Výsledky průzkumu připravenosti na GDPR mezi dodavateli podnikových informačních systémů

České firmy čeká po změnách souvisejících s EET v roce 2018 další, mnohem komplexnější úkol - přizpůsobení evropskému nařízení GDPR o ochraně osobních údajů. Vzhledem k nárokům GDPR na informační systémy jsou pro firmy klíčovými partnery IT dodavatelé a integrátoři. Jak jsou na tuto úlohu připraveni?

Asociace za lepší ICT řešení o.p.s. oslovila během června 2017 přes 600 českých dodavatelů podnikových informačních systémů. Zahrnuti byli autorizovaní dodavatelé nejrozšířenějších podnikových aplikací a všichni čeští výrobci ERP a účetních systémů. Zjistili jsme, že připraveno pomoci klientům s implementací GDPR nařízení je v tuto chvíli pouhých 5% dotázaných.

Plně připravené jsou dle dodavatelů systémy ABRA, Helios Green, Microsoft Dynamics CRM, OpenText a částečně ESO9, KARAT, KISS, M-Files, QI, Team-Online.

"Ačkoliv finální znění evropského nařízení je k dispozici od 27. 4. 2016, čekáme v Česku opět na oblíbenou poslední chvíli. Přitom je zavádění požadavků nařízení GDPR ideální příležitostí pro firmy i jejich dodavatele vylepšit firemní procesy a posílit celkovou kybernetickou bezpečnost a odolnost informačního systému - a to chce snad každý. Asociace na webu lepsi-reseni.cz proto přináší výklad požadavků GDPR nařízení i přehledy souvisejících služeb," říká Marek Dědič, Ředitel Asociace za lepší ICT řešení.

Zároveň jsme zkoumali informace o novém zákoně o ochraně osobních údajů na webových stránkách 800 českých IT firem. Svým klientům a potenciálním zákazníkům nabízí alespoň základní informace ke vlivu GDPR na informační systémy necelých 8%.

Jako příklad dostatečného informování k dané problematice mohou posloužit společnosti GORDIC, Konica Minolta, MICROSOFT, OKsystem či TRASK SOLUTIONS.

Žel poměrně častým přístupem je mlčení či nesmělé prohlášení "že situaci analyzují", kterou můžeme najít například na webu společnosti Stormware, jejíž systém používají tisíce malých a středních firem v ČR jako hlavní úložiště citlivých osobních údajů. Vzhledem k předpokládaným kompetencím překvapila absence informací v českém jazyce ze strany společností Oracle či SAP.

Na rozdíl od zavedení podpory pro EET, která spočívá ve výměně datových vět s vládními servery, nařízení GDPR vyžaduje mnohem komplexnější implementaci. Kromě vyšší ochrany, protokolování přenosů či anonymizace osobních údajů musí podnikový systém zajistit shromáždění a možnost úpravy či blokace těchto dat.

Nová pravidla se týkají i na IT úzce navázaných procesů a dokumentů, které musí zaměstnanci a zákazníci všem firmám odsouhlasit, ideálně ještě před účinností zákona 25 .5. 2018.