Jak správně implementovat GDPR ve firmách

1. 3. 2019 | Zdroj: Svaz průmyslu a dopravy ČR (SP ČR)

V roce 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Svaz průmyslu a dopravy ČR připravil sérii článků, které se zabývají danou problematikou. V tomto článku naleznete informace, jak správně implementovat GDPR ve firmách.

Omyl první: Koupíme si nebo odkoukáme typové „GDPR řešení“ pro určitou velikost firmy/obor podnikání a máme vystaráno

Pozor – k implementaci GDPR rozhodně nepřistupujte schematicky. Není úplně zodpovědně možné „odkoukat“ způsob řešení od jiné firmy. Byť je podobné velikosti a podniká v obdobném oboru jako Vy, může mít zcela jiný způsob nakládání s osobními údaji.

Počet zaměstnanců nebo klientů, jejichž data spravujete, může být sice srovnatelný, rozsah zpracovávaných údajů, procesy nakládání s nimi nebo rizikovost těchto procesů, se však bude velmi pravděpodobně lišit.

Je tedy zcela na místě, abyste se nad způsobem zpracování osobních údajů právě ve Vaší firmě vážně zamysleli a zvolili (ať už svépomocí, nebo s pomocí externího odborníka) nikoli řešení, které se osvědčilo „u sousedů“, ale takové, které bude vhodné právě pro Vaši firmu či organizaci.

Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy

Na tomto místě je dobré podotknout, že jakákoli schematická, na bázi jednoduchého checklistu založená, nebo „krabicová“ řešení v oblasti ochrany osobních údajů obvykle nefungují. Příkladem mohou být různorodé odpovědi na základní otázky související s procesní přípravou na GDPR a identifikací rizik, kterých by se při ní měla Vaše organizace vyvarovat, například:

  • Jak dlouho funguje Vaše firma na trhu?
  • Máte celou dobu Vašeho fungování zajištěnu kontinuitu zpracování osobních údajů nebo v závislosti na průběžných personálních změnách a změnách směru strategie Vaší firmy dochází i ke změnám způsobu zpracování osobních údajů?
  • Kolik informačních systémů a fyzických úložišť dat využíváte pro zpracování osobních údajů a jak jsou tyto systémy a úložiště vzájemně propojené?
  • Kolik máte a historicky jste měli externích dodavatelů služeb, kteří přicházejí do styku s osobními údaji Vašich zaměstnanců nebo zákazníků a jak zabezpečujete jim přenášená a jimi zpracovávaná osobní data?
  • Jaké způsoby zabezpečení využíváte pro Vaše informační systémy, koncová zařízení a fyzická úložiště dokumentů?
  • Jaké chytré technologie určené pro sledování způsobu chování Vašich zaměstnanců a zákazníků využíváte a jakým způsobem s výstupy z takového monitoringu pracujete?
  • Kolik zaměstnanců a pracovišť/úseků se ve Vaší firmě či organizaci podílí na zpracování osobních údajů a kolik z nich o způsobu zpracování samostatně rozhoduje?
  • Nakolik jste aktivní ve vztahu ke třetím zemím (vysílání zaměstnanců na služební cesty, pohyb Vašich dat včetně zpracování v cloudových úložištích nebo pohyb zboží, s nímž cestují i osobní údaje Vašich zaměstnanců nebo subdodavatelů)?

Nechte tyto dotazy zodpovědět několik zdánlivě srovnatelných firem a uvidíte rozdíly. Z nich pak lze dovodit i to, že v závislosti na svých odpovědích by jednotlivé firmy nebo organizace jako správci osobních údajů měli odlišně řešit základní proces přípravy na GDPR a zaměřit se na to, jak zejména:

  • Vypracovat interní předpisy, metodiky a postupy osvědčující naplňování zásad zpracování, ochrany a zabezpečení osobních údajů
  • Přistoupit k plnění své evidenční povinnosti a zpracovávání záznamů o činnostech zpracování
  • Zavést či nezavést roli pověřence pro ochranu osobních údajů nebo jmenovat manažera či jiného styčného zaměstnance zodpovědného za zpracování osobních údajů
  • Zavést v organizaci procesy související s naplňováním práv subjektů osobních údajů
  • Naplňovat Vaši informační povinnost vůči subjektům údajů
  • Zavést proces identifikace, hlášení a evidence bezpečnostních incidentů na poli osobních údajů (tzv. data breaches)
  • Revidovat smlouvy s nejvýznamnějšími zpracovateli osobních údajů
  • Provést úvodní posouzení vlivů na zpracování osobních údajů v oblastech, kde bude identifikováno vysoké riziko zpracování osobních údajů
  • Zavést systém sběru, evidence a zpracování souhlasů se zpracováním osobních údajů.

