GDPR: Co je třeba zvládnout a kde začít?

Podle průzkumu společnosti TÜV SÜD ještě na konci roku 2017 nezahájilo přípravy na GDPR celkem 64 % oslovených slovenských firem. A v České republice je to podobné. Na konci února 2018 na nové nařízení o ochraně osobních údajů nebyla připravena téměř polovina z více než 2 000 oslovených českých firem. Začali jste řešit GDPR se zpožděním i vy? Nevěšte hlavu, dá se to dohnat. Zjistěte, kde začít. Sepsali jsme pro vás stručný postup.

GDPR a ochrana osobních údajů: Kde začít?

Podstatou GDPR je upřesnění a zpřísnění nakládání s osobními údaji, které shromažďujete a zpracováváte – ať už se jedná o data vašich zákazníků, nebo o informace o vlastních zaměstnancích. Informovat své zaměstnance a získat od nich souhlas bývá jednodušší a časově ne tolik náročné. Co ale osobní data vašich zákazníků?

Podle nařízení bude od 25. května 2018 možné nakládat s osobními daty lidí v případě, že k tomu dají svolení. Další možností je z právních předpisů vybrat konkrétní paragraf, který sběr osobních údajů dovoluje – v takovém případě nepotřebujete souhlas, ale musíte daného člověka o sbírání dat informovat. Data, která sesbíráte v rozporu s GDPR, po tomto datu nemůžete bez souhlasu či informování používat. Pokud tedy své zákazníky chcete požádat o souhlas, udělejte tak nejlépe před tímto datem (jen pozor, je třeba se naučit, kdy je potřeba souhlas subjektu a kdy stačí o zpracování dat pouze informovat, ale o tom níže). Než však plošně kontaktujete všechny osoby, jejichž údaje zpracováváte, ujasněte si několik důležitých věcí:

Osvojte si základní pojmy

Až budete pročítat jednotlivá nařízení, mějte na paměti, že: Subjekt údajů je osoba, jejíž osobní data zpracováváte. Správce je subjekt, který určuje účel a způsob zpracování osobních údajů (včetně pověření třetí strany ke zpracování). Zpracovatel je subjekt, který zpracovává osobní údaje jménem správce. Zpracováním osobních údajů se rozumí jakákoli operace s osobními údaji – například zaznamenání, uložení, pozměnění, nahlédnutí, použití atd.

Jak jste s daty nakládali doposud?

Nejprve získejte přehled o tom, jakým způsobem nakládáte s daty dnes. Jak zajišťujete ochranu osobních údajů? Je tento systém funkční? V čem se rozchází s nařízením GDPR?

Kdo s daty nakládá?

Abyste měli vše pod kontrolou, je třeba si ujasnit také to, kdo z vaší firmy má k datům přístup a kdo s nimi nakládá. Je dobré určit osoby, které budou mít tuto oblast na starost, aby nakonec nevzala za své kolektivní odpovědnost…

Jaké typy údajů zpracováváte?

Mezi osobní údaje subjektu patří jakákoli data o fyzické osobě, pomocí kterých lze danou osobu identifikovat. Logicky se jedná o jméno a příjmení, pohlaví, věk, fotografie, ale také „internetová data“, jako jsou IP adresa, cookies, uživatelská jména (login) atd.

Speciální pozornost je pak nutné věnovat údajům, které by mohly danou osobu nějak společensky poškodit. Dříve se těmto datům říkalo citlivé údaje. V rámci nařízení GDPR patří do „zvláštní kategorie citlivých údajů“. Sem patří například sexuální orientace, náboženské vyznání, politický názor, zdravotní stav nebo biometrické údaje. Tato data podléhají přísnějšímu režimu – jejich zpracování si dobře rozmyslete.

Pro jaký účel data zpracováváte? potřebujete tyto údaje?

Některé firmy uchovávají osobní údaje, které ani nevyužívají. Pokud nějaké takové máte, bude nejjednodušší je smazat. Ty, které jsou pro fungování firmy hodnotné, rozdělte ještě na 2 pomyslné části. Na jednu „stranu“ si dejte osobní údaje, která byly sbírány tak, že splňují podmínky GDPR. Takové údaje můžete dále zpracovávat. Na druhé „straně“ pak zůstanou ty osobní údaje, které nebyly sesbírány v souladu s GDPR. Těmito se potom zabývejte dál a opatřete si k nim souhlas.

Jak bude vypadat souhlas a jak budete subjekty kontaktovat?

Žádost o souhlas by rozhodně neměla vypadat tak, že pouze okopírujete důležité odstavce z nařízení. Je třeba držet se nastavené tonality a k zákazníkům hovořit stejným jazykem jako na webových stránkách, na Facebooku, v newsletterech atp. Ideální je také vysvětlit všem subjektům, které o souhlas žádáte, o jaké výhody by kvůli GDPR mohly přijít a že souhlas je tu vlastně pro jejich dobro. Správná motivace je klíčem k získání souhlasu.

Pozor, souhlas musí být svobodný. Jeho udělení tedy nesmí být podmínkou pro uzavření smlouvy, prohlížení webových stránek atp. Je také třeba jasně vysvětlit, k jakým účelům budete osobní data používat a kdo je správce. Souhlas také musí být jednoznačný. Předem zaškrtnuté tlačítko souhlasu v pop-up okně na vašich webových stránkách tedy nelze použít.

Pokud jste datum 25. května zmeškali, měli byste se zbavit osobních údajů, které sbíráte za jiným účelem, než za jakým konkrétní paragraf sběr osobních údajů dovoluje.

Jak bude vypadat souhlas u nově získaných dat?

Stejně tak je třeba promyslet, jakým způsobem budete žádat o svolení se zpracováním osobních dat své nové zákazníky.

Vyhodnoťte možná rizika a stanovte podmínky ochrany osobních údajů

Co se týče podmínek pro ochranu osobních údajů, zaměřte se na ty a) technické (kam budete ukládat data – pozor, je třeba vyřešit jejich elektronickou i tištěnou podobu; u elektronických dat vyřešte také způsob šifrování), b) organizační (jak dlouho budete údaje uchovávat, jak postupovat v případě žádosti o zapomenutí atd.), c) personální (kdo s údaji ve vaší firmě nakládá, GDPR školení zaměstnanců atd.).

Vytvořte interní dokumentaci

Nakonec bude třeba vytvořit interní dokument, který bude obsahovat všechna pravidla zmíněná výše. Ideální je ve firmě jmenovat „styčnou osobu“, která bude mít tyto procesy pod svými křídly a ohlídá nejen správnost dokumentu a jeho soulad s požadavky GDPR, ale také plnění těchto nařízení ve firmě.

Školení GDPR: Když na to sami nestačíte

Potřebujete-li pomoci s ochranou osobních údajů, máte několik možností. Poradenské firmy a konzultanti, kteří vaše kroky pohlídají a potvrdí jejich správnost, jsou jednou z cest. Další, levnější možností je pak vyškolit vlastního zaměstnance, který ve firmě hlídá interní procesy spojené s novým nařízením o ochraně osobních dat.

Pochopit a správně implementovat nová pravidla vám pomůže například společnost TÜV SÜD Czech, která nabízí školení GDPR ve formě e-learningového kurzu. Kurz je ideální jak pro výrobní společnosti, tak pro společnosti poskytující služby. Je vhodný pro každého zaměstnance, který přichází do styku s osobními údaji. A co je obsahem e-learningu?

  • Seznámení s problematikou
  • Práva a povinnosti zpracovatele osobních údajů (OÚ)
  • Práva dotčené osoby
  • Zpracování OÚ na základě pověření správce nebo zpracovatele OÚ
  • Jak zaručit bezpečnost ve zpracování OÚ
  • Jaká rizika vznikají pro firmu při úniku OÚ
  • Jaké jsou nejčastější chyby firem a kde dochází k úniku OÚ
  • Jak kontrolovat a odhalovat rizika spojená s ochranou OÚ
  • Jaké kroky zvolit při úniku OÚ
  • Náprava, odpovědnosti a sankce

E-learning obsahuje kontrolní otázky po každé kapitole a závěrečný test. Po úspěšném absolvování obdržíte osvědčení o proškolení na požadavky GDPR.

Diskuze k článku

Přidat komentář
V diskuzi není žádný příspěvek. Vložte první komentář.

ROZJÍŽDÍTE PODNIKÁNÍ?

Balíček Můj iPodnikatel vám s tím pomůže!

Nápady na podnikání

 

Praktické návody

Přehledné e-booky vás krok po kroku provedou všemi administrativními nástrahami při rozjezdu podnikání. Nezapomenete na nic důležitého.

Informace pro podnikatele

 

Užitečné pomůcky

Online aplikace pro tvorbu podnikatelského plánu, vzory smluv a aplikace pro správu objednávek vám zjednoduší život.

Podnikatel prosperuje

 

Spousta inspirace

Každý měsíc vám dáme nové číslo e-magu Starting UP + přístup k jeho starším číslům, videím a do databáze podnikatelských nápadů.

 

Řekněte mi o Můj iPodnikatel víc

Odběr novinek

Přihlaste svůj e-mail k odběru novinek z oblasti podnikání. Neposíláme žádný spam a můžete se kdykoliv odhlásit.

Kontaktujte nás

Napište nám e-mail.

E-mail: info@ipodnikatel.cz

Nebo se s námi spojte přes sociální sítě.

Google+    Twitter     Facebook

Sledujte nás

Jsme vám všude nablízku.