Jak nastavit správné procesy GDPR

Příprava společnosti na GDPR je souborem úprav a změn procesů, smluvní dokumentace, vztahů se zaměstnanci, dodavateli a odběrateli, jimž jsou osobní údaje poskytovány. A které procesy a záležitosti uvnitř firem byste neměli rozhodně neopomenout?

Zavedení nařízení GDPR je často složitý proces. Nově zavádí princip odpovědnosti, tedy povinnost správců a zpracovatelů údajů bez ohledu na velikost a počet zaměstnanců zavést technická, organizační a procesní opatření, která budou v souladu s principy GDPR. Firmy tak musí nejen implementovat ochranu dat do firemních procesů.

Musí i nastavit procesy, které budou správně fungovat po jejich samotném zavedení. Důležité jsou průběžné monitoringy a reporty fungování práce s daty, které vám pomohou odkrýt případné nedostatky, které by mohly být v budoucnu sankcionovány.

Důkladně si vyjasněte povinnosti

Pro správný chod je důležité si vyjasnit, kdo má ve firmě jaké funkce a povinnosti. Zaměstnanci, kterých se práce s daty týká, by si tedy měli být vědomi, kdo za co zodpovídá. A samozřejmě kam se mohou obrátit v případě nějakého problému, komu hlásit změny v datech.

Důležitý je proces mapování jejich práce, zabezpečení dat a možná prevence případných problémů.

Nezapomeňte na veškerá firemní data

GDPR se týká velké škály údajů od personálních přes seznamy dodavatelů a odběratelů. Do osobních dat spadají i tzv. organizační údaje - např. e-mailové adresy, telefonní čísla či další identifikační údaje vydané státem. Ale i data, která se nacházejí mimo IT systémy - např. údaje v kartotékách, v souborech na plochách počítačů).

Z pohledu větších firem je proto vhodné zvážit využití externího dodavatele, který vám zmapuje současné nakládání s daty a pomůže nastavit procesy tak, aby byly tzv. GDPR compliant.

Často se objevuje nedostatečné zabezpečení v celé škále řešení. Jedná se jak o nevědomost, jak je nakládáno s firemními dokumenty citlivými na data, tak i zabezpečení vnitřního a vnějšího perimetru, mobilních zařízení, notebooků anebo řešení fyzického přístupu zaměstnanců do systémů.

Proškolte zaměstnance

GDPR se netýká pouze Pověřence pro ochranu osobních údajů (DPO), ale v podstatě všech zaměstnanců, kteří s daty pracují. Lidský faktor bývá obecně považován za nejslabší místo systému. Proškolení zaměstnanců je proto velmi důležité. Připravte sadu jednoduchých doporučení jak mají pracovat, aby nedošlo k problémům.

Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel.

Buďte připraveni na nahlášení problémů

V rámci procesů je taky důležité si uvědomit, jak musíte postupovat v případě problémů. Proveďte vyhodnocení možných rizik a připravte si krizový plán.

Zpracovatelé záznamů musí vést záznamy o činnostech zpracování, za které zodpovídají. Budou muset spolupracovat s dozorovým úřadem a proto si buďte jisti, že váš pověřenec pro ochranu osobních údajů je opravdu odborník a ví, co má dělat.

Zjistěte, co všechno je nutné nahlásit na Úřad pro ochranu osobních údajů a co ještě není považováno za porušení zabezpečení dat.

Obecně se oznamují jen rizikové incidenty, kde je velké riziko zásahu pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.

Nevyhýbejte se odpovědnosti

Nyní ještě nevíme, jak přesně bude GDPR sankcionováno. Přesto se nevyhýbejte odpovědnosti za vaše chyby. Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy.

Občan se může obrátit na Úřad pro ochranu osobních údajů a případně také na soud s žádostí provedení opravy či výmazu. Pokud správce nakládá s osobními údaji protiprávně, může na straně občana vzniknout škoda nebo nemajetková újma zásahem do jeho soukromí.

Občan by se pak mohl domáhat náhrady škody, nebo odčinění nemajetkové újmy omluvou nebo odškodnění finanční náhradou.

Neuchovávejte zbytečná data

Zamyslete se, po jak dlouhou dobu je pro vás nutné data uchovávat. Doba uchování osobních údajů je často stanovena v jiných předpisech než v nařízení GDRP. Například některé osobní údaje zaměstnanců, které mají vztah k jejich nároku na starobní důchod, je třeba uchovávat 50 let.

Doba uchování osobních údajů podle nařízení GDPR má však být vždy omezena na dobu nezbytnou k naplnění účelu činnosti, případně na dobu přímo uvedenou v souhlasu.

Vzhledem k rozdílným cílům uchovávání dat není možné dát jednoznačné doporučení, jak s uchováním dat pracovat. Každá společnost by si měla dopředu určit, zda při nakládání s osobními údaji naplňuje některý ze zákonných důvodů pro nakládání s osobními údaji. Následně si musí určit, co je přiměřená doba pro naplnění účelu a podle toho nastavit systém kontroly.

Mějte přehled o změnách

Nezapomeňte, že je nutné revidovat a aktualizovat postupy. Zásadní změny se patrně nebudou dít překotně, přesto je potřebné je sledovat. Především i z toho důvodu, že GDPR není v současnosti zcela jasné a bude se postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více.

Nařízení GDPR také obsahuje legislativně ne zcela konkrétní pojmy, tzv. neurčité právní pojmy, které zřejmě vyloží až sama praxe.

Např. pověřence pro ochranu osobních údajů musí jmenovat osoba, která v rámci své hlavní činnosti zpracovává osobní údaje, a toto zpracování vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů (osob).

V rámci výkladu je tak potřeba přesněji vyložit pojem "hlavní činnost" a definovat, co se rozumí pojmy rozsáhlost, pravidelnost atd.