GDPR je za dveřmi. Co přinese rok 2017 pro IT?

Vision2

EU regulace GDPR neboli General Data Protection Regulation, se kvapem blíží. Regulace velmi významně zpřísňuje ochranu a zacházení s osobními daty. I když začne platit až od 25. května 2018, firmy čeká hromada práce. Mají zatím více jak rok, aby zauditovali svoje IT systémy, zkontrolovali datové záznamy a připravili systémy, databáze a interní procesy tak, aby vše vyhovovalo podle nových pravidel.

Pro všechny to podle všeho bude velká událost a zásah do zažitých kolejí. Zkusme si trochu zavěštit a předpovědět, co vše může během roku 2017 nastat.

Předpověď 1 – Většina lidí z IT branže s blížící platností GDPR významně ožije

Povědomí o GDPR mezi lidmi z IT a jejich šéfy začíná stoupat, i když zatím velmi pozvolna. První zavětřili spíš právníci, pro které jsou zákony tak jako tak business. A tak od druhého pololetí 2016 se mohou zájemci ochytřovat u odborníků na právo na různých konferencích, seminářích nebo na privátních konzultacích s pěknou hodinovou sazbou. A pokud by ještě někdo chtěl volat z úsporných důvodů do ÚOOÚ, radíme nevolat. Kvůli přetížení linek s podobnými začátečnickými dotazy se nedovoláte.

Velká část nároků a odpovědností vyplývající z GDPR ale padne ve firmách a organizacích tak jako tak na IT. A tak se ve druhé vlně začínají probouzet různí IT konzultanti, kteří začínají tušit příležitost. A s jistotou se dá říct, že jak začne více stoupat povědomí o nové legislativě,  začne se lidem na odpovědných postech zkracovat spánek kvůli množství souvisejících úkolů. S přímou úměrou bude stoupat poptávka po IT lidech. Konkrétně po analyticích, odbornících na bezpečnost informací a v neposlední řadě i po vývojářích. A marketing v IT firmách bude mít zase o důvod víc prodat klientům i toho posledního člověka, který ve firmě ještě zbyl.

Předpověď 2 – Firmy nebudou mít na změny připraveny finance

A teď dobrá a špatná zpráva. Růst povědomí o GDPR mezi zákazníky je určitě  ta dobrá zpráva. Tou špatnou ale je, že asi málo firem si na 2017 naplánuje a zajistí dostatečné finance. I ze zahraničí, kde totik netrpí typickou českou vlastností vše na poslední chvíli, se nesou skeptické hlasy. Údajně jen tři procenta firem si na rok 2017 plánuje peníze na úpravy svých systémů podle požadavků GDPR. Teď je opravdu nejvyšší čas říci si šéfům o potřebné navýšení budgetu pro IT.

Pokud to totiž firemní IT šéfové neudělají, zadělají si na potíže. Určitě se bude management dost nelibě mračit, když se budou muset kvůli přesypávání budgetů posouvat nebo končit důležité projekty s vysokou prioritou. A spoléhat na to, že se to jako vždycky nějak udělá, je vskutku krátkozraké.

Předpověď 3 – Bude potřeba plánovat dostatek času na přípravu, protože se vše jako vždycky protáhne o něco víc, než se předpokládalo

Nová pravidla GDPR se týkají všech osobních dat, se kterými se ve firmách a organizacích pracuje. Budou vyžadovat nové pracovníky a nastavení nových pravidel zacházení se záznamy s osobními daty. Velké firmy si budou muset najmout člověka, který se bude ochranou dat prakticky zabývat. A pokud ho již případně mají, tak mu upravit povinnosti k naplnění potřeb GDPR.

Když se dnes optáte lidí z IT, jestli vědí, kde všude leží jejich data a kde jsou archivována, často se dočkáte odpovědí jako: „Vidíš tu černou skříň v rohu? Tak tam je najdeš.“, až po, „hele, absolutně netuším, kde všude to je“.

Řada firemních IT dnes pracuje se statickými údaji, které ne zcela odpovídají tomu, jakou mají technologii a kde se data ve firmě vůbec pohybují. Už v tom je riziko, že nevyhoví budoucím požadavkům GDPR. Může pak být obtížné dohledat ve firmě všechny informace, které se týkají dat jednotlivých klientů. A díky tomu bude obtížně proveditelný povinný výmaz všech dat při jejich požadavku „být zapomenut“.

Bez schopnosti vědět, jaká data jsou ve vlastnictví, kde se nacházejí a jaké prostředky jsou k tomu využívány, nebudou firmy  schopny požadavkům GDPR vůbec vyhovět ani s nimi být v dlouhodobějším souladu.  Do května 2018 by měly firmy uvést do pořádku správu svých aktiv a řízení informací.

Předpověď 4 – Poptávka po konzultantech bude kulminovat půl roku před termínem spuštění GDPR

Pro řadu IT projektů bez blíže specifikovaného rozpočtu obecně platí, že se jim dává zpravidla půl roku na dokončení. A to i přes to, že ve firmách vedle dostatečného rozpočtu chybí i dostatek vhodných lidí, kteří by práci dodělali. Podobně i IT dodavatelé a jejich partneři bodu mít plné ruce práce s plněním smluvních dodávek. Ani oni tak nebudou mít dostatek lidí, aby se vyrovnali s nároky GDPR.

Pak nastane sháňka po konzultantech, pokud samozřejmě budou k dispozici. A tak jak firmy začnou najímat odborníky na pomoc s dokončením projektů úprav systémů a dat podle GDPR, jejich zdroje budou brzo vyčerpány. A to bude obzvláště problém pro firmy například z oblasti financí nebo farmacie, které musí dodržovat řadu dalších regulací.

Podle zkušených HR managerů se bude v roce 2017 najímat více IT specialistů, zejména odborníků na bezpečnost a compliance. To je sice dobrá zpráva zejména pro IT specialisty s požadovanými znalostmi ale špatná zpráva pro firmy, které budou tyto lidi na trhu hledat.  Stejně tak je třeba počítat, že se stoupající poptávkou bude výrazně stoupat i jejich cena pro tyto krátkodobé kontrakty.

Předpověď 5 – Bude zapotřebí zapojit více spolupráce, pochopení a společného zájmu

IT oddělení bývá ve firmách často prezentováno jako zavřená skořápka izolovaná od zbytku businessu, sledující si především svoji agendu a s malou komunikací s ostatními týmy. Takový pohled reálně patří už do historie. Pokud chce být dnes podnik úspěšný, nové technologie a IT musí hrát ve firmě klíčovou roli.

Nicméně šéfové IT budou muset přesvědčit management, že úprava systémů kvůli GDPR bude vyžadovat další investice a podporu. Prvním argumentem ke zvážení bude vysoká pokuta za nedodržení pravidel GDPR. Na koho si smůla zasedne, může si vytáhnout černého Petra ve výši až € 20 milionů nebo čtyři procenta obratu při závažnějším úniku dat.

Tato hrozba zvýšení nákladů by měla být pobídkou k investicím do prevence poruch zabezpečení a zajištění shody s GDPR. Druhým argumentem může být logické spojení předepsaných úprav systémů s již schválenými  projekty, které se týkají např. plánované konsolidace nebo inovace stávajících IT systémů. Pokud zde chytnou IT firmy příležitost za pačesy, pak své dosavadním dílčí služby jako třeba webovou bezpečnost, správu aktiv IT nebo řízení zranitelnosti mohou zkonsolidovat do jedné komplexní dodávky.

Velký datový úklid všem pomůže

Dopad GDPR by měl zlepšit spolupráci napříč firmou. Pro naplnění shody s GDPR bude muset IT tým spolupracovat s právníky pro splnění podmínek daných legislativou. Stejně tak bude muset kooperovat s obchodníky a marketéry, kteří zpracovávají data zákazníků.

Takový úklid v datech bude nakonec pro firmu přínosem. Firmy si udělají pořádek v tom, kde jsou jednak data uložena ale také v tom, kde data vznikají a kde všude putují. Kteří pracovníci si vytvářejí různé kopie dat nebo které další aplikace data využívají. A v neposlední řadě, jak jsou data zabezpečena proti úniku. Rovněž bude IT více vtaženo do přípravy nových projektů, aby definovalo bezpečnostní podmínky pro zpracovávaná data. A stejně tak se bude IT více podílet na definici bezpečného zacházení s daty, aby se předešlo případným incidentům a porušením zákonů při zachování současné kvality výstupů.

Pokud se podíváme dopředu, vidíme, že GDPR bude v roce 2017 jedním z největších úkolů. Potenciální náklady, kterým budou firmy čelit díky pokutám, by měly managery firem přesvědčit, aby se splnění podmínek GDPR odpovědně věnovali. Potíže při tom mohou nastat s rozpočty, které nemusí být na požadované úkoly připraveny.  Nicméně, až si firmy a organizace rozsah a dopad GDPR ujasní, budou tomu potřebnou pozornost a zdroje jistě věnovat.

Petr Moláček, petr.molacek@principal.cz, Daniel Konečný, daniel.konecny@principal.cz