Jak správně implementovat GDPR ve firmách

Omyl první: Koupíme si nebo odkoukáme typové „GDPR řešení“ pro určitou velikost firmy/obor podnikání a máme vystaráno

Pozor – k implementaci GDPR rozhodně nepřistupujte schematicky. Není úplně zodpovědně možné „odkoukat“ způsob řešení od jiné firmy. Byť je podobné velikosti a podniká v obdobném oboru jako Vy, může mít zcela jiný způsob nakládání s osobními údaji.

Počet zaměstnanců nebo klientů, jejichž data spravujete, může být sice srovnatelný, rozsah zpracovávaných údajů, procesy nakládání s nimi nebo rizikovost těchto procesů, se však bude velmi pravděpodobně lišit.

Je tedy zcela na místě, abyste se nad způsobem zpracování osobních údajů právě ve Vaší firmě vážně zamysleli a zvolili (ať už svépomocí, nebo s pomocí externího odborníka) nikoli řešení, které se osvědčilo „u sousedů“, ale takové, které bude vhodné právě pro Vaši firmu či organizaci.

Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy

Na tomto místě je dobré podotknout, že jakákoli schematická, na bázi jednoduchého checklistu založená, nebo „krabicová“ řešení v oblasti ochrany osobních údajů obvykle nefungují. Příkladem mohou být různorodé odpovědi na základní otázky související s procesní přípravou na GDPR a identifikací rizik, kterých by se při ní měla Vaše organizace vyvarovat, například:

• Jak dlouho funguje Vaše firma na trhu?
• Máte celou dobu Vašeho fungování zajištěnu kontinuitu zpracování osobních údajů nebo v závislosti na průběžných personálních změnách a změnách směru strategie Vaší firmy dochází i ke změnám způsobu zpracování osobních údajů?
• Kolik informačních systémů a fyzických úložišť dat využíváte pro zpracování osobních údajů a jak jsou tyto systémy a úložiště vzájemně propojené?
• Kolik máte a historicky jste měli externích dodavatelů služeb, kteří přicházejí do styku s osobními údaji Vašich zaměstnanců nebo zákazníků a jak zabezpečujete jim přenášená a jimi zpracovávaná osobní data?
• Jaké způsoby zabezpečení využíváte pro Vaše informační systémy, koncová zařízení a fyzická úložiště dokumentů?
• Jaké chytré technologie určené pro sledování způsobu chování Vašich zaměstnanců a zákazníků využíváte a jakým způsobem s výstupy z takového monitoringu pracujete?
• Kolik zaměstnanců a pracovišť/úseků se ve Vaší firmě či organizaci podílí na zpracování osobních údajů a kolik z nich o způsobu zpracování samostatně rozhoduje?
• Nakolik jste aktivní ve vztahu ke třetím zemím (vysílání zaměstnanců na služební cesty, pohyb Vašich dat včetně zpracování v cloudových úložištích nebo pohyb zboží, s nímž cestují i osobní údaje Vašich zaměstnanců nebo subdodavatelů)?

Nechte tyto dotazy zodpovědět několik zdánlivě srovnatelných firem a uvidíte rozdíly. Z nich pak lze dovodit i to, že v závislosti na svých odpovědích by jednotlivé firmy nebo organizace jako správci osobních údajů měli odlišně řešit základní proces přípravy na GDPR a zaměřit se na to, jak zejména:

• Vypracovat interní předpisy, metodiky a postupy osvědčující naplňování zásad zpracování, ochrany a zabezpečení osobních údajů
• Přistoupit k plnění své evidenční povinnosti a zpracovávání záznamů o činnostech zpracování
• Zavést či nezavést roli pověřence pro ochranu osobních údajů nebo jmenovat manažera či jiného styčného zaměstnance zodpovědného za zpracování osobních údajů
• Zavést v organizaci procesy související s naplňováním práv subjektů osobních údajů
• Naplňovat Vaši informační povinnost vůči subjektům údajů
• Zavést proces identifikace, hlášení a evidence bezpečnostních incidentů na poli osobních údajů (tzv. data breaches)
• Revidovat smlouvy s nejvýznamnějšími zpracovateli osobních údajů
• Provést úvodní posouzení vlivů na zpracování osobních údajů v oblastech, kde bude identifikováno vysoké riziko zpracování osobních údajů
• Zavést systém sběru, evidence a zpracování souhlasů se zpracováním osobních údajů.

Omyl druhý: Jednou jsme GDPR zavedli a máme navždy klid

Vězte, že úspěšným zvládnutím prvního kola proces neskončil. Ač jste sami nebo s dopomocí dosáhli více či méně dokonalého souladu stavu i všech procesů a postupů ve Vaší firmě s GDPR, rozhodně není možné usnout na vavřínech.

Odpovídejte sami:

• Znáte už základní principy a požadavky, které na Vás GDPR klade zejména v oblasti dodržování základních zásad, naplňování práv subjektů údajů, jejichž osobní data spravujete i plnění povinností Vaší organizace jako správce a eventuálně zpracovatele údajů?
• Jste si vědomi všech praktických dopadů GDPR do firemního života?
• Jste připraveni na naplňování práv subjektů osobních údajů, jejichž data spravujete?
• Plníte povinnosti Vaší firmy coby správce osobních údajů?
• Dořešili jste své vztahy se zpracovateli osobních údajů anebo povinnosti Vaší firmy jako zpracovatele ve vztahu ke správcům, pro něž osobní údaje zpracováváte?
• Máte jasno ve způsobu nakládání se zaměstnaneckými osobními údaji?
• Vyřešili jste zpracování osobních údajů v rámci Vaší klientské a obchodní agendy, a to jak ve vztahu ke konečným spotřebitelům, tak i ve vztahu k Vašim firemním dodavatelům a odběratelům?
• Máte jasno ve zpracování osobních údajů při Vašich kontaktech s veřejnou sférou?
• Jmenovali jste pověřence nebo manažera pro ochranu osobních údajů a pokud nikoli, máte přesně vyhodnoceno, proč?
• Dosáhli jste stavu, kdy je veškerá činnost Vaší firmy v souladu s GDPR?
• Máte zcela jasno v tom, jaké osobní údaje a kde se ve Vaší firmě nacházejí?
• Víte, kdo a proč s nimi uvnitř i vně Vaší firmy přichází do kontaktu a jak s nimi nakládá?
• Máte analyzovány rizikové faktory a procesy při zpracování osobních dat?
• Máte nastavenu míru zabezpečení a víte, jak úzká místa eliminovat?

Ani pokud jste na všechny tyto otázky odpověděli kladně, nemáte ještě vyhráno. Ochrana osobních údajů, stejně jako informační bezpečnost, je proces kontinuální a nikdy nekončící – ve firmě zavádíte nové procesy, vyvíjíte nové produkty, v čase vznikají nová rizika a dějí se bezpečnostní incidenty, které nejen musíte zvládnout, ale také předejít jejich opakování do budoucna.

Je proto třeba myslet i na průběžné další zajišťování souladu s GDPR, a to zejména v následujících oblastech:

• Dlouhodobé sledování a aktualizace rizik a jejich řešení
• Analýzy veškerých nových procesů z pohledu ochrany osobních údajů
• Průběžná revize způsobu zabezpečení a ochrany osobních údajů
• Prevence vzniku rizik a v případě bezpečnostních incidentů maximálně snaha o to, aby se stejný nebo obdobný incident v budoucnu již neopakoval.

Mimo jiné i tyto procesy jsou totiž jedním z důležitých ukazatelů, na které se zaměřují preventivní kontroly Úřadu pro ochranu osobních údajů, anebo která hrají roli při vyšetřování incidentů na poli zpracování osobních údajů a rozhodování o eventuálních sankcích vůči provinivším se správcům a zpracovatelům osobních údajů.

Jak se těchto a obdobných omylů vyvarovat?

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Sledujte aktuální rozhodovací činnost ÚOOÚ, sboru i soudů na poli kontroly správnosti postupu správců a zpracovatelů a sankcionování jejich pochybení.

K tematice procesní přípravy firem a organizací na GDPR pro Vás mohou být užitečné následující odkazy:

• Doporučení Úřadu pro ochranu osobních údajů k vedení záznamů o činnostech zpracování údajů
• Doporučení Úřadu pro ochranu osobních údajů k hlášení případů porušení zabezpečení údajů