General Data Protection Regulation. O nařízení Evropské unie ohledně správy osobních dat, jejímž cílem je hájit digitální práva občanů, už jste patrně slyšeli. Minimálně by o něm měli vědět ti, kterých se týká. Nezačali jste ještě řešit dopad nového nařízení na správu dat ve vaší firmě? Anebo je pro vás GDPR novinka, která se vás týká, a nevíte, kde začít?
Pro oba případy nabízíme v bodech shrnutí toho, jak v následujících měsících postupovat, tak, abyste byli v květnu na nařízení GDPR připraveni.
Zde je sedm kroků, jak postupovat a vyhnout se sankcím:
Získejte dostatek informací
Rozhodně je důležité novou regulaci nepodceňovat. První věcí, kterou by se měl každý, kdo má správu osobních dat na starosti, zabývat, je získat dostatek informací. Jedná se komplexní změnu pravidel, proto je potřeba pečlivě prostudovat, jak postupovat dále.
Protože nyní už vás tlačí čas a možná si nejste dostatečně jisti, co přesně pro vaše podnikání, firmu nové nařízení znamená, nechejte si poradit od odborníka. Sankce při porušení nařízení jsou vysoké, pro mnohé až likvidační. Lepší je proto této situaci předejít a informovat se ohledně GDPR u třetí strany.
Zmapujte současný systém sběru dat a zpracování osobních údajů
Dalším důležitým krokem je zjistit, jak funguje současný systém zpracování osobních dat a provést jejich analýzu. Nesmíte zapomenout na všechny oblasti, ve kterých se pracuje s osobními údaji. Například personalistika, seznamy dodavatelů, odběratelů. Zapojte do procesu analýzy všechny oddělení bez rozdílu a analyzujte využívání dat vždy shora dolů.
Zřiďte důležité orgány správy vašich firemních dat
Mezi novými nástroji pro ochranu osobních údajů, které vejdou v platnost 25. května letošního roku je i pozice tzv. pověřence (DPO). O jejím zřízení nerozhoduje obrat ani velikost firmy, nýbrž hlavní činnost daného subjektu. Povinnost zřídit tuto pozici mají např. ty firmy, jejichž hlavní činnost spočívá ve zpracování osobních údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů. „Pověřenec pro ochranu osobních údajů je osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů,” přiblížil činnost DPO David Vavřínka, advokát LP Legal.
Pro jmenování do role pověřence není třeba být držitelem žádné speciální certifikace, je jen na vás, zda vyberete vhodnou osobu z řad zaměstnanců nebo využijete externistu. Je třeba ale dodržet, aby se pověřencem nestal šéf organizace nebo oddělení informatiky, jelikož by se tímto dostali do střetu zájmů. Pokud vaše firma nemá povinnost DPO mít, přesto pověřte určitou osobu či oddělení v rámci firmy, která bude mít nová nařízení ohledně správy osobních údajů na starosti. Detailně se roli pověřence věnuje článek 37 odst. 1 písm. b), c) Obecného nařízení.
Vytvořte nové procesy správy dat
Přistupte k povinnostem vycházejícím z nařízení pozitivně. Díky GDPR si uděláte pořádek v datech a můžete tak i zefektivnit současné postupy práce s nimi. V dnešní době jen málokterá firma řídí svá data na dobré úrovni a reaguje tak na digitalizaci. S GDPR se může tento fakt změnit.
Nezapomeňte, že nové nařízení se týká i dat, které se nacházejí mimo IT systémy (například excelové soubory na ploše vašich přístrojů). Pro splnění nařízení GDPR musí firmy přijmout vlastní vnitřní koncepce a udělat požadované procesní změny tak, aby dodržovaly zásady ochrany osobních údajů.
Prověřte, zda všechno funguje
Po zavedení nových procesů, které jsou v souladu s nařízením GDPR, prověřte, zda nový systém funguje jak má. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Pokud dojde k porušení, je třeba vědět, kam a jak jej nahlásit. Vyzkoušejte si různé situace, ke kterým v budoucnosti může dojít. Nově především s právy, které GDPR ukládá občanům.
„Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. Pokud uzná za vhodné, může žádat u správce, aby došlo k vymazání veškerých jeho osobních údajů, a bude tedy tzv. ‚zapomenut‘,” upřesnila Alice Kubíčková, ředitelka Komory právní odpovědnosti.
Proškolte své zaměstnance
Po zavedení systému správy osobních dat podle nařízení GDPR nezapomeňte na své interní i externí zaměstnance. Aby vše správně fungovalo, musí být proškoleni tak, aby data spravovali správně a předešlo se tak potencionálním sankcím. Není to pouze systém, ale i lidé, kteří jsou klíčovým faktorem, aby nově zavedené postupy ve firmě fungovaly.
„Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a osobními údaji nakládat dle nových pravidel,“ dodala Kubíčková.
Mějte přehled o změnách
Ustanovením systému správy osobních dat vaše práce nekončí. Naopak. „Nařízení GDPR zcela jednoznačné není. Jeho výklad se bude postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více,“ uzavírá Vavřínka.