Při aplikaci GDPR v oblasti IT je důležité myslet na mnoho různých věcí. Základem jsou práva fyzických osob, jejichž osobní údaje jsou zpracovávány, označované jako subjekty údajů. Mezi ty nejpodstatnější patří (i) právo být informován o tom, jaké údaje a za jakým účelem jsou zpracovávány, (ii) právo být zapomenut (požadovat odstranění uchovávaných osobních údajů), (iii) právo přenositelnosti (požadovat kopie zpracovávaných osobních údajů) a (iv) právo vědět, že uchovávané údaje byly napadeny, respektive že došlo k narušení a data ze systému byla zneužita, smazána, změněna či zpřístupněna. Doporučujeme přizpůsobit IT systém tak, aby realizace těchto práv byla co nejjednodušší - umístit informace o zpracování osobních údajů na web, nastavit databázi s osobními údaji tak, aby z ní bylo jednoduše možno vytvořit výpis apod.

Co se týče uložení osobních údajů a jejich mazání, GDPR stanovuje povinnost uchovávat osobní údaje pouze po dobu nezbytně nutnou pro účely, pro které jsou zpracovávány. Po uplynutí této doby by údaje měly být odstraněny. V případě IT však není úplně snadné definovat, co přesně v dané situaci znamená "vymazání" osobních údajů. Je značný rozdíl mezi nenávratným zničením souboru a jeho pouhým smazáním s tím, že je možné jej v systému obnovit. Pokud není smazání z technických důvodů možné, lze uvažovat o jejich označení příznakem "nezpracovávat" - v tomto případě je nutné údaje dostatečně zabezpečit, aby je nebylo možno dále využívat a aby k nim neměl přístup nikdo neoprávněný. Rovněž je důležité smazat data ze všech nosičů, na nichž byla umístěna - například nejenom z počítače, ale i z externího disku, na němž jsou data zálohována. V případě, že osobní data uchováváte v cloudovém úložišti, doporučujeme jejich mazání konzultovat s poskytovatelem.

Dále doporučujeme se zaměřit na způsob zabezpečení všech vašich zařízení, aby nedocházelo k úniku osobních údajů. Při narušení integrity dat stanovuje GDPR povinnost oznámit narušení dozorovému orgánu. Zároveň musí ve společnosti existovat firemní zásada řešící postup při narušení bezpečnosti. Pro ochranu osobních informací doporučuje GDPR užití šifrování či anonymizace.

Klíčovou otázkou je způsob zabezpečení dat uchovávaných v digitální podobě. Většinu požadavků GDPR pokrývá norma ISO 27001, jejíž implementace vám usnadní zajištění souladu s nařízením a jejíž prostudování doporučuji. Pokud uchováváte data v cloudu, je vhodné implementovat i normu ISO 27018. Jistým krokem může také být implementace systému ISMS - mnoho procesů ISMS může být užito pro splnění požadavků kladených GDPR.

GDPR i zmíněné normy vyžadují přijetí technických opatření, strukturované dokumentace, monitorování a neustálé vylepšování zabezpečení dat. Bezpečnost však nezávisí pouze na technologii, ale také na lidech, proto nezapomeňte na vhodná školení zaměstnanců.