Mnoho firem si stále neuvědomuje dopady evropského nařízení GDPR na technologie a informační systémy. Čím začít?

Připravenost neznamená jen popis stávajícího IT prostředí, ale také analýzu datových úložišť, vytvoření seznamu všech procesů, popis nakládání s daty a přehled rizik. Poté co organizace získá přehled a sestaví aktuální schéma datové architektury, musí být schopna s nimi pracovat jako s celkem. Data sbírají s předpokladem, že mohou být v budoucnu k užitku. Zpravidla ovšem nemají přehled, kde všude jsou uložena. Mnoho údajů se navíc nachází v nestrukturované či na první pohled neodhalitelné podobě. Ideálním způsobem archivace je centralizovaná databáze. Organizace by si tedy měly odpovědět na otázky, za jakým účelem a z jakého právního titulu či zda se souhlasem zdrojů osobní údaje sbírají a zpracovávají. Kromě toho musí evidovat, jak dlouho a kde je zpracovávají a s kým je případně sdílí. Bezpečnostní riziko je nutné vnímat z pohledů správy přístupů, šifrování dat, auditu a komunikace mezi systémy, včetně třetích stran. Takový interní audit organizacím jasně řekne, co neodpovídá požadovaným pravidlům GDPR, jak musí být data uchovávána či jakým způsobem budou mazána a anonymizována. Analýzy obvykle ukážou, že organizace drží neodůvodněně příliš mnoho dat v příliš mnoha systémech.