Šlendrián je pořád součástí české povahy
Jak Česká spořitelna utratila miliony za nepořádek
Příspěvek v na iRozhlase informuje o tom, že Česká spořitelna dostala pokutu.
Za co pokutu dostala
Jednoduše řečeno, dostala pokutu proto, že měla dělat něco, co bylo jasně napsané (povinnosti od ČNB – uchovávat záznamy a auditovat práci) a v bance to ignorovali. Jenom pánové nahoře vědí, na které úrovni řízení se pokyn ztratil. To je celkem jedno, nepochybně po povinnosti věděla. Podstatné na tom je, že:
Češi jsou zvyklí si z povinností nařízených zákony nic nedělat
Pokuta? A koho to straší?
Před lety jsem radil s legislativou v jedné bance a říkal, co je třeba udělat. První otázka tehdejšího generální ředitele byla, „Co se stane, když to plnit nebudeme? Jestli je pokuta menší, než náklady na plnění, tak mě to nezajímá.“
Spolupráce na uvedené větě skončila. Konzultant, který radí, jak hlídat předpisy je nezajímavý, když riziko pokuty nebo jiných problémů není dost velké.
GDPR je taky na oko
Stejnou situaci jsem o pár let později zažil s GDPR. Pomáhal jsem instituci realizovat změny, které si GDPR vyžaduje. Upravili jsme dokumentaci procesů, zdokumentovali, co měli, ale to zásadní byly informační systémy. Nebyly v souladu s GDPR a děr kolem osobních údajů v nich bylo, jak ve starém igelitovém pytlíku. Reakce IT? „S tím se nic dělat nedá“. Tak se nic nedělalo. Nejde to a basta. Pak přišla poslanecká sněmovna s pardonem, že státní instituce a podobné organizace pokutu dostat nemohou. Výsledek? Od té chvíle po problémech ani pes nevzdechl. Zásadní nedostatky týkající se údajů doslova milionů lidí nikoho nezajímají. Nic nehrozí, tak co bychom řešili?
GDPR po pár letech zajímá málokoho ve firmách i institucích. Vesele se dál sdílí pracovní kontakty z mobilů pracovníků, i když by neměly. Úpravy systémů, kde by data být neměla zabezpečena, chráněna a taky odstraňována nikoho netrápí. Zvyky se nemění. A smazání osobních údajů umí v reálu jen málokterý systém.
Pomáhal jsem s bezpečností ve výrobní firmě a bavili se i o GDPR. Přišla řeč na zpracovatelské smlouvy. Ukázalo se, že jejich dodavatel personálního systému si celou personální databázi každý měsíc stahuje k sobě, Proč? Protože bez toho by nemohl dělat podporu ani vyvíjet nové funkce. Řekněme si na rovinu: Je jim – firmě odpovědné za data i dodavateli – úplně jedno, že systém vývojáři vyvíjejí, ladí a testují na živých datech se stovkami zaměstnanců. Je to potřeba a basta. Zákon? Nikoho nezajímá.
Příkladů bych mohl sypat z rukávu mnoho. Rádoby testovací výtisky s daty ze státních systémů na chodbách dodavatelů IT systémů jsou vlastně jen maličkostí.
Co s tím?
Bohužel, stát ani firmy většinou na dodržování zákonů nemají zájem. Mají zájem, aby jim nařízení nepřekážela, případně rovnou se schválí zákon, který je generálním pardonem. Takže ve výsledku, když nabízíte systém, který firmám povinosti hlídá, celkem to nemá důvod nikoho zajímat. Proč, když ty povinnosti nezajímají ani stát?
Důvody jsou různé, od národní povahy až po pomalost české justice, kde se na každé rozhodnutí čeká roky, tedy déle, než kam většina manažerů při plánování dohlédne.
Jsou miliony pro Českou spořitelnu hodně?
Zpátky k úvodnímu článku. Nevím, jaká byla situace v České spořitelně, ale vůbec bych se nedivil, kdyby stejná, jak jsem popsal. Nějaký manažer se rozhodl, že rizika jsou menší, než náklady. Ale jednou to nevyšlo a kromě pokuty se nakonec stejně budou muset dělat úpravy. Snad se tedy začnou hlídat, co se hlídat má, a dělat audity, které jsou povinné. Audity nikoho netěší, ale posouvají nás mezi vyspělé západní země.
Už jsem zmínil, že nabízíme systém, který pomáhá všechny zákonné povinnosti hlídat. Takže pokud nechcete taky platit miliony za šlendrián ve vlastní firmě, víme, jak tomu pomoci. A nebo si taky řeknete, že ne necháme po česku být?