a mnoho dalších IT prvků.

A co z toho máme?

Odpověď na tuto otázku lze zřejmě intuitivně vytušit. Výstupem analýzy je shrnutí aktuálního stavu, upozornění na riziková místa, a soubor doporučených opatření, která by firma neměla brát na lehkou váhu. Otálení nebo dokonce ignorace by nemusely mít šťastný konec a je v podstatě jedno, jestli mluvíme o možných obrovských pokutách za nedodržení požadavků GDPR nebo o riziku, kterému vystavuje takové vedení firmy sebe i své zaměstnance. Hrozby, kterým se nařízení snaží čelit, číhají bez nadsázky na každém kroku a v budoucnu tomu nebude jinak.

Do bezpečí!

Konečným cílem není nic jiného než implementace vhodných opatření, nastavení optimálních procesů, mnohdy se jedná o zjednodušení a narovnání složitých struktur. I zde je možné pro přehlednost rozdělit opatření do několika rovin, některá jsou čistě procesní, jiná spíše organizačního rázu a třetí typ lze považovat za technické. Ve všech těchto oblastech obdrží zadavatelská firma od projektového týmu KYBEZ podrobný výstup, jak postupovat směrem k souladu s GDPR.