GDPR za dveřmi: pusťte ho dál

Už jen necelý měsíc zbývá do účinnosti tolik diskutovaného obecného nařízení o ochraně osobních údajů. Ve firmách i neziskovkách už přípravy běží na plné obrátky. Že jste ještě nezačali? Žádnou paniku. Ačkoli se jedná o poměrně dlouhý proces, čím dříve se do něho pustíte, tím dříve s ním také budete hotovi. V závěrečném článku GDPR série se dozvíte, jaké jednotlivé kroky vás na cestě za GDPR compliance čekají právě teď.

---

1. Seznamte se s pravidly a povinnostmi, které vás čekají

Důsledná příprava je základním předpokladem úspěšné implementace. Pravidla GDPR bohužel není možné shrnout v několika větách – jedná se o robustní předpis, jehož ustanovení často vyžadují složitou interpretaci. Zmíněná pravidla dopadají na všechny správce osobních údajů bez ohledu na jejich právní vzdělání či povědomí. Mějte proto přehled o tom, jaké údaje můžete zpracovávat a za jakých podmínek.

V prvé řadě si ujasněte, jaké zásady je třeba při práci s daty dodržovat. Které povinnosti vůči subjektům údajů je nutné splnit, jaká práva mohou lidé ve vztahu ke svým údajům uplatnit. Správné pochopení pravidel GDPR vám umožní přijmout vhodná opatření. Usnadní vám také jejich následné dodržování.

2. Zmapujte dosavadní mechanismy práce s osobními údaji

Máte-li představu o tom, jak „by to mělo vypadat“ v budoucnu, potřebujete vědět, jak „to vypadá“ nyní. K tomu vám poslouží provedení tzv. auditu zpracování osobních údajů. Jedná se o zmapování práce s osobními údaji uvnitř organizace. Audit by vám měl poskytnout alespoň následující informace:

• jaké osobní údaje zpracováváte, jejich zdroje a kategorie (zda se jedná o standardní údaje nebo tzv. zvláštní kategorie osobních údajů, které jsou citlivějšího charakteru a vyžadují přísnější míru ochrany),
• o čí údaje se jedná, aneb kdo jsou subjekty údajů (zaměstnanci, uchazeči o zaměstnání, klienti, obchodní partneři, jiní externí pracovníci apod.),
• účel zpracování (proč ke zpracování osobních údajů dochází) a zákonný důvod takového zpracování (existence oprávnění údaje zpracovávat – zda se jedná o zpracování nezbytné pro splnění smluvní povinnosti či zpracování na základě souhlasu subjektu údajů a podobně),
• původ údajů (od koho byly získány),
• kde jsou data uložena, komu jsou předávána, kdo k nim má přístup,
• jakým způsobem jsou údaje zpracovávány (co se s nimi fakticky děje).

Audit si představte jako průzkum vaší organizace s tabulkou, do níž zanesete všechny osobní údaje, které zpracováváte, ať už v listinné či elektronické podobě. K nim vyplníte výše uvedená kritéria. Dobře zpracovaný audit bude podkladem pro další postup při implementaci GDPR.

3. Zkontrolujte soulad s pravidly GDPR a vyhodnoťte hrozící rizika

Porovnejte zjištěné informace z auditu s požadavky GDRP. Zjistíte tak, zda postupy při zpracování osobních údajů vyhovují novým pravidlům či nikoli. Odhalíte také případné nedostatky, které vám mohly zůstat skryty. Můžete přijít na to, že některé osobní údaje pro stanovené účely vůbec nepotřebujete, nemáte udělený souhlas k určitému druhu zpracování nebo údaje sdílíte se zbytečně širokým okruhem osob. K nápravě pak přijměte vhodná opatření.

Vyhodnoťte potenciální bezpečnostní rizika. Jakými způsoby může dojít k náhodnému zničení, ztrátě, pozměnění či neoprávněnému zpřístupnění údajů? Nebezpečím může být zkopírování a vynesení osobních údajů z organizace neoprávněnou osobou, selhání harddisku, ztráta nezabezpečeného mobilního telefonu nebo hackerský útok.

4. Přijměte vhodná bezpečnostní opatření a zdokumentujte je

Proti hrozícímu nebezpečí úniku dat je třeba se chránit. Kroky k nápravě nedostatků a odvrácení rizik mohou mít mnoho podob. Může se jednat o ukládání smluv v uzamykatelných skříních, používání zámků či hesel pro přístup k elektronickým zařízením a online účtům, omezení přístupu k údajům pro osoby, které je ke své práci nepotřebují, nebo sofistikovaná řešení v podobě šifrování či pseudonymizace osobních údajů, jak nařízení doporučuje.

Přijatá opatření musejí být vhodná s ohledem na stav techniky, náklady na jejich provedení, povahu, rozsah, kontext a účel zpracování údajů. Každé organizaci bude vyhovovat jiné řešení. Mějte na paměti, že smyslem je ochránit soukromí a práva subjektů údajů a zabránit neoprávněnému šíření jejich dat.

Všechna opatření zdokumentujte ve vnitřní směrnici o ochraně osobních údajů. Stanou se tak dostupná všem pracovníkům a využijete to v případě kontroly, kdy je vaší povinností prokázat, že osobní údaje skutečně chráníte.

5. Zásady, formuláře, dokumenty, informace, smlouvy

Vypracujte ještě několik nezbytných dokumentů. Důležité jsou zásady ochrany osobních údajů (například na webu), kde subjekty údajů najdou veškeré povinné informace. Dále formuláře pro získání platného souhlasu se zpracováním údajů nebo záznamy o činnostech zpracování, které předložíte v případě inspekce. Provádějí-li zpracování osobních údajů pro vaši organizaci externí zpracovatelé (různé agentury), nesmíte zapomenout na uzavření tzv. zpracovatelských smluv.

6. Uveďte opatření do praxe a nebojte se fungovat

Když vše dobře nastavíte, proškolte ohledně GDRP pracovníky a sepište s nimi záznam, že informace dostali. Fungujte dál s vědomím, že děláte vše pro ochranu dat osob, které se na činnosti vaší organizace podílejí. Činíte tak i pro ochranu dobré pověsti organizace samotné. V budoucnu se mohou vyskytnout situace, kdy se na vás lidé obrátí s oprávněnou žádostí týkající se jejich osobních údajů. Vy to budete muset v souladu s právem vyřídit. Pamatujte na pravidla ohlašování bezpečnostních incidentů dozorovým úřadům, případně jejich oznamování samotným subjektům údajů. Ve finále to budou právě lidé, kdo rozhodne o skutečném dopadu GDPR na vaší činnost a důsledcích eventuálního nedodržení pravidel.

Implementace GDPR vám sice v začátcích může přidělat na čele pár vrásek, v dlouhodobém horizontu vám jich však mnohem více ušetří.