GDPR: jak efektivně implementovat za „pět minut dvanáct“?

12.4.2018 Radek Matouš - radek.matous@dhplegal.com

Dne 25. 5. 2018 nabývá účinnosti nové evropské obecné nařízení o ochraně osobních údajů známé pod anglickou zkratkou GDPR. Podnikatelům, společnostem a ostatním správcům osobních údajů tak zbývá již pouze několik týdnů na přípravu a zajištění souladu.

I když značná část firem v tomto procesu už výrazně pokročila nebo je dokonce před jeho dokončením, stále existuje nezanedbatelné množství organizací, které jsou teprve na startu nebo těsně za ním.

Připravili jsme pro Vás shrnutí našich zkušeností a doporučení z mnoha realizovaných GDPR projektů tak, aby většina běžných obchodních či výrobních firem, u kterých zpracování osobních údajů hraje pouze podpůrnou roli, byla schopna dosáhnout ve zbývajícím čase alespoň uspokojivé úrovně souladu s GDPR.

  1. Mapování je základ

Prvním krokem přípravy na GDPR je identifikace a zmapování veškerých procesů zpracování osobních údajů, které ve firmě provádíte. Nemusí se jednat o žádné sofistikované postupy, ale v podstatě stačí zodpovězení základních „kriminalistických“ otázek pro každé zpracování identifikované dle jeho účelu:

V optimálním případě by výstupem této mapovací fáze měl být přehled zpracování osobních údajů, který bude možné následně využít jako podklad pro záznamy o zpracování osobních údajů podle GDPR.

  1. Provedení rozdílové analýzy

Pokud máte zmapovány procesy zpracování ve společnosti, přichází další krok spočívající v porovnání současného stavu se šesti povinnostmi každého správce osobních údajů dle GDPR.

Především je tak nutné prověřit, zda používáte pro dané zpracování správný zákonný důvod (zákonnost). Zvláštní pozornost je potřeba věnovat souhlasu s ohledem na zpřísnění požadavků pro jeho získání a udržení. Souhlas jako zákonný důvod zpracování doporučujeme využívat pouze tehdy, pokud skutečně nemůžete využít jiný zákonný důvod (plnění právní povinnosti, uzavření či plnění smlouvy nebo oprávněný zájem správce).

Po stanovení správného zákonného důvodu následuje prověření, zda veškeré údaje, které zpracováváte, jsou nezbytné pro legitimní a předem stanovený účel zpracování (omezení účelem), a zda je uchováváte pouze po nezbytnou dobu (minimalizace údajů a doby uchování). Je také nutné zabezpečit, abyste zpracovávali pouze přesné a podle potřeby aktualizované osobní údaje (přesnost).

Dále je potřeba podívat se na informace, které subjektům údajů o zpracování poskytujete a jakým způsobem budete reagovat na jejich související žádosti a práva a napomáhat jim při jejich výkonu (transparentnost a férovost). Ve většině případů stávající informace nebudou odpovídat požadavkům GDPR na obsah i formu. Obvykle ve firmách absentují také procesy, jak budou reagovat na žádosti subjektů.

Konečně je nutné zhodnotit rizikovost každého zpracování a přijmout a zdokumentovat odpovídající technická a organizační opatření k ochraně zpracování před neoprávněným přístupem či zpracováním a před náhodnou ztrátou, zničením nebo poškozením údajů (integrita a důvěrnost).

  1. A konečně samotná implementace

Doporučujeme, abyste na základě zjištěných nedostatků stanovili konkrétní nápravná opatření zajišťující soulad s GDPR. S ohledem na čas je nutné identifikovat priority pro implementaci a přijmout odpovídající harmonogram.

V každém případě je možné předpokládat, že se nevyhnete následujícím v podstatě „standardním“ implementačním opatřením:

Tento výčet není vyčerpávající a představuje pouze standardní základní „implementační balíček“. Konkrétní rozsah implementačních opatření se bude vždy lišit zejména podle rozsahu, povahy, kontextu a účelu zpracování. V každém případě se jedná o obvyklé minimum, které z velké části můžete řešit ve zbývajícím čase.

I pokud se případně nepodaří vše stihnout do účinnosti GDPR, není nutné abyste propadali beznaději a pasivně čekali na masivní pokutu! Je zcela legitimní očekávat, že zmapování zpracování, částečná implementace priorit a reálný harmonogram pro zbývající opatření budou vždy zohledněny v případě kontroly a měly by vás uchránit před uložením nějaké zásadní sankce.

Další články autora Radek Matouš



© 2018 Moore Stephens. Všechna práva vyhrazena. Mapa stránek Politika ochrany soukromí Design by aboutblank - creative web design