Jak správně implementovat GDPR ve firmách

Vyvarujte se nejčastějších chyb při zavádění GDPR. 

OMYL PRVNÍ: KOUPÍME SI NEBO ODKOUKÁME TYPOVÉ „GDPR ŘEŠENÍ“ PRO URČITOU VELIKOST FIRMY/OBOR PODNIKÁNÍ A MÁME VYSTARÁNO

Pozor – k implementaci GDPR rozhodně nepřistupujte schematicky. Není úplně zodpovědně možné „odkoukat“ způsob řešení od jiné firmy. Byť je podobné velikosti a podniká v obdobném oboru jako Vy, může mít zcela jiný způsob nakládání s osobními údaji. Počet zaměstnanců nebo klientů, jejichž data spravujete, může být sice srovnatelný, rozsah zpracovávaných údajů, procesy nakládání s nimi nebo rizikovost těchto procesů, se však bude velmi pravděpodobně lišit. Je tedy zcela na místě, abyste se nad způsobem zpracování osobních údajů právě ve Vaší firmě vážně zamysleli a zvolili (ať už svépomocí, nebo s pomocí externího odborníka) nikoli řešení, které se osvědčilo „u sousedů“, ale takové, které bude vhodné právě pro Vaši firmu či organizaci.

Na tomto místě je dobré podotknout, že jakákoli schematická, na bázi jednoduchého checklistu založená, nebo „krabicová“ řešení v oblasti ochrany osobních údajů obvykle nefungují. Příkladem mohou být různorodé odpovědi na základní otázky související s procesní přípravou na GDPR a identifikací rizik, kterých by se při ní měla Vaše organizace vyvarovat, například:

  • Jak dlouho funguje Vaše firma na trhu?
  • Máte celou dobu Vašeho fungování zajištěnu kontinuitu zpracování osobních údajů nebo v závislosti na průběžných personálních změnách a změnách směru strategie Vaší firmy dochází i ke změnám způsobu zpracování osobních údajů?
  • Kolik informačních systémů a fyzických úložišť dat využíváte pro zpracování osobních údajů a jak jsou tyto systémy a úložiště vzájemně propojené?
  • Kolik máte a historicky jste měli externích dodavatelů služeb, kteří přicházejí do styku s osobními údaji Vašich zaměstnanců nebo zákazníků a jak zabezpečujete jim přenášená a jimi zpracovávaná osobní data?
  • Jaké způsoby zabezpečení využíváte pro Vaše informační systémy, koncová zařízení a fyzická úložiště dokumentů?
  • Jaké chytré technologie určené pro sledování způsobu chování Vašich zaměstnanců a zákazníků využíváte a jakým způsobem s výstupy z takového monitoringu pracujete?
  • Kolik zaměstnanců a pracovišť/úseků se ve Vaší firmě či organizaci podílí na zpracování osobních údajů a kolik z nich o způsobu zpracování samostatně rozhoduje?
  • Nakolik jste aktivní ve vztahu ke třetím zemím (vysílání zaměstnanců na služební cesty, pohyb Vašich dat včetně zpracování v cloudových úložištích nebo pohyb zboží, s nímž cestují i osobní údaje Vašich zaměstnanců nebo subdodavatelů)?

Nechte tyto dotazy zodpovědět několik zdánlivě srovnatelných firem a uvidíte rozdíly. Z nich pak lze dovodit i to, že v závislosti na svých odpovědích by jednotlivé firmy nebo organizace jako správci osobních údajů měli odlišně řešit základní proces přípravy na GDPR a zaměřit se na to, jak zejména:

  • Vypracovat interní předpisy, metodiky a postupy osvědčující naplňování zásad zpracování, ochrany a zabezpečení osobních údajů
  • Přistoupit k plnění své evidenční povinnosti a zpracovávání záznamů o činnostech zpracování
  • Zavést či nezavést roli pověřence pro ochranu osobních údajů nebo jmenovat manažera či jiného styčného zaměstnance zodpovědného za zpracování osobních údajů
  • Zavést v organizaci procesy související s naplňováním práv subjektů osobních údajů
  • Naplňovat Vaši informační povinnost vůči subjektům údajů
  • Zavést proces identifikace, hlášení a evidence bezpečnostních incidentů na poli osobních údajů (tzv. data breaches)
  • Revidovat smlouvy s nejvýznamnějšími zpracovateli osobních údajů
  • Provést úvodní posouzení vlivů na zpracování osobních údajů v oblastech, 
kde bude identifikováno vysoké riziko zpracování osobních údajů
  • Zavést systém sběru, evidence a zpracování souhlasů se zpracováním osobních údajů.

OMYL DRUHÝ: JEDNOU JSME GDPR ZAVEDLI A MÁME NAVŽDY KLID

Vězte, že úspěšným zvládnutím prvního kola proces neskončil. Ač jste sami nebo s dopomocí dosáhli více či méně dokonalého souladu stavu i všech procesů a postupů ve Vaší firmě s GDPR, rozhodně není možné usnout na vavřínech.

Odpovídejte sami:

  • Znáte už základní principy a požadavky, které na Vás GDPR klade zejména v oblasti dodržování základních zásad, naplňování práv subjektů údajů, jejichž osobní data spravujete i plnění povinností Vaší organizace jako správce a eventuálně zpracovatele údajů?
  • Jste si vědomi všech praktických dopadů GDPR do firemního života?
  • Jste připraveni na naplňování práv subjektů osobních údajů, jejichž data spravujete?
  • Plníte povinnosti Vaší firmy coby správce osobních údajů?
  • Dořešili jste své vztahy se zpracovateli osobních údajů anebo povinnosti Vaší firmy jako zpracovatele ve vztahu ke správcům, pro něž osobní údaje zpracováváte?
  • Máte jasno ve způsobu nakládání se zaměstnaneckými osobními údaji?
  • Vyřešili jste zpracování osobních údajů v rámci Vaší klientské a obchodní agendy, a to jak ve vztahu ke konečným spotřebitelům, tak i ve vztahu k Vašim firemním dodavatelům a odběratelům?
  • Máte jasno ve zpracování osobních údajů při Vašich kontaktech s veřejnou sférou?
  • Jmenovali jste pověřence nebo manažera pro ochranu osobních údajů a pokud nikoli, máte přesně vyhodnoceno, proč?
  • Dosáhli jste stavu, kdy je veškerá činnost Vaší firmy v souladu s GDPR?
  • Máte zcela jasno v tom, jaké osobní údaje a kde se ve Vaší firmě nacházejí?
  • Víte, kdo a proč s nimi uvnitř i vně Vaší firmy přichází do kontaktu a jak s nimi nakládá?
  • Máte analyzovány rizikové faktory a procesy při zpracování osobních dat?
  • Máte nastavenu míru zabezpečení a víte, jak úzká místa eliminovat?

Ani pokud jste na všechny tyto otázky odpověděli kladně, nemáte ještě vyhráno. Ochrana osobních údajů, stejně jako informační bezpečnost, je proces kontinuální a nikdy nekončící – ve firmě zavádíte nové procesy, vyvíjíte nové produkty, v čase vznikají nová rizika a dějí se bezpečnostní incidenty, které nejen musíte zvládnout, ale také předejít jejich opakování do budoucna.

Je proto třeba myslet i na průběžné další zajišťování souladu s GDPR, a to zejména v následujících oblastech:

  • Dlouhodobé sledování a aktualizace rizik a jejich řešení
  • Analýzy veškerých nových procesů z pohledu ochrany osobních údajů
  • Průběžná revize způsobu zabezpečení a ochrany osobních údajů
  • Prevence vzniku rizik a v případě bezpečnostních incidentů maximálně snaha o to, aby se stejný nebo obdobný incident v budoucnu již neopakoval.

Mimo jiné i tyto procesy jsou totiž jedním z důležitých ukazatelů, na které se zaměřují preventivní kontroly Úřadu pro ochranu osobních údajů, anebo která hrají roli při vyšetřování incidentů na poli zpracování osobních údajů a rozhodování o eventuálních sankcích vůči provinivším se správcům a zpracovatelům osobních údajů.

JAK SE TĚCHTO A OBDOBNÝCH OMYLŮ VYVAROVAT?

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce www.uoou.cz nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Sledujte aktuální rozhodovací činnost ÚOOÚ, sboru i soudů na poli kontroly správnosti postupu správců a zpracovatelů a sankcionování jejich pochybení.

K tematice procesní přípravy firem a organizací na GDPR pro Vás mohou být užitečné následující odkazy:


Svaz průmyslu a dopravy ČR se přípravě českých firem na GDPR věnuje soustavně již od počátku roku 2017. V prvním pololetí 2017 připravil sérii regionálních diskuzních fór pro firmy. Od června 2017 do dubna 2018 pak zorganizoval projekt Akademie GDPR. Spolu s partnery Svaz připravil celkem 22 tematických seminářů a workshopů věnovaných 17 tématům určených k praktické přípravě českých firem na účinnost GDPR. V roce 2018 také spustil e-learningovou platformu Vyškoleno CZ (www.vyskoleno.cz), kde mohou firmy absolvovat zevrubnou i základní verzi e-learningových kurzů k GDPR určeným jak pro vrcholový management firem a jejich pověřence nebo manažery pro ochranu osobních údajů, tak i pro běžné zaměstnance. Všechny tyto projekty Svaz realizuje v úzké partnerské spolupráci s Úřadem pro ochranu osobních údajů, který je také jejich odborným garantem.

Nyní Svaz připravuje sérii populárně-naučných článků, jejichž cílem je rozptýlit nejčastější dezinformace a dezinterpretace, které se ohledně GDPR na českém trhu vyskytují. Postupně se tak věnuje tématům:

  1. Kontext a souvislosti GDPR
  2. Souhlasy se zpracováním osobních údajů
  3. Pověřenci pro ochranu osobních údajů
  4. Přeshraniční přenosy osobních údajů
  5. Procesy implementace GDPR ve firmách

K 25. květnu letošního roku nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Firmy jsou vystaveny extrémnímu tlaku, aby zajistily, že se v jejich podniku budou uchovávat data a nakládat s nimi v souladu s tímto nařízením. Ne vždy k tomu však mají přesné a úplné informace. Výsledkem je obrovský chaos, který na trhu panuje. Podniky zavádí opatření, která je často stojí spoustu prostředků, aniž by vedla k zamýšlenému výsledku. Tím je slovy nařízení přijetí takových technických a organizačních opatření firem jako správců údajů, která povedou k zabezpečení nakládání s osobními údaji a splnění povinností správců údajů i naplňování práv subjektů údajů. Svaz průmyslu a dopravy ČR proto na svých stránkách postupně zveřejňuje sérii populárně-naučných článků, kterými vysvětluje nejčastější mýty a omyly o GDPR a dává firmám praktické návody, jak případné omyly napravit.


PŘEČTĚTE SI I DALŠÍ ZE SERIÁLU ČLÁNKŮ

Přeshraniční přenosy osobních údajů

Mgr. Tereza Šamanová, tsamanova@spcr.cz 
Lenka Dudková

kategorie Právní infoservis