Zavedenie GDPR do organizácie

Zavedenie GDPR nie je až tak komplikované, ak je organizácia čo len trochu otvorená myšlienke, že  si trochu upratá v osobných údajoch, ktoré spracúva, v dokumentácii a firemných procesoch. Spolupráca s takýmito spoločnosťai je konštruktívna a príjemná.

Je taká pekná slovná hračka, že GDPR znamená Get Data Protection Right. Je to ako doma, keď sa idete sťahovať a vezmete do ruky každú vec, pričom sa pýtate sami seba, na čo vám vlastne je a či ju fakt potrebujete do nového domu. Všetky existujúce procesy treba popísať a zanalyzovať.

Dobré otázky na začiatok

  1. Aké údaje spracúvame?
  2. Aký je účel spracúvania týchto údajov?
  3. Na akom právnom základe stojí?
  4. Aké informačné systémy používame?
  5. Kto k nim má prístup? 
  6. Aké sú prípadné riziká a ako ich vieme eliminovať?
  7. Ako tieto údaje budeme v budúcnosti ničiť, mazať alebo anonymizovať?

Informačné systémy

Ak hovoríme o informačných systémoch, ide len o nešikovný preklad z angličtiny, nie nevyhnutne o sofistikovanú IT infraštruktúru alebo technológiu.

Máte na recepcii návštevnú knihu? Komunikujete so zákazníkmi e-mailom? Posielajú vám uchádzači o zamestnanie životopisy? V počítači máte tabuľku so zoznamom mien a kontaktných údajov klientov? Máte archív alebo skriňu s osobnými zložkami zamestnancov? Máte databázu uchádzačov o zamestnanie alebo klientov? Vediete tabuľu výkonnosti jednotlivých tímov? Vyplácate mzdy? Zasielate ponuky vybraným klientom e-mailom? A čo kamerové systémy na pracovisku, e-maily s IP adresami alebo GPS? 

Ak ste odpovedali “áno” aspoň na jednu otázku, tak máte informačný systém. No a keď máte informačný systém, týkajú sa vás zákonné podmienky spracúvania osobných údajov. 

Samozrejme, okrem informačných systémov v zmysle GDPR potrebujete ošetriť aj tie naozajstné informačné systémy, teda počítačové siete, servery, e-maily, mobily, prídavné zariadenia a tak podobne. Najistejšou cestou ku zvládnutiu kybernetickej bezpečnosti v súlade s GDPR je investovať do certifikácie ISO 27001. 

GDPR analýzy

V princípe existujú dve základné analýzy. Prvou je takzvaná GAP analýza, ktorá slúži na identifikáciu rozdielov (gap) medzi skutočným a želaným stavom. Analýza DPIA (Data Protection Impact Analysis) slúži na identifikovanie možných dopadov pri spracúvaní osobných údajov.

  1. Ktoré údaje už nemusím alebo nemôžem spracúvať/ uchovávať?
  2. Ktoré údaje potrebujem anonymizovať alebo spracúvať inak, než doteraz? Ako? 
  3. Ako presne budú spracúvané jednotlivé údaje pre jednotlivé účely?
  4. Ako sa zmenili právne základy na spracúvanie osobných údajov?
  5. Ktoré interné procesy a ako budú ovplyvnené GDPR?
  6. Ako presne budem o zmenách v spracúvaní informovať dotknuté osoby?
  7. Kto bude mať prístup k osobným údajom? 
  8. Ako budem zabezpečovať prevenciu voči úniku osobných údajov? Čo budem robiť v prípade takého úniku?

Smernica, záznamy, zásady

Všetky procesy týkajúce sa ochrany osobných údajov musia byť presne popísané vo vnútropodnikovej smernici. Následne musia byť spísaný Záznam o spracúvaní osobných údajov spoločnosti.

  • Smernica je dokument záväzný pre zamestnancov, ktorí pracujú s osobnými údajmi. Štandardy ochrany osobných údajov popísané v smernici  musia byť zohľadnené aj v pracovných postupoch a sú aj predmetom zmlúv s dodávateľmi služieb ako bezpečnostná služba, externá účtovná kancelária, zdravotná služba a iné podobné spoločnosti.
  • Záznam o spracovateľských operáciách popisuje presne, aké údaje a ako sú spracúvané, chránené, likvidované. Aké sú ich kategórie, účely, právne základy, lehoty spracúvania a tak ďalej.
  • Zásady spracúvania sú dokumentom pre splnenie informačnej povinnosti voči dotknutým osobám.

Čo je to GDPR a koho sa týka

Informačná povinnosť

Informačnú povinnosť si prevádzkovateľ splní tak, že zverejní zásady spracúvania osobných údajov dotknutým osobám. Tieto zásady musia byť napísané jazykom zrozumiteľnou pre predpokladaný okruh dotknutých osôb, odporúčané sú aj zrozumiteľné emotikony/ grafika, farebné písmo. V prípade on-line zverejnenia je možné poňať zásady ako FAQ alebo rolovacie menu. Inak povedané, slovník cudzích slov nechajte v knižnici a píšte ako hovoríte – jasne, ľudsky, zrozumiteľne.

Ako dlho vám bude trvať príprava dokumentácie nezáleží ani tak od veľkosti spoločnosti, ale od rozsahu a rôznorodosti spracúvaných osobných údajov, od počtu informačných systémov, ale aj od toho, či údaje, ktoré spracúvate, majú platný a dostatočný právny základ. Ak ním je totiž spracúvanie osobných údajov na základe oprávneného záujmu, budú nutné aj balančné testy. 

Ak sa vám z toho už teraz točí v hlave, nezúfajte, nie ste sami. Nie každá spoločnosť má zdroje na to, aby sa tejto analytickej a implementačnej časti venovala popri výrobe či poskytovaní služieb zákazníkom. Niektorí prevádzkovatelia si najmú na pomoc externého konzultanta, ktorý to za nich popíše a v súčinnosti s interným človekom implementuje, iné použijú nejaký online nástroj alebo si zakúpia krabicový systém. Všetko má svoje výhody aj nevýhody, je dôležité si ale zapamätať, že zodpovednosť za správnu implementáciu a súlad so zákonom nesie vždy prevádzkovateľ. Výhody a riziká si musí zvážiť každý sám.

Autor: Martina Javůrková, MBA


Hľadáte školenie pre vašu organizáciu?

Spracúvanie osobných údajov zamestnanca

Vedenie hodnotiaceho rozhovoru

Profesionálne vedenie pracovného pohovoru

https://www.dimensions.sk/firemne-vzdelavanie/manazerske-zrucnosti/