Dnes je to tady. GDPR platí. Po šesti měsících intenzivní přípravy sdílíme, co jsme stihli implementovat, s čím ještě bojujeme a co jsme se naučili.
Co funguje¶
Šifrování at rest i in transit — hotovo 100 %. Consent management — nový systém s granulárními souhlasy. Data export — API endpoint pro export osobních dat v JSON. Audit logging — centrální audit trail, immutable storage.
Co jsme nestihli na 100 %¶
Právo na výmaz v backupech. Řešíme crypto-shredding — data šifrovaná per-tenant klíčem, smazání klíče efektivně zničí data.
Třetí strany. DPA máme podepsané, ale technická integrace pro propagaci erasure requestů není kompletní.
Co jsme se naučili¶
- Data mapping je 10x víc práce, než očekáváte
- Cross-team koordinace je kritická
- Privacy by design by měl být standard od začátku
- Dokumentace je klíčová — DPO potřebuje jasnou evidenci
GDPR je maraton, ne sprint¶
Nestihli jsme vše na 100 %. Ale máme solidní základ, jasný plán a — hlavně — kulturní posun v týmu. Privacy je teď součást každého design rozhodnutí.
gdprprivacysecuritycompliance