GDPR

Business

autor: Jozef Haládik, 2018, www.gdprplus.eu 

Všichni už slyšeli zkratku GDPR. Proto je dobré umístit si toto evropské nařízení do business kontextu. V první řadě GDPR vzniklo jako reakce na nenasytný způsob podnikání google a facebook, které ani vteřinu neváhají, a ani nikdy předtím neváhali, užívat údaje svých zákazníků pro obchodní účely. K tomu, aby je bylo možné aspoň elementárně regulovat, bylo zapotřebí přijmout aspoň nějakou normu, od které se bude možné odpíchnout. Tou normou se stalo GDPR.

 

Tato norma nemá ani neměla za cíl regulovat mikro podnikání malých a středních podniků v České republice z pohledu jejich osobních údajů. Proto je hysterie kolem GDPR čistě PR záležitost, která má zdůvodnit odměny poradcům, kteří horečně implementují GDPR do státních a polostátních subjektům. Bohužel jste se Vy ostatní podnikatelé na této vlně svezli.

Co řeší GDPR

GDPR je prakticky první norma, která reguluje správu osobních údajů tak, aby v každém okamžiku bylo jasné, kde jsou umístěny osobní údaje, pro jaký účel byly shromážděny a jak jsou chráněny. Vše ostatní je v této fázi implementace úplně podružné. Není podstatné, zda máte data šifrovaná, či nikoliv a také není podstatné, jakou kvalifikaci má DPO (pověřenec pro ochranu osobních údajů).  

Jednoduše potřebujete zanalyzovat, kde se osobní údaje shromažďují, za jakým účelem a jak je chráníte, pokud to již teď víte, jste v klidu. Pokud ne, musíte to dát do jedné přehledné tabulky a máte hotovo. Zabezpečení dat je sice tématem, ale pokud něco nevěšíte veřejně na internet, ale zachováváte běžné bezpečnostní nástroje, např. Windows Server nebo Enterprise Server od Oracle, tak jste v klidu.   

GDPR je další v řadě hned po BOZP

Kam umístit GDPR z pohledu organizační struktury podniku. GDPR je agendou, která stojí hned vedle bezpečnosti práce, hygieny, ochrany životního prostředí a pojištění majetku. Je to jenom další sada zákonných povinností, kterých si musíte být vědomi, ale to není věc, kvůli které byste měli předělat celé IT Vaší firmy nebo dokonce pozastavit podnikání a okamžitě se věnovat pouze této agendě.

 

Prakticky budete muset proškolit zaměstnance při vstupu do zaměstnání a stávající zaměstnance proškolit například v cyklu BOZP tak, aby věděli, že osobní údaje nesmí vynášet z firmy a mohou je užívat výhradně pro účel, pro který se shromažďují. Možná navíc zavedete dvoustupňové ověření při prvním přihlášením ze zařízení, ale to je dnes již standard u mnoha serverových řešení.

Souhlasy a dotazy zákazníků

Celou agendu souhlasů se zpracováním osobních údajů musíte výrazně omezit, tj. obecně kde máte jiný účel zpracování, tak nemusíte mít souhlas. Např. od zaměstnanců nepotřebujete souhlas se zpracováním osobních údajů, ale stačí Vám, že údaje zpracováváte dle vnitřních předpisů zaměstnavatele a v souladu se zákonem. Jinak totiž nově souhlas, jeho rozsah a jeho odvolání musíte samostatně evidovat.

GDPR přináší i sadu oprávnění Vašim zákazníkům dotazovat se ohledně svých osobních údajů (zejména editace, výpis, přenos a výmaz osobních údajů). U každé takové žádosti budete muset postupovat vždy velice obezřetně a pokud se Vám zákazník nezosobní, tj. nepředloží žádost s úředně ověřeným podpisem, tak s ním jednoduše nemůžete dále jednat. Proč? Protože nemůžete zpřístupňovat údaje dostatečně neidentifikované osobě.  

ÚOOU jako strašák

V první řadě si uvědomte, že Úřad pro ochranu osobních údajů je primárně správním orgánem, který musí postupovat v souladu se správním řádem. Proč je to důležité? Protože to není finanční úřad, není ta žádná KOBRA, která je oprávněna k přepadovým kontrolám, nemůže si důkazy obstarávat dožádáním od třetích stran a vyměřovat daně vlastní úvahou. Je to normální správní orgán, který Vám dopředu oznámí konaní kontroly, většinu údajů o kontrole shromáždí přímo u Vás a vysvětlení bude také požadovat po Vás. K protokolu o kontrole se můžete vyjádřit a samozřejmě můžete napravit jakékoliv identifikované pochybení, přičemž náprava bude považována jako krok směřující ke zhojení pochybení, které se zohlední při stanovování případné sankce.

Samozřejmě proti sankci můžete podat řádnou sadu opravných prostředků, které celý proces natáhnou na roky. Navíc dle doporučení pracovní skupiny 29 poradní orgán při Evropské komisi budou sankce primárně směřovat k nápravě pochybení než k likvidaci subjektů, proto sankce ala 4 mil. EUR jsou skutečně směřovány na giganty jakými jsou facebook a google.

Pověřenec jako cool business

Nakonec je zapotřebí si ujasnit k čemu je pověřenec. Má tři úkoly: komunikuje s úřadem a držiteli osobních údajů, kontroluje míru zabezpečení a naplňování účelu správy osobních údajů a navrhuje zlepšení ochrany osobních údajů. Z tohoto výčtu jasně vyplývá, že pověřenec nemůže být osoba, která Vaši firmu nezná, protože bude těžko shromažďovat údaje, které se týkající jeho kontrolní funkce nebo funkce komunikační. Na druhou stranu to nemůže být introvert z IT oddělení, který neumí mluvit s lidmi. Ideálním člověkem je zaměstnanec z HR oddělení, který je zvyklý komunikovat s orgány státní správy a obecně s ostatními lidmi.     

Co tedy teď máte dělat

Nestresovat se. Z mapovat si umístění osobních údajů, účelu jejich použití a míru jejich zabezpečení. Pokud si nejste jisti, klidně se obraťte na nás nebo na poradce, který Vám tuto kategorizaci udělá a připraví Vám potřebnou analýzu, kterou si budete průběžně aktualizovat podle toho jak se bude vyvíjet Vaše práce s osobními údaji.

 

Je asi jasné, že IT bude mít spoustu dotazů, protože se s regulací setká asi poprvé, ale ty je potřeba centralizovat na jedno místo ideálně do tabulky, kde bude vše jasné a přehledné. Pokud budete chtít, využijte náš GDPR Helpdesk postavený na JIRA Service Desk, který používá již více než 40,000 zákazníků. 

Zde najdete nevyplněný vzor analýzy dle GDPR: