Důvěřuj, ale prověřuj. Je váš poskytovatel ERP systému připraven na GDPR?

18. 8. 2017
Doba čtení: 7 minut

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Vzhledem k nárokům GDPR na informační systémy jsou pro firmy klíčovými partnery jejich IT dodavatelé a integrátoři. Jak je připraven ten váš?

Nejen malý živnostník dělá všechno na poslední chvíli. V případě GDPR je ve skluzu i řada velkých společností. Bohužel jde i o ty, na které spoléhají právě malí podnikatelé.

Asociace za lepší ICT řešení o.p.s. oslovila během června přes 600 českých dodavatelů podnikových informačních systémů. Zahrnuti byli autorizovaní dodavatelé nejrozšířenějších podnikových aplikací a všichni čeští výrobci ERP a účetních systémů. Připraveno pomoci klientům s implementací GDPR je zatím pouhých 5 % dotázaných. Plně připravené jsou podle dodavatelů systémy ABRA, Helios Green, Microsoft Dynamics CRM, OpenText a částečně ESO9, KARAT, KISS, M-Files, QI, Team-Online, uvádí ředitel asociace Marek Dědič. Ačkoli je finální znění evropského nařízení k dispozici už od 27. 4. 2016, v Česku podle něj, zdá se, opět čekáme na oblíbenou poslední chvíli. Přitom je zavádění požadavků GDPR pro firmy i jejich dodavatele ideální příležitostí pro vylepšení firemních procesů a posílení celkové kybernetické bezpečnosti a odolnosti informačního systému. Není tedy důvod otálet.

Každý uživatel informačního systému v něm s největší pravděpodobností má osobní údaje, na něž se vztahuje ochrana GDPR. Problém je v tom, že nařízení klade jiné nároky na malé e-shopy a jiné na velké podniky nebo malé firmy zabývající se masivním shromažďováním údajů o lidech. Implementace GDPR bude představovat mnohem komplexnější a náročnější implementaci než například zavedení podpory pro elektronickou evidenci tržeb, která spočívá jen ve výměně datových vět s vládními servery a je pro všechny stejná. Kromě vyšší ochrany, protokolování přenosů či anonymizace osobních údajů musí podnikový systém zajistit shromáždění a možnost úpravy či blokace těchto dat. IT dodavatelé by proto měli nabízet služby se znalostí svých klientů, říká Marek Dědič. S blížící se účinností GDPR bude zapotřebí více „instantních“ řešení, která půjde rychle nasadit.

Čtěte více: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud

Některé informační systémy už jsou připravené

Někteří dodavatelé systémů už mají vše připraveno a nové funkce sloužící k ochraně osobních údajů přidají do svých systémů relativně snadno. Těžíme z výborně připravené architektury systému na úrovni zdrojového kódu. Nové bezpečnostní funkce budou chránit vybrané osobní údaje osob na základě toho, zda udělily souhlas s jejich zpracováním. K datům se poté dostanou pouze uživatelé s příslušnými přístupovými právy, a to pouze v období, na které byl souhlas udělen, popisuje řešení systému ABRA Gen CEO společnosti ABRA Software Martin Jirmann. Tento systém bude také umožňovat výpis všech chráněných osobních údajů, které o dotčené osobě eviduje, a bude umožňovat jejich vymazání. 

Hotovo už mají i v Asseco Central Europe, firmě provozující ERP systém Helios Green. Soulad s požadavky GDPR řešíme pro naše zákazníky jako komplexní projekt zabývající se primárně pohybem osobních údajů napříč celou organizací. Tedy identifikací osobních údajů, kategorizací z hlediska účelu a oprávnění i získáním podkladů ke zpracování návrhu implementace konkrétních požadavků GDPR u klienta. Jedná se nejen o technická řešení, ale i o procesně organizační změny, komentuje Information Security Consultant Asseca Miroslav Klimeš a dodává, že výhodou jejich řešení je to, že jsou individuální a mohou tak zákazníkům ušetřit nemalé náklady.

Psali jsme: GDPR bude i ochranou před „blbostí mládí“

Velkou roli v přípravě implementace hraje aktuální stav organizace ve zpracování osobních údajů. A nejedná se jen o stav informačních systémů, ale také o procesy a organizační řešení, což si mnoho společností ještě vůbec nepřipouští. Osobní údaje se přitom vyskytují také v listinné podobě, v různých archivech a podobně. V případě některých menších informačních systémů je možné splnit požadavky, například práva na přístup, metodicky. To ale do budoucna může přinést vyšší náklady na lidské zdroje. Až konkrétní analýza ukáže rozsah nutných změn, které se musí do informačního systému zapracovat, a ve spolupráci s dodavatelem se provede výpočet nákladů, uvádí Miroslav Klimeš s tím, že zejména core systémy velkých společností se úpravám nevyhnou a mohou trvat rok i dva. Záleží na tom, jakou vnitřní architekturu systém má.

Nejjednodušší cestou je podle Martina Jirmanna z ABRA Software striktní označení stávajících položek a vytvoření aparátu, který zajistí ochranu údajů. V tomto případě je nutné změny provést v celém zdrojovém kódu a nevynechat žádné z potřebných míst. Touto cestou se pravděpodobně vydá nemálo dodavatelů informačních systémů. Je to složitější, ale mnohem univerzálnější cesta, při které budeme moci jako osobní údaj označit jakoukoliv položku, včetně údajů vzniklých při zakázkových úpravách systému. Správu příslušných souhlasů řešíme obecně, logicky a komfortně. Dovoluje nám to už zmíněná architektura systému, ve které jsou datové objekty provázány a celý systém je napsán důsledně objektově. Změny tedy můžeme dělat pouze na klíčových místech a samy se dostanou na všechna potřebná místa, vysvětluje Martin Jirmann.

K tématu dále čtěte: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

Naléhejte na IT firmy, času je málo

Nová pravidla se týkají i na IT úzce navázaných procesů a dokumentů, které musí zaměstnanci a zákazníci všem firmám odsouhlasit. A to ideálně ještě před nabytím účinnosti evropského nařízení 25. 5. 2018. Asociace za lepší ICT řešení proto zároveň zkoumala informace o novém nařízení o ochraně osobních údajů na webových stránkách 800 českých IT firem. Svým klientům a potenciálním zákazníkům nabízí alespoň základní informace o vlivu GDPR na informační systémy necelých 8 procent z nich. Jsou mezi nimi Gordic, Konica Minolta, Microsoft, OKsystem nebo Trask solutions. Žel poměrně častým přístupem je mlčení či nesmělé prohlášení, že situaci analyzují, kterou můžeme najít například na webu společnosti Stormware, jejíž systém používají tisíce malých a středních firem jako hlavní úložiště citlivých osobních údajů. Vzhledem k předpokládaným kompetencím překvapila absence informací v českém jazyce ze strany společností Oracle či SAP, komentuje Marek Dědič.

Některé části nařízení jsou standardně plněny mnoha informačními systémy už mnoho let. Na druhou stranu jsou některé jeho části poměrně striktní a je třeba včas prověřit soulad existujících systémů s touto normou. V případě vlastních informačních systémů a řešení jsou nutné některé úpravy, část z nich je jednoduchá, část z nich je složitá. Je ale třeba říci, že mnohdy česká legislativa měnila fungování trhu takřka pět minut po dvanácté, takže jsme v oblasti IT zvyklí na rychlé úpravy a dovývoje v souladu s příslušnou legislativou. V případě GDPR je nutno podotknout, že na vlastní implementaci poskytla EU více než rozumný čas, dodává Jan Sedláček, předseda představenstva společnosti Digital Resources.

Náš systém bude připraven tak, aby nová verze přinesla uživatelům podporu ochrany osobních údajů na úrovni systému. Bude to hodně podobné, jako když jsme v krátkém čase museli vyřešit kontrolní hlášení či EET. Takovýmto způsobem zvládneme obsloužit tisíce uživatelů. Většina práce ale bude na samotných firmách. Jen zajištění souhlasů se zpracováním osobních údajů bude pro mnohé z nich oříšek, myslí si Martin Jirmann z ABRA Software. Podnikatelé by si tedy měli v první řadě zjistit, v jakém rozsahu se jich GDPR týká. Malý online audit požadavků nabízí bezplatně například Asociace za lepší ICT řešení. Ve složitějších případech je samozřejmě lepší obrátit se na specializovanou právní kancelář. Po vyjasnění požadavků by se podnikatelé měli dotázat svého IT dodavatele, jak dosáhnout jejich splnění, zda toho jsou vůbec schopni a stihnou to v požadovaném termínu.

MM 25 baliček

Někteří stále ještě nepřipravení dodavatelé informačních systémů se v průzkumu vyjádřili, že problematiku sledují a řešení mají předpřipravené. Údajně čekají, zda ze strany českého Úřadu pro ochranu osobních údajů nedojde k nějakému zásadnímu upřesnění. Každopádně, pokud váš dodavatel účetního systému nebude mít hotové řešení ani v listopadu, začal bych od nového roku účtovat v aplikaci nějakého spolehlivějšího dodavatele. Za připravené označujeme ty dodavatele, kteří mají zapracovanou většinu funkcionality a zbývajícím částem se věnují, radí ředitel Asociace za lepší ICT řešení Marek Dědič a Miroslav Klimeš z Asseco Central Europe dodává: Oblíbený nešvar nechávat vše na poslední chvíli v tomto případě rozhodně nedoporučujeme. To, co ve skutečnosti chráníme, jsou práva fyzických osob, tedy práva nás všech, a proto je potřeba v této souvislosti udělat všechna maximálně možná opatření.

Z pohledu IT trhu a oblasti informačních systémů bude GDPR podle Jana Sedláčka určitým hybatelem trhu, je to prostor pro nové komerční služby a placené aplikace a tedy prostor pro prodej vlastních služeb a produktů, takže obecně řečeno IT firmy vítají GDPR jako jeden z marketingových driverů a je možné, že se podaří i odstranit některé zastaralé systémy a aplikace, podobně jako kdysi v případě Y2K (přechod na rok 2000 při chybějících 2 řádech v letopočtu u zastaralých informačních systémů), ačkoliv změny a úpravy systémů nebudou aktuálně tak dramatické jako tehdy, kdy se musely přepsat stovky a tisíce řádků kódu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).