PLÁNOVÁNÍ PROJEKTU

Předpokladem úspěšné implementace GDPR do firemní praxe je sestavení kompetentního týmu vybaveného odpovídající pravomocí, podpora vedení a spolupráce kolegů. Především oni budou zdrojem cenných informací. Asi nemusím připomínat, že realizace projektu bude něco stát, že by měl mít svoje SMART cíle a harmonogram.

Vaším cílem by mohlo být:

• provedení analýzy současného stavu zpracování osobních údajů
• posouzení stavu IT infrastruktury
• návrh vhodných kroků k implementaci GDPR
• úprava stávajících smluv
• úprava nebo zpracování metodiky pro nakládání s osobními údaji
• úprava, popřípadě zpracování procesů či postupů zpracování osobních údajů

Užitečným nástrojem řízení projektu je Ganttův diagram.

ANALÝZA SOUČASNÉHO STAVU
Na cestě k úspěšnému zvládnutí GDPR je naprosto klíčová analýza současného stavu, a proto jí budeme věnovat celou následující část.

KONZULTACE VÝSLEDKŮ S EXPERTEM
GDPR říká některé věci poměrně obecně a je potřeba mít dostatečné odborné znalosti ke správnému výkladu a zhodnocení vaší konkrétní situace. Výsledky analýzy proto doporučuji konzultovat s odborníkem na GDPR, který vám navrhne potřebná opatření odpovídající specifickým podmínkám vaší organizace.

PŘÍPRAVA A SCHVÁLENÍ AKČNÍHO PLÁNU
Akční plán by se měl například týkat:

• určení, zda potřebujete pověřence pro ochranu osobních údajů
• vnitřní směrnice a organizačního uspořádání
• fungování IT systémů
• zabezpečení dat
• školení zaměstnanců
• úpravy smluv se zaměstnanci a dodavateli
• likvidace nevyhovujících médií s daty nebo vymazání dat, se kterými se nepracuje
• dokumentace k záznamům o činnostech zpracování
• řešení bezpečnostních incidentů

REALIZACE PŘIJATÝCH OPATŘENÍ
Předpokladem úspěšného dosažení souladu s GDPR je nastavení pravidel ochrany osobních údajů (přijetí nových opatření) a jejich aktualizace v případě potřeby. Při zavádění přijatých opatření počítejte s odporem kolegů vůči změnám.

Odpor nemusí být vždy viditelný, řada lidí svůj odpor skrývá. Proto proškolte jednotlivé zaměstnance, seznamte je s problematikou GDPR, a především jim pečlivě vysvětlete důvody změny. Toto v žádném případě nesmíte podcenit.

MONITORING FUNGOVÁNÍ CHODU SPOLEČNOSTI DLE NOVÝCH PRAVIDEL
Každá firma stojí a padá na schopnostech a loajalitě svých zaměstnanců, proto velké riziko představuje lidský faktor. K eliminaci tohoto rizika poslouží nejenom pravidelné vzdělávání, ale především monitoring fungování a dodržování nových pravidel.

Cestu za dodržováním Obecného nařízení o ochraně osobních údajů nelze začít jinak než zhodnocením vaší konkrétní situace – poznání vašeho současného stavu. K tomu vám poslouží analýza, kterou si můžete udělat sami.

Analýza musí mapovat zacházení s osobními údaji v celé firmě. Většina firem pracuje zpravidla s osobními daty dodavatelů či potencionálních dodavatelů, obchodních partnerů či potencionálních obchodních partnerů, zákazníků či potencionálních zákazníků, a v neposlední řadě zaměstnanců.

GDPR SE TÝKÁ RŮZNÝCH OBLASTÍ, A TO:

• interních dokumentů a procesů, které se týkají správy dat
• procesních rolí – konkrétních osob pracujících s daty a jejich odpovědností
• firemní kultury – přístup firmy k otázce ochrany osobních údajů
• lidí – dