Vaše e-mailové schránky plné pošty se souhlasy s vylepšením ochrany osobních údajů vám oznámily, že GDPR je tady. Český stát pouze strašil, pár politiků si na protievropském boji hřálo svou polívčičku, ale prováděcí zákon k GDPR a na něj vázané vyhlášky dosud neexistují. Otázkou pro vaší firmu tedy je, zda a jak ji v české kultuře zavést?
Jednoduchá strategie
Nejjednodušším principem je zavedení souladu s GDPR jako jednorázové akce. To je ovšem z dlouhodobého pohledu tříhlavá saň:
- Prvním hlavou je, že GDPR stojí na kybernetické bezpečnosti. Ta dle ISO 27 001 stojí na Plánuj-Dělej-Kontroluj-Jednej a prvky do ní musí být implementovány. GDPR nejenže dospěje k rozluce s procesem, na kterém jako takové stojí, ale poškodí i proces samotný.
- Druhou hlavou je problematika vztahů s fyzickými osobami, ať již se jedná o zákazníky, nebo zaměstnance. Jejich narušení přináší ztrátu firemního kreditu okořeněnou případnými soudními spory.
- Třetí hlavou, z ekonomického pohledu nejcennější, je uzavírání smluv s obchodními partnery dle článku 28 GDPR. Vzhledem k tomu, že do zemí EU jde 80 % exportu z ČR a 60 % dovozu do ČR jde také ze zemí EU, kde každá firma musí dokládat své subdodavatele, může vás to vyhodit ze hry.
Dlouhodobá strategie
Když to nejde jednoduše, musí to jít složitě. To ale u GDPR neplatí. Pro utnutí první hlavy stačí sladit udržování ISMS s udržováním GDPR. Sice nepřetržitě dorůstá, ale díky procesu Plánuj-Dělej-Kontroluj-Jednej je periodicky utínána.
Druhá hlava si žádá promazání veškerých nadbytečných a nepoužívaných dat, která o fyzických osobách máte. Poté stačí zavést práva zaměstnanců do firemní kultury, a hlava padá k zemi. Znovu sice dorůstá, ale na zabránění jejímu narůstání postačí Archivní a skartační řád, doplněný Životním cyklem údajů.
Poté následuje hlava třetí, která je odseknuta zavedením GDPR a začíná dorůstat až po hlavě první či druhé.
Saň
V České republice je tradice vnímat EU jako zlou saň. Tou je ale ohrožení vaší důvěryhodnosti a ekonomických ztrát, před kterými se GDPR bráníte. GDPR zavádí jednotné provádění ochrany údajů v celé EU, aby zamezila právní nejistotě a rozšířenému pocitu veřejnosti, že v souvislosti s ochranou údajů fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online.
Saň útočí narušením vaší kybernetické bezpečnosti, porušováním práv fyzických osob z nedbalosti či nevědomosti a uzavíráním nevýhodných obchodních kontraktů. Základem GDPR je Nemo turpitudinem suam allegare potest, nikdo nemůže mít prospěch ze své vlastní nepoctivosti. Je tak nastaveno a pokusit se to obejít vás bude stát výrazně víc, než se uvést s GDPR v soulad.