CO MUSÍ FIRMA UDĚLAT, ABY BYLA PŘIPRAVENÁ NA GDPR?

CO MUSÍ FIRMA UDĚLAT, ABY BYLA PŘIPRAVENÁ NA GDPR?

Znovu si připomeňme, že každá firma musí chránit práva zákazníků, zaměstnanců, zkrátka všech osob, které jí poskytují své osobní údaje. Jak tohoto cíle firma dosáhne, je v zásadě na ní.

Důležitý je výsledek, tedy ochrana a zabezpečení údajů. Pravidla GDPR dopadají na firmu jako celek, nikoli pouze na některá oddělení, typicky IT či právní. Dotýkají se každého, kdo ve firmě pracuje s osobními údaji.

Přípravu na GDPR je vhodné rozdělit do několika etap:

1) ANALYTICKÁ ČÁST – INTERNÍ AUDIT

V této fázi je nezbytné zmapovat, jak se ve firmě zachází s osobními údaji.

Je nutné zjistit:

  • jaký druh osobních údajů se zpracovává (např. citlivé údaje, údaje dětí);
  • kdo s nimi pracuje (např. zaměstnanci jednotlivých odborů, externí dodavatelé);
  • kde jsou uloženy (např. CRM, jiná elektronická či papírová evidence);
  • na základě jakého právního titulu se osobní údaje zpracovávají (např. souhlas, smluvní povinnost, zákonné povinnosti)
  • k jakému účelu jsou data zpracovávána (např. mzdová či personální agenda, marketingové služby);
  • po jakou dobu jsou data zpracovávána (např. zda společnost osobní data smaže po ukončení projektu);
  • kde a jak se osobní údaje archivují (např. externí úložiště, cloudové služby).

Prakticky je třeba do interního auditu zapojit jak vedení firmy, tak všechny odpovědné osoby.

Harmonogram auditu může být následující:

  • úvodní porada vedení firmy – představení problematiky a rozsahu GDPR;
  • vytvoření GDPR týmu – zástupci všech oddělení, která pracují s osobními údaji;
    audit jednotlivých oddělení;
  • zpracování získaných informací;
  • vytvoření závěrečné zprávy pro vedení společnosti s upozorněním na rizika a navržení praktických opatření.

2) PRAKTICKÁ ŘEŠENÍ

Na základě vypracované analýzy by měl návrh řešení obsahovat:

  • úpravu vnitřních norem a procesů společnosti: úprava vnitřních dokumentů; zajistit školení zaměstnanců, kteří nakládají s osobními údaji; připravit se na případné zpracování posouzení vlivu na ochranu osobních údajů; zajistit potřebnou dokumentaci k záznamům o činnostech zpracování; nastavit řešení bezpečnostních incidentů; připravit se na zvláštní podmínky při zpracování osobních údajů dětí.
  • určení, zda společnost potřebuje pověřence pro ochranu osobních údajů o GDPR nestanoví žádné podmínky pro vzdělání či certifikování pověřence. Důležité je, aby měl znalosti a praktické zkušenosti v oblasti ochrany osobních údajů.
  • zajištění bezpečnosti zpracování osobních údajů o osobní údaje musí být zabezpečeny podle kategorie např. osobní a citlivé údaje; v závislosti na kategorii zpracování osobních údajů nutno vyhodnotit možná rizika; připravit postupy pro případné porušení ochrany dat. Nově musí být tato povinnost oznámena do 72 hodin Úřadu pro ochranu osobních údajů a v některých případech i dotčené fyzické osobě; zavedení technických opatření jako např. pseudonymizace (osobní údaje fyzické osoby jsou označeny číslem/kódem, přičemž spojovací číslo je vedeno odděleně od osobních údajů) a šifrování osobních údajů (postup, který převádí informace do nečitelné podoby na základě klíče/šifry).

Nejde však o povinné podmínky zpracování osobních údajů, jde o bezpečnostní prvky, které mohou pomoci správci či zpracovateli osobních údajů.

3) REALIZAČNÍ FÁZE

Po výběru vhodných řešení přichází jejich implementace do života firmy. Efektivitu a praktičnost přijatých opatření je třeba pravidelně ověřovat, a to jak technickou úroveň, tak pravidelné školení zaměstnanců.

Největším rizikem bezpečnosti ochrany dat je totiž lidský faktor. Pokud se podaří eliminovat tato rizika, je velká pravděpodobnost, že firma zvládne přechod na GDPR bez nepřiměřené zátěže a velkých nákladů. Výsledkem bude ochrana dat jak zevnitř, tak před případnými vnějšími útoky.