Ba právě naopak. Nastavte správně procesy zabezpečení dat a vyhněte se sankcím!
Nové nařízení Evropské unie ohledně správy osobních dat, tzv. General Data Protection Regulation (GDPR) je dnes často zmiňovaný pojem. Zavedení správné ochrany dat je aktuální otázkou pro podnikatele, firmy všech velikostí, banky, neziskové organizace a mnoho dalších subjektů. Samotné zavedení opatření ale nestačí. 25. květnem 2018 pro subjekty, kterých se nařízení týká, práce nekončí. Naopak GDPR zavádí pravidla, která se musí ve firmách neustále kontrolovat a aktualizovat tak, aby se dotčené subjekty sankcím vyhnuly.
„Příprava společnosti na GDPR není o nějaké chytré krabičce, který vše vyřeší za vás. Jedná se o soubor úprav a změn procesů, smluvní dokumentace, vztahů se zaměstnanci, dodavateli a odběrateli, jimž jsou údaje poskytovány,“ uvádí Jiří Vančura, GDO Director Xerox v České republice. Které procesy a záležitosti uvnitř firem po zavedení nového nařízení Evropské unie rozhodně neopomenout?
Nastavte si procesy průběžné kontroly správy dat
Zavedení nařízení GDPR je často složitý proces. Nově zavádí princip odpovědnosti, tedy povinnost správců a zpracovatelů údajů bez ohledu na velikost a počet zaměstnanců zavést technická, organizační a procesní opatření, která budou v souladu s principy GDPR. Firmy tak musí nejen implementovat ochranu dat do firemních procesů. Musí i nastavit procesy, které budou správně fungovat po jejich samotném zavedení. Důležité jsou průběžné monitoringy a reporty fungování práce s daty, které vám pomohou odkrýt případné nedostatky, které by mohly být v budoucnu sankcionovány.
Důkladně si vyjasněte povinnosti
Pro správný chod je důležité si vyjasnit, kdo má ve firmě jaké funkce a povinnosti. Zaměstnanci, kterých se práce s daty týká, by si tedy měli být vědomi, kdo za co zodpovídá. A samozřejmě kam se mohou obrátit v případě nějakého problému, komu hlásit změny v datech. Důležitý je proces mapování jejich práce, zabezpečení dat a možná prevence případných problémů.
Nezapomeňte na veškerá firemní data
GDPR se týká velké škály údajů od personálních přes seznamy dodavatelů a odběratelů. Do osobních dat spadají i tzv. organizační údaje (e-mailové adresy, telefonní čísla či další identifikační údaje vydané státem). Ale i data, která se nacházejí mimo IT systémy (například údaje v kartotékách, v souborech na plochách počítačů). Z pohledu větších firem je proto vhodné zvážit využití externího dodavatele, který vám zmapuje současné nakládání s daty a pomůže nastavit procesy tak, aby byly tzv. GDPR compliant. „Často se u zákazníků objevuje nedostatečné zabezpečení v celé škále řešení. Jedná se jak o nevědomost, jak je nakládáno s firemními dokumenty citlivými na data, tak i zabezpečení vnitřního a vnějšího perimetru, mobilních zařízení, notebooků anebo řešení fyzického přístupu zaměstnanců do systémů,“ přiblížil nedostatky v zabezpečení dat Vančura.
Proškolte zaměstnance
GDPR se netýká pouze Pověřence pro ochranu osobních údajů (DPO), ale v podstatě všech zaměstnanců, kteří s daty pracují. Lidský faktor bývá obecně považován za nejslabší místo systému. Proškolení zaměstnanců je proto velmi důležité. Připravte sadu jednoduchých doporučení, jak mají pracovat, aby nedošlo k problémům. „Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,“ potvrdila Alice Kubíčková, ředitelka Komory právní odpovědnosti.
Buďte připraveni na nahlášení problémů
V rámci procesů je taky důležité si uvědomit, jak musíte postupovat v případě problémů. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Zpracovatelé záznamů musí vést záznamy o činnostech zpracování, za které zodpovídají. Budou muset spolupracovat s dozorovým úřadem, a proto si buďte jisti, že váš pověřenec pro ochranu osobních údajů je opravdu odborník a ví, co má dělat. Zjistěte, co všechno je nutné nahlásit na Úřad pro ochranu osobních údajů a co ještě není považováno za porušení zabezpečení dat. „Obecně se oznamují jen rizikové incidenty, kde je velké riziko zásahu pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování,“ přiblížila Kubíčková. V nemocnici by mohla nedostupnost kritických dat o pacientech, i jen dočasná, představovat riziko pro práva a svobody jednotlivce, kdy může být například zrušena operace. Naopak, budou-li po několik hodin nedostupné systémy v mediální firmě, je nepravděpodobné, že by to představovalo nějaké riziko pro práva a svobody jednotlivce.
Nevyhýbejte se odpovědnosti
Nyní ještě nevíme, jak přesně bude GDPR sankcionováno. Přesto se nevyhýbejte odpovědnosti za vaše chyby. Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. „Občan se může obrátit na Úřad pro ochranu osobních údajů případně také na soud a žádat provedení opravy či výmazu. Pokud správce nakládá s osobními údaji protiprávně, může na straně občana vzniknout škoda nebo nemajetková újma zásahem do jeho soukromí. Občan by se pak mohl domáhat náhrady škody, nebo odčinění nemajetkové újmy omluvou nebo odškodnění finanční náhradou,“ upřesnila Kubíčková.
Neuchovávejte zbytečná data
Zamyslete se, po jak dlouhou dobu je pro vás nutné data uchovávat. „Doba uchování osobních údajů je často stanovena v jiných předpisech než v nařízení GDRP. Například některé osobní údaje zaměstnanců, které mají vztah k jejich nároku na starobní důchod, je třeba uchovávat 50 let. Doba uchování osobních údajů podle nařízení GDPR má však být vždy omezena na dobu nezbytnou k naplnění účelu činnosti, případně na dobu přímo uvedenou v souhlasu,“ upřesnila Kubíčková. Vzhledem k rozdílným cílům uchovávání dat není možné dát jednoznačné doporučení, jak s uchováním dat pracovat. „Každá společnost by si měla dopředu určit, zda při nakládání s osobními údaji naplňuje některý ze zákonných důvodů pro nakládání s osobními údaji. Následně si musí určit, co je přiměřená doba pro naplnění účelu a podle toho nastavit systém kontroly,“ dodala ředitelka Komory právní odpovědnosti.
Mějte přehled o změnách
Nezapomeňte, že je nutné revidovat a aktualizovat postupy. Zásadní změny se patrně nebudou dít překotně, přesto je potřebné je sledovat. Především i z toho důvodu, že GDPR není v současnosti zcela jasné a bude se postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více. „Nařízení GDPR také obsahuje legislativně ne zcela konkrétní pojmy, tzv. neurčité právní pojmy, které zřejmě vyloží až sama praxe. Například pověřence pro ochranu osobních údajů musí jmenovat osoba, která v rámci své hlavní činnosti zpracovává osobní údaje, a toto zpracování vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů (osob). V rámci výkladu je tak potřeba přesněji vyložit pojem ‚hlavní činnost‘ a definovat, co se rozumí pojmy rozsáhlost, pravidelnost atd.,“ přiblížil DPO David Vavřínka, advokát LP Legal.
