Zavedenie GDPR do organizácie

Zavedenie GDPR nie je až tak komplikované, ak je organizácia čo len trochu otvorená myšlienke, že  si trochu upratá v osobných údajoch, v dokumentácii a firemných procesoch.Je to ako pri sťahovaní – vezmete do ruky každú vec, pričom sa pýtate sami seba, na čo vám vlastne je a či ju fakt potrebujete do nového domu. Všetky existujúce procesy treba popísať a zanalyzovať.

Dobré otázky na začiatok

  1. Aké údaje spracúvame?
  2. Aký je účel spracúvania týchto údajov?
  3. Na akom právnom základe stojí?
  4. Aké informačné systémy používame?
  5. Kto k nim má prístup? 
  6. Aké sú prípadné riziká a ako ich vieme eliminovať?
  7. Ako tieto údaje budeme v budúcnosti ničiť, mazať alebo anonymizovať?

1. Informačné systémy

Ak hovoríme o informačných systémoch, ide len o nešikovný preklad z angličtiny, nie nevyhnutne o sofistikovanú IT infraštruktúru alebo technológiu.

  • Máte na recepcii návštevnú knihu?
  • Komunikujete so zákazníkmi e-mailom?
  • Máte na sociálnych sieťach firemný profil?
  • Používate na webstránke formulár na nákup alebo prvý kontakt?
  • Posielajú vám uchádzači o zamestnanie životopisy?
  • V počítači máte tabuľku so zoznamom mien a kontaktných údajov klientov?
  • Máte archív alebo skriňu s osobnými zložkami zamestnancov?
  • Máte databázu uchádzačov o zamestnanie alebo klientov?
  • Vediete tabuľu výkonnosti jednotlivých tímov?
  • Vyplácate mzdy?
  • Zasielate ponuky vybraným klientom e-mailom?
  • A čo kamerové systémy na pracovisku, e-maily s IP adresami alebo GPS? 

Ak ste odpovedali “áno” aspoň na jednu otázku, tak máte informačný systém. No a keď máte informačný systém, týkajú sa vás zákonné podmienky spracúvania osobných údajov. Samozrejme, okrem informačných systémov v zmysle GDPR potrebujete ošetriť aj tie naozajstné informačné systémy, teda počítačové siete, servery, e-maily, mobily, prídavné zariadenia a tak podobne.

2. GDPR analýzy

V princípe existujú dve základné analýzy. Prvou je takzvaná GAP analýza, ktorá slúži na identifikáciu rozdielov (gap) medzi skutočným a želaným stavom. Analýza DPIA (Data Protection Impact Analysis) slúži na identifikovanie možných dopadov pri spracúvaní osobných údajov.

Túto analýzu by mal pre vás urobiť profesionál, ktorý sa dokáže predvídať a myslieť aj na tie drobnosti, ktorý vy z prevádzkových dôvodov môžete vnímať ako samozrejmosť, avšak dozorný orgán by z nich nadšený nebol.

  1. Ktoré údaje už nemusím alebo nemôžem spracúvať/ uchovávať?
  2. Kedy najneskôr a akým spôsobom ich vymažem?
  3. Ako zaručím nezvratnosť zmazania?
  4. Budem o tom informovať dotknutú osobu? Ako?
  5. Ktoré údaje potrebujem anonymizovať alebo spracúvať inak, než doteraz? Ako? 
  6. Ako presne budú spracúvané jednotlivé údaje pre jednotlivé účely?
  7. Ako sa zmenili právne základy na spracúvanie osobných údajov?
  8. Ktoré interné procesy a ako budú ovplyvnené GDPR?
  9. Ako presne budem o zmenách v spracúvaní informovať dotknuté osoby?
  10. Kto bude mať prístup k osobným údajom? 
  11. Ako budem zabezpečovať prevenciu voči úniku osobných údajov?
  12. Čo budem robiť v prípade takého úniku?

3. Smernica, záznamy, zásady

Všetky procesy týkajúce sa ochrany osobných údajov musia byť presne popísané vo vnútropodnikovej smernici. Následne musia byť spísaný Záznam o spracúvaní osobných údajov spoločnosti.

  • Smernica je dokument záväzný pre zamestnancov, ktorí pracujú s osobnými údajmi. Štandardy ochrany osobných údajov popísané v smernici  musia byť zohľadnené aj v pracovných postupoch a sú aj predmetom zmlúv s dodávateľmi služieb ako bezpečnostná služba, externá účtovná kancelária, zdravotná služba a iné podobné spoločnosti.
  • Záznam o spracovateľských operáciách popisuje presne, aké údaje a ako sú spracúvané, chránené, likvidované. Aké sú ich kategórie, účely, právne základy, lehoty spracúvania a tak ďalej.
  • Zásady spracúvania sú dokumentom pre splnenie informačnej povinnosti voči dotknutým osobám, umiestnené sú spravidla na webovom sídle prevádzkovateľa a dotknutá osoba s nimi musí byť oboznámená najneskôr v momente poskytnutia osobných údajv.

Informačná povinnosť

Byrokratický ptydepe neposkytne dotknutej osobe informáciu kto, prečo a ako spracúva jej osobné údaje. Inak povedané, slovník cudzích slov nechajte v knižnici a píšte ako hovoríte – jasne, ľudsky, zrozumiteľne. Cieľom informačnej povinnosti je informovať o plnom názve prevádzkovateľa, jeho sídle, kontaktných údajoch, ďalej o účele, právnom základe, rozsahu a lehotách spracúvania.

Informačnú povinnosť si prevádzkovateľ splní tak, že zverejní zásady spracúvania osobných údajov dotknutým osobám. Tieto zásady musia byť napísané jazykom zrozumiteľným pre predpokladaný okruh dotknutých osôb, odporúčané sú aj zrozumiteľné emotikony/ grafika, farebné písmo. V prípade on-line zverejnenia je možné poňať zásady ako FAQ alebo rolovacie menu.

Ako teda na to?

Ako dlho vám bude trvať príprava dokumentácie nezáleží od veľkosti spoločnosti, ale od rozsahu a rôznorodosti spracúvaných osobných údajov, od počtu informačných systémov, ale aj od toho, či údaje, ktoré spracúvate, majú platný a dostatočný právny základ.

Ak sa vám z toho už teraz točí v hlave, nezúfajte, nie ste sami. Nie každá spoločnosť má zdroje na to, aby sa tejto analytickej a implementačnej časti venovala popri výrobe či poskytovaní služieb zákazníkom.

Niektorí prevádzkovatelia si najmú na pomoc externého konzultanta, ktorý to za nich popíše a v súčinnosti s interným človekom implementuje. Takto napríklad aj my spolupracujem s viacerými spoločnosťami, ktoré nám dali svoju dôveru.

Iné použijú nejaký online nástroj alebo si zakúpia krabicový systém. Všetko má svoje výhody aj nevýhody, je dôležité si ale zapamätať, že zodpovednosť za správnu implementáciu a súlad so zákonom nesie vždy prevádzkovateľ. Výhody a riziká si musí zvážiť každý sám. Ak sa chcete nezáväzne poradiť, kontaktujte nás!

Autor: Martina Javůrková, MBA

, , , ,