Pokud nevíte, co je GDPR a jestli se vás to týká, podívejte se prosím nejdříve zde.
Přestože neexistuje žádný jednotný postup pro pro zavedení požadavků GDPR do praxe, uvádíme několik bodů, kterým by každá firma měla v souvislosti s naplněním nařízení GDPR věnovat pozornost. Není to v žádném případě úplný a stoprocentní výčet potřebných opatření. Pokud máte pochybnosti, poraďte se v konkrétních bodech raději s právníky, kteří se specializují na GDPR.
Všechny kroky provedené níže si sepište a vytvořte si svou „GDPR složku“. V ní budete mít záznamy o všech provedených opatřeních pro případnou kontrolu. Kontrolním orgánem v ČR je Úřad pro ochranu osobních údajů.
Sepište seznam všech míst, kde v rámci firmy dochází k uchovávání osobních údajů (počítače, notebooky, servery, chytré telefony, šanony, skříně, …).
Pokud ne, zaveďte vhodná opatření, např. instalace antivirů a pravidelné zálohování na externí disky nebo na vzdálené úložiště.
Analyzujte všechna místa, kde by osobní data mohla nejpravděpodobněji uniknout. Udělejte si seznam s vyhodnocením pravděpodobnosti úniku dat v daném místě (vysoké, střední, nízké).
Například: Máte dostatečně silná hesla pro přihlašování k počítačům? Ukládáte hesla bezpečným způsobem (např. pomocí bezpečných aplikací na správu hesel)? Jsou písemné osobní údaje bezpečně uschovány v uzamykatelné skříni nebo v trezoru? Pokud máte vlastní servery, jsou umístěny v uzamčené místnosti s kontrolovaným přístupem? Likvidujete nosiče osobních dat (disky, média, listiny) takovým způsobem, aby nemohlo dojít k obnovení a úniku dat? Pokud ne, zaveďte vhodná opatření.
EU nařízení GDPR ukládá každému správci dat povinnost nahlásit únik nebo ohrožení zabezpečení osobních údajů příslušnému kontrolnímu orgánu ÚOOÚ nejpozději do 72 hodin od okamžiku zjištění incidentu.
Sepište, kdo ve firmě má přístup k jakým osobním údajům (elektronickým i listinným). Ověřte, zda je přístup osoby k daným údajům nezbytný. Pokud ne, zajistěte přístup pouze pro oprávněné osoby. Pokud ano, poučte osobu o zásadách nakládání s osobními údaji.
Předáváte osobní data např. účetní firmě, přepravní službě, provozovateli online služeb, webhostingové firmě, cloudové službě atd.? Pokud ano, EU nařízení GDPR vám ukládá povinnost uzavřít se všemi subjekty zpracovatelskou smlouvu.
Pokud ne, doplňte na web text Zásad zpracování osobních údajů. Vzor najdete např. zde. Ověřte, že zásady skutečně odpovídají vaší situaci.
Rozesíláte například newslettery? Pokud ano, ujistěte se, že máte ke každému adresátovi zajištěn dobrovolný prokazatelný souhlas se zasíláním newsletterů. Ujistěte se také, že každý newsletter v sobě obsahuje odkaz pro odhlášení z odběru newsletterů a že odhlášení proběhne okamžitě a má trvalý účinek (např. tohoto adresáta již nebude možné následně vložit omylem do databáze).
Umíte ve firmě zajistit výmaz osobních údajů v případě, že již nejsou potřebné nebo na základě odvolání souhlasu osoby, pokud není k uchování dat zákonný důvod? (Např. v případě objednávky máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu.) Umíte osobní údaje smazat ve všech elektronických i listinných formách včetně záloh? Umíte zajistit úpravu osobních údajů? Pokud ne, proveďte potřebná opatření.
Osobní údaje, k jejichž uchovávání nemáte zákonný důvod nebo ověřitelný souhlas osoby vymažte nejpozději k datu účinnosti nařízení GDPR, tedy k 25.5.2018.
Výše uvedené body nejsou samozřejmě úplným shrnutím problematiky GDPR. Jen samotný text nařízení má 99 článků a 173 bodů odůvodnění. Odpovědi na uvedené body by vám ale měly pomoci se zorientovat, jestli ve firmě splňujete EU nařízení GDPR a naznačit možné kroky ke zvýšení zabezpečení osobních údajů na úroveň požadovanou GDPR.