Dříve platila pravidla a omezení pro vlastníka dat, nyní se tomu ale nevyhne ani poskytovatel technického zázemí. Postup dává z hlediska celkového záměru GDPR logiku a neponechává prostor pro „ já nic, já nejsem ten, kdo data sbírá, jen je mám uloženy u sebe na serveru“.
V souvislosti s GDPR již bylo diskutováno mnoho různých témat. Předně se řešilo, zda jde o velkou nebo malou změnu, velký nebo malý problém. Ukazuje se, že změna je to zejména pro ty, kdo se osobním údajům v předchozím období nevěnovali a kdo tedy musí systém nastavit od začátku. To je totiž hlavní motto všech aktivit, jež se k GDPR váží – systém, jeho verifikace, validace a důsledné dodržování nastavených procesů, které má pod dozorem firemní pověřenec pro osobní data (Data Protection Officer). Podle odhadů jsou podpůrné aktivity a změny související s GDPR v oblasti IT pouze asi 30 % všech úprav, jež firmu čekají. Stejně jako u jiných oblastí, jsou i změny v IT oblasti zejména metodické a režimové. Pojmenujme si zde alespoň ty nejdůležitější.
Mít data v bezpečí
V oblasti zabezpečení dat, kontroly přístupu k nim a podkladům pro reporting ať už pozitivních (nic se nestalo) nebo negativních (únik) incidentů, může pomoci právě IT. V případě zabezpečení a kontroly přístupu je to zejména používání cloudových služeb od ověřených dodavatelů a spolehlivých postupů pro přidělování práv, hesel a jejich periodické obměny. Systém logování přístupů usnadňuje průběžnou kontrolu, reporting a řešení případných bezpečnostních incidentů. S usnadněním postupů spojených s problematikou GDPR mohou pomoci též správně designované a zabezpečené webové formuláře. Nesmíme zapomínat ani na technologická řešení, jako jsou zejména firewally a antivirová řešení.
Vše, co potřebujete, je souhlas
Farmaceutický segment by měl řešit důležitou a do značné míry specifickou oblast – problematiku souhlasů s různými formami marketingových aktivit, ať už ve fyzické, nebo virtuální podobě. Když už se váš firemní právník rozhodne, že je sbírat potřebujete, máte několik možností. Nejjednodušší na realizaci jsou dopředu tištěné souhlasy, vyplňované na místě zcela nebo částečně, které ale jednak požadují poměrně velký skladovací prostor a při každé změně nový podpis. Pokud se jedná o elektronická nebo semi-elektronická řešení, je možné tisknout např. souhlasy přímo z karty klienta s QR kódem pro zpětné načtení nebo souhlasy skenovat pro uložení a práci s nimi v elektronické podobě. Nejelegantnějším řešením je práce v plně elektronickém módu pouze s tabletem a aplikací pro podpis elektronickou tužkou. Agenda souhlasů je řešitelná i přes webové rozhraní nebo prostřednictvím Call centra, nahrávka souhlasu je totiž dostatečně průkazná, je ale třeba nastavit vhodný verifikační postup.
Portál vám zjednoduší život
Další z oblastí, kde mohou aplikace pomoci je následná práce s osobními daty. Můžete s nimi provádět čtyři základní úkony – dát či odepřít právo na přístup, právo na opravu, vyslovit námitku proti zpracování a požadovat výmaz osobních dat. Všechny úkony bude moci subjekt osobních dat provádět kdykoli a s jakoukoliv kategorií osobních údajů. Pro jednoduché řešení agendy je možné nastavit webové řešení typu portál, kde po jednoznačné identifikaci bude moci uživatel dané aktivit provádět. Pro správu dat je třeba provést režimová opatření, přenést i udržet data na jednom místě a přistupovat k nim z různých aplikací. Kromě zjednodušení nakládání s daty je postup též metodickou ochranou proti zapomnětlivosti. Při aktivitách prováděných s daty na některá úložiště totiž nezapomenete a organizovaná databáze se lépe zpracovává i chrání před nežádoucími vlivy.
Budete-li uvažovat o řešení na podporu vašich aktivit v procesu postupného slaďování se s GDPR ,obraťte se na svého dodavatele, jistě vám nějaké řešení pomůže vybrat. Ale pamatujte, že IT je jen 30 %, protože celé GDPR je hlavně záležitostí nastavení procesů, jejich dodržování a důsledné kontroly.