English version
Jakým způsobem mohu co nejsnadněji a pokud možno i nejrychleji implementovat GDPR do svého systému?
Josef B., Zlín
Na implementaci GDPR nelze stanovit jednoznačný a pro všechny funkční návod. Implementace GDPR do systému společnosti je rozsáhlou záležitostí, která zahrnuje nejen právní, ale také IT analýzu a je procesem vyžadujícím součinnost mezi jednotlivými články ve společnosti. Ať už se rozhodnete GDPR do svého systému implementovat sám, nebo si pozvete na pomoc odborníka, v každém případě byste se měl informovat, co si pod pojmem GDPR představit.
Na počátku celého procesu implementace je vždy důkladný úklid. To znamená zjistit, kde a jakými způsoby osobní údaje zpracováváte. Zkoumejte procesy, jednotlivé situace zpracování, dokumentaci, kamerové systémy a pečlivě vše optikou GDPR prověřte.
Společnost se nejčastěji v první fázi zaměří na zaměstnance. Začne s osobními spisy a pokračuje souvisejícími procesy, v rámci nichž zpracovává osobní údaje svých pracovníků. Doporučujeme soustředit se na to, jaké konkrétní údaje zpracováváte a zda jsou nezbytné k účelům, ke kterým je shromažďujete. Mnohdy jsou naši klienti velmi překvapeni, kolik údajů o svých zaměstnancích zpracovávají nadbytečně. Nejčastější chybou s pracovněprávní tematikou je uchovávání životopisů neúspěšných uchazečů.
Následuje analýza zpracování osobních údajů zákazníků. Odpovězte si na otázku, zda jsou skutečně veškeré údaje, které o svých zákaznících evidujete, v souladu s tím, co s nimi sjednáváte za obchody. Časté je například nadužívání rodných čísel, nadbytečné souhlasy se zpracováním osobních údajů, nedostatečná informovanost subjektů údajů, dále také například sloučené databáze různých účelů zpracování, neohraničená doba uložení osobních údajů ad. To vše jsou chyby, kterých je potřeba se k 25. 5. 2018 vyvarovat, jinak hrozí vysoké pokuty.
S každým dodavatelem, kterému jakýmkoli způsobem předáváte osobní údaje vašich zákazníků či zaměstnanců, byste měli mít uzavřenou smlouvu o zpracování osobních údajů. Pokud tomu tak není, doporučujeme s dodavateli vyvolat jednání o dodatcích k vašim obchodním smlouvám, v rámci nichž ustanovení zpracovatelských smluv doplníte. Nezapomeňte, že za dodavatele se považuje mj. také externí mzdová účetní, externí IT společnost, úklidová společnost a další. Ustanovení zpracovatelských smluv představuje několik málo odstavců, které vás jakožto správce osobních údajů můžou v budoucnu zásadním způsobem ochránit.
Jakmile si společnost pečlivě uklidíte, budete vědět, co vše máte nastaveno správně a co je potřeba přenastavit, a přichází rozhodovací fáze. Rozhodovací fází je proces, v rámci něhož je před podnikatelem několik variant řešení vzniklé situace a každý si zváží, jaké konkrétní řešení implementace, které bude především z finančního hlediska pro společnost efektivní, zvolí. Doporučujeme brát v úvahu i výsledky analýz v otázce povinnosti jmenovat pověřence pro ochranu osobních údajů, povinnosti provést posouzení vlivu na ochranu osobních údajů a dalších aktuálních nových témat.
Následný proces implementace může být časově velmi nenáročný – to pokud máte vše v souladu se stávajícími předpisy vztahujícími se k ochraně osobních údajů. Více pravděpodobné však je, že budete muset přenastavit řadu systémových procesů a navrhnout novou dokumentaci.
Pokud jste tedy doposud váhali, zda potřebujete odbornou konzultaci, ve fázi implementace bychom ji již považovali za nevyhnutelnou. Odborníci vám pomůžou implementaci uchopit prakticky a zároveň vám zaručí její správnost. Řadu nejasností s nimi pak můžete konzultovat i nadále průběžně, až se systémy v módu GDPR rozběhnou a budete dostávat první dotazy od vašich subjektů údajů.
Ačkoli je znění GDPR finální, výkladové pokyny pracovní skupiny na evropské úrovni WP29 stále přibývají a nyní můžete na zprvu velmi nejednoznačné body najít již velmi konkrétní odpovědi. Pokyny jsou k dispozici mj. k pověřenci pro ochranu osobních údajů, k přenositelnosti údajů, k posouzení vlivu na ochranu osobních údajů a nově i ke správnímu pokutování. Právě pokuty a jejich výše jsou hlavní motivací pro podnikatele přistupovat k implementaci GDPR odpovědně.
Základními hledisky při jejich ukládání jsou dle pokynů WP29 povaha, závažnost a doba trvání porušení, dále také charakter protiprávního jednání (úmysl, nedbalost) a stupeň odpovědnosti správce ve vztahu ke zvoleným technickým a organizačním opatřením. Dozorové úřady by se pak měly držet zásady přiměřenosti, a tedy výši pokut volit s přihlédnutím ke všem okolnostem daného případu a také možnostem společnosti.
Závěrem doporučujeme určit si jasné časové rozpětí, v rámci nějž budete implementaci provádět.
Převzato z časopisu Profit. Autor článku: Mgr. Gabriela Jiráková, advokátka, bpv Braun Partners.
