Zavedenie GDPR do organizácie začína analýzou pracovných postupv, procesov a spracovateľkých operácií, pokračuje prípravou dokumentácie a nekončí nikdy. Zavedenie GDPR ale nie je až tak komplikované, ak je organizácia čo len trochu otvorená myšlienke, že si trochu upratá v osobných údajoch, v dokumentácii a firemných procesoch. Všetky existujúce procesy treba pomenovať, popísať a zanalyzovať.
Dobré otázky na začiatok
- Ktoré údaje spracúvame?
- Aký je účel spracúvania týchto údajov?
- Na akom právnom základe stojí?
- Aké informačné systémy používame?
- Kto k nim má prístup?
- Aké sú prípadné riziká a ako ich vieme eliminovať?
- Ako tieto údaje budeme v budúcnosti ničiť, mazať alebo anonymizovať?
- Ktoré údaje už nemusím alebo nemôžem spracúvať/ uchovávať?
- Kedy najneskôr a akým spôsobom ich vymažem?
- Ako zaručím nezvratnosť zmazania?
- Budem o tom informovať dotknutú osobu? Ako?
- Ktoré údaje potrebujem anonymizovať alebo spracúvať inak, než doteraz? Ako?
- Ako presne budú spracúvané jednotlivé údaje pre jednotlivé účely?
- Ako sa zmenili právne základy na spracúvanie osobných údajov?
- Ktoré interné procesy a ako budú ovplyvnené GDPR?
- Ako presne budem o zmenách v spracúvaní informovať dotknuté osoby?
- Kto bude mať prístup k osobným údajom?
- Ako budem zabezpečovať prevenciu voči úniku osobných údajov?
- Čo budem robiť v prípade takého úniku?
1. Informačné systémy
Ak hovoríme o informačných systémoch, ide len o nešikovný preklad z angličtiny, nie nevyhnutne o sofistikovanú IT infraštruktúru alebo technológiu. Informačným systémom sa rozumie konkrétny typ činností, pri ktorých dochádza ku spracúvaniu osobných údajov napríklad personalistika a mzdy, predaj, web, atď.
2. GDPR analýzy
V princípe existujú dve základné analýzy. Prvou je takzvaná GAP analýza, ktorá slúži na identifikáciu rozdielov (gap) medzi skutočným a želaným stavom. Analýza DPIA (Data Protection Impact Analysis) slúži na identifikovanie možných dopadov pri spracúvaní osobných údajov a je zo zákona povinná v prípade používania sofistikovaných technologických prvkov, pri profilovaní a automatizovanom spracúvaní.
Túto analýzu by mal pre vás urobiť profesionál, ktorý sa dokáže predvídať a myslieť aj na tie drobnosti, ktorý vy z prevádzkových dôvodov môžete vnímať ako samozrejmosť, avšak dozorný orgán by z nich nadšený nebol.
3. Smernica, záznamy, zásady
Všetky procesy týkajúce sa ochrany osobných údajov musia byť presne popísané v Zázname o spracúvaní osobných údajov. Následne by mala byť spísaná a zverejenená vnútropodniková smernica o ochrane osobných údajov.
- Smernica je dokument záväzný pre zamestnancov, ktorí pracujú s osobnými údajmi. Štandardy ochrany osobných údajov popísané v smernici musia byť zohľadnené aj v pracovných postupoch a sú aj predmetom zmlúv s dodávateľmi služieb ako bezpečnostná služba, externá účtovná kancelária, zdravotná služba a iné podobné spoločnosti.
- Záznam o spracovateľských operáciách popisuje presne, aké údaje a ako sú spracúvané, chránené, likvidované. Aké sú ich kategórie, účely, právne základy, lehoty spracúvania a tak ďalej.
- Zásady spracúvania sú dokumentom, ktorým plníte informačnú povinnosť voči dotknutým osobám, umiestnené sú spravidla na webovom sídle prevádzkovateľa a dotknutá osoba s nimi musí byť oboznámená najneskôr v momente poskytnutia osobných údajv.
4. Informačná povinnosť
Byrokratický ptydepe neposkytne dotknutej osobe informáciu kto, prečo a ako spracúva jej osobné údaje. Inak povedané, slovník cudzích slov nechajte v knižnici a píšte ako hovoríte – jasne, ľudsky, zrozumiteľne. Cieľom informačnej povinnosti je informovať o plnom názve prevádzkovateľa, jeho sídle, kontaktných údajoch, ďalej o účele, právnom základe, rozsahu a lehotách spracúvania.
Informačnú povinnosť si prevádzkovateľ splní tak, že zverejní zásady spracúvania osobných údajov dotknutým osobám. Tieto zásady musia byť napísané jazykom zrozumiteľným pre predpokladaný okruh dotknutých osôb, odporúčané sú aj zrozumiteľné emotikony/ grafika, farebné písmo. V prípade on-line zverejnenia je možné poňať zásady ako FAQ alebo rolovacie menu.
4. Školenie oprávnených osôb
Zamestnanci, ktorí prichádzajú pri svojej práci do styku s osobnými údajmi, sú oprávnenými osobami. Môžu spracúvať osobné údaje, a musia to robiť zákonným spôsobom. Je preto dôležité ich vyškoliť. Nie genericky, ale adresne. Rovnako dôležité je mať kvalitné popisy pracovných miest, aby z nich bolo zrejmé, aké pracovné povinnosti sa viažu ku ktorej pracovnej pozícii.
Ako teda na to?
Ako dlho vám bude trvať príprava dokumentácie záleží od rozsahu a rôznorodosti spracúvaných osobných údajov a od počtu informačných systémov.
Ak sa vám z toho už teraz točí v hlave, nezúfajte, nie ste sami. Ak potrebujet pomoc, kontaktujte ma!Vaše GDPR ma baví a bude baviť aj vás. A hlavne, budete mu rozumieť.