Sedm kroků, jak se vyhnout sankcím kvůli GDPR
Získejte dostatek informací
První věcí, kterou by se měl každý, kdo má správu osobních dat na starosti, zabývat, je získat dostatek informací. Jde o komplexní změnu pravidel, proto je potřeba pečlivě prostudovat, jak postupovat. Pokud si nejste dostatečně jisti, co přesně pro vaše podnikání nové nařízení znamená, nechejte si poradit od odborníka. Sankce při porušení nařízení jsou vysoké, pro mnohé až likvidační. Lepší je proto této situaci předejít a informovat se ohledně GDPR u právních kanceláří, které se tématem zabývají.
Zmapujte současný systém sběru dat a zpracování osobních údajů
Dalším důležitým krokem je zjistit, jak funguje současný systém zpracování osobních dat a provést jejich analýzu. To potvrzuje také Martina Höferová, ředitelka pro oblast produktů První klubové pojišťovny: „Naše společnost vznikala v době, kdy sice ještě neexistovala evropská směrnice GDPR, ale i tak již byla v českém právním řádu stanovena vysoká ochrana osobních údajů a nakládání s nimi. Ale i v naší společnosti samozřejmě probíhá mapování způsobů zpracování osobních údajů a navazující postupná implementace zjištěných odchylek od nového evropského nařízení.” Neměli byste zapomenout na všechny oblasti vašeho byznysu, ve kterých se pracuje s osobními údaji. Například personalistika, seznamy dodavatelů a odběratelů. Zapojte do procesu analýzy všechny oddělení bez rozdílu a analyzujte využívání dat vždy shora dolů.
Zřiďte důležité orgány správy vašich firemních dat
Podle nařízení GDPR musí mít firmy nad 250 zaměstnanců pověřence pro ochranu osobních údajů (DPO). „Pověřenec pro ochranu osobních údajů je osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů,” přiblížil činnost DPO David Vavřínka, advokát LP Legal.
Pokud vaše firma nemá povinnost DPO mít, přesto pověřte určitou osobu či oddělení, která bude mít nová nařízení ohledně správy osobních údajů na starosti.
Vytvořte nové procesy správy dat
Přistupte k povinnostem vycházejícím z nařízení pozitivně. Díky GDPR si uděláte pořádek v datech a můžete tak i zefektivnit současné postupy práce s nimi. V dnešní době jen málokterá firma řídí svá data na dobré úrovni a reaguje tak na digitalizaci. S GDPR lze tento fakt změnit.
Nezapomeňte, že nové nařízení se týká i dat, která se nacházejí mimo IT systémy (například excelové soubory na ploše vašich přístrojů). Pro splnění nařízení GDPR musí firmy přijmout vlastní vnitřní koncepce a udělat požadované procesní změny tak, aby dodržovaly zásady ochrany osobních údajů.
Prověřte, zda všechno funguje
Po zavedení nových procesů, které jsou v souladu s nařízením GDPR, prověřte, zda nový systém funguje, jak má. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Pokud dojde k porušení, je třeba vědět, kam a jak jej nahlásit. Vyzkoušejte si různé situace, ke kterým v budoucnosti může dojít. Nově především s právy, které GDPR ukládá občanům.
„Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. Pokud uzná za vhodné, může žádat u správce, aby došlo k vymazání veškerých jeho osobních údajů, a bude tedy tzv. „zapomenut“,” upřesnila Alice Kubíčková, ředitelka Komory právní odpovědnosti.
Proškolte svoje zaměstnance
Po zavedení systému správy osobních dat podle nařízení GDPR nezapomeňte na své interní i externí zaměstnance. Aby vše správně fungovalo, musí být proškoleni tak, aby data spravovali správně a předešlo se tak potenciálním sankcím. Není to pouze systém, ale i lidé, kteří jsou klíčovým faktorem, aby nově zavedené postupy ve firmě fungovaly.
„Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” dodala Kubíčková.
Mějte přehled o změnách
Ustanovením systému správy osobních dat práce nekončí. Naopak. „Nařízení GDPR zcela jednoznačné není. Jeho výklad se bude postupně dotvářet na základě rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více,” dodal Vavřínka.