„Zavedení GDPR se netýká jen informačních technologií, jak si mnoho firem myslí. Zasahuje do všech oblastí, kde se pracuje s daty. A právě v tom, že jde napříč provozem firem, jsou velké pozitivní možnosti. Uvidíte například, v čem máte nepořádek,“ je přesvědčený Jaroslav Jurníček ze společnosti MCS Consulting, která se zaměřuje na poskytování služeb souvisejících právě se zaváděním tohoto evropského nařízení.
NEŘEŠTE JEN BEZPEČNOST
„Když chcete dobře chránit údaje o svých zákaznících, musíte si nejen zabezpečit své IT, ale musíte si udělat také pořádek v tom, jak se vám ve společnosti pohybují dokumenty, kdo k nim má přístup, kam se vám můžou dostat návštěvy bez doprovodu a tak dále,“ dodává Jurníček.
Právě to je podle něj příležitost k tomu, jak zlepšovat fungování firmy. Protože k tomu, aby bylo možné dobře a efektivně zavést GDPR, musí si firma zmapovat své vnitřní pochody a přitom objeví spoustu slabých míst, nebo přímo chyb. Ať už v oblasti samotného fyzického zabezpečení, nebo softwarového vybavení.
„Při mapováni firemních postupů a procesů se často přijde na neefektivní zacházení s materiálem, na plýtvání peněz na nepotřebné nákupy a tak podobně,“ přidává názor Lukáš Vejman z firmy MyCom Solutions. „Při zavádění GDPR se investicím do oblasti IT prakticky nedá vyhnout. Ale než se do nich firma pustí, měla by si udělat pořádek v tom, jaké má programové vybavení a jak jej využívá. Překvapivě tak může ušetřit i desetitisíce korun,“ doplňuje příklad ze své zkušenosti Jurníčkův kolega Jan Tauš.
POČÁTEČNÍ ANALÝZA
Přidaná hodnota a příležitost, kterou zavedení evropské směrnice představuje, je tedy skrytá především ve fázi přípravy na implementaci nového evropského nařízení. Právě při kvalitní počáteční analýze všech firemních postupů spojených s prací s osobními a citlivými údaji je možné odhalit řadu věcí, které se dají zlepšit. Zda, nebo jak moc souvisejí přímo s GDPR, je přitom jedno.
Při mapování pohybu papírových dokumentů si může po letech šéf firmy uvědomit, že v týmu opravdu zoufale chybí člověk. Nebo může vyjít najevo, že naopak někde jsou dva lidé, jejich práci může nahradit třeba automat, nebo na té pozici stačí jen jeden člověk s kvalitním softwarem.
„Zefektivnění firemních procesů, případně jejich automatizace, je jedním témat spojených se zaváděním GDPR, o kterých se zatím v médiích příliš nepíše,“ říká Jan Pekař ze společnosti Imatic IT s narážkou na poněkud jednosměrnou mediální prezentaci evropského nařízení.
GDPR a OSVČ
Nikdo přitom samozřejmě nezastírá fakt, že zejména pro velké společnosti je novinka značnou administrativní zátěží: Upravit smlouvy o poskytování osobních údajů, nastavit bezpečnostní procesy, vypracovat nové interní směrnice, vyžádat si nové souhlasy ke zpracování osobních údajů…
Právě proto již velké společnosti na zvládnutí normy již usilovně pracují několik měsíců. Nařízení totiž začne platit od května příštího roku, a času tak není nazbyt. To by si měly konečně uvědomit i statisíce tuzemských živnostníků. Byť se na to nikde příliš neupozorňuje, zavedení GDPR se jich samozřejmě týká také.
ŠIFROVANÝ DISK SAMOZŘEJMOSTÍ
„U živnostníků a malých firem na implementaci GDPR stačí přibližně měsíc,“ uklidňuje Jurníček. V těchto případech většinou nejde o dlouhý proces. Klasický živnostník používá jednu kancelář, nebo jednu dílnu a faktury a další dokumenty má doma v pracovně a notebook si nosí z práce domů, takže vstupní analýza je hotová rychle.
Totéž pak obvykle platí i pro zavedení softwarových i dalších opatření a řešení. Například šifrovaný disk pro ukládání faktur a dalších dokumentů s citlivými a osobními daty, ze kterých jde usuzovat například na ekonomické zdraví partnerských firem, nebo na sílu jejich vzájemných vazeb, by se měl stát samozřejmou součástí vybavení živnostníka.
„Mnoho živnostníků si může GDPR zavést prakticky samo s využitím selského rozumu a běžně dostupných informací. Čekat na nějaký závazný a jednotný prováděcí předpis je zhůvěřilost,“ tvrdí Jan Tauš. Ovšem malé účetní firmy, právní kanceláře a podobně, se pravděpodobně raději obrátí o pomoc na specializované firmy. „S ohledem na to, že na implementaci zbývá prakticky pět měsíců, neměl by už nikdo příliš váhat, pokud chce oslovit odbornou firmu,“ dodává.
NA CO SE SOUSTŘEDIT
Při zavádění bezpečnostních opatření je mít neustále na zřeteli, že jejich zavedení je jen prostředkem k tomu, abyste mohli zlepšit celkový chod firmy. Že v tom, jak ve firmě fungujete a jak se po ní pohybují dokumenty, nehledáte jen slabá místa z pohledu bezpečnosti, ale také z pohledu efektivity a rychlosti fungování. Že nehledáte v síti jen nejsnadněji napadnutelné programy, ale také programy, které jsou zastaralé, které nepotřebujete, ale platíte za jejich licence, nebo naopak programy, které nemáte, přestože by vám pomohly k lepšímu pracovnímu výkonu.