Omyl druhý: Jednou jsme GDPR zavedli a máme navždy klid

Vězte, že úspěšným zvládnutím prvního kola proces neskončil. Ač jste sami nebo s dopomocí dosáhli více či méně dokonalého souladu stavu i všech procesů a postupů ve Vaší firmě s GDPR, rozhodně není možné usnout na vavřínech.

Odpovídejte sami:

  • Znáte už základní principy a požadavky, které na Vás GDPR klade zejména v oblasti dodržování základních zásad, naplňování práv subjektů údajů, jejichž osobní data spravujete i plnění povinností Vaší organizace jako správce a eventuálně zpracovatele údajů?
  • Jste si vědomi všech praktických dopadů GDPR do firemního života?
  • Jste připraveni na naplňování práv subjektů osobních údajů, jejichž data spravujete?
  • Plníte povinnosti Vaší firmy coby správce osobních údajů?
  • Dořešili jste své vztahy se zpracovateli osobních údajů anebo povinnosti Vaší firmy jako zpracovatele ve vztahu ke správcům, pro něž osobní údaje zpracováváte?
  • Máte jasno ve způsobu nakládání se zaměstnaneckými osobními údaji?
  • Vyřešili jste zpracování osobních údajů v rámci Vaší klientské a obchodní agendy, a to jak ve vztahu ke konečným spotřebitelům, tak i ve vztahu k Vašim firemním dodavatelům a odběratelům?
  • Máte jasno ve zpracování osobních údajů při Vašich kontaktech s veřejnou sférou?
  • Jmenovali jste pověřence nebo manažera pro ochranu osobních údajů a pokud nikoli, máte přesně vyhodnoceno, proč?
  • Dosáhli jste stavu, kdy je veškerá činnost Vaší firmy v souladu s GDPR?
  • Máte zcela jasno v tom, jaké osobní údaje a kde se ve Vaší firmě nacházejí?
  • Víte, kdo a proč s nimi uvnitř i vně Vaší firmy přichází do kontaktu a jak s nimi nakládá?
  • Máte analyzovány rizikové faktory a procesy při zpracování osobních dat?
  • Máte nastavenu míru zabezpečení a víte, jak úzká místa eliminovat?

Ani pokud jste na všechny tyto otázky odpověděli kladně, nemáte ještě vyhráno. Ochrana osobních údajů, stejně jako informační bezpečnost, je proces kontinuální a nikdy nekončící – ve firmě zavádíte nové procesy, vyvíjíte nové produkty, v čase vznikají nová rizika a dějí se bezpečnostní incidenty, které nejen musíte zvládnout, ale také předejít jejich opakování do budoucna.

Je proto třeba myslet i na průběžné další zajišťování souladu s GDPR, a to zejména v následujících oblastech:

  • Dlouhodobé sledování a aktualizace rizik a jejich řešení
  • Analýzy veškerých nových procesů z pohledu ochrany osobních údajů
  • Průběžná revize způsobu zabezpečení a ochrany osobních údajů
  • Prevence vzniku rizik a v případě bezpečnostních incidentů maximálně snaha o to, aby se stejný nebo obdobný incident v budoucnu již neopakoval.

Mimo jiné i tyto procesy jsou totiž jedním z důležitých ukazatelů, na které se zaměřují preventivní kontroly Úřadu pro ochranu osobních údajů, anebo která hrají roli při vyšetřování incidentů na poli zpracování osobních údajů a rozhodování o eventuálních sankcích vůči provinivším se správcům a zpracovatelům osobních údajů.

Jak se těchto a obdobných omylů vyvarovat?

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Sledujte aktuální rozhodovací činnost ÚOOÚ, sboru i soudů na poli kontroly správnosti postupu správců a zpracovatelů a sankcionování jejich pochybení.

K tematice procesní přípravy firem a organizací na GDPR pro Vás mohou být užitečné následující odkazy:

Tisknout Vaše hodnocení:

Štítky článků

Související články

Diskuse k článku

+ Nový příspěvek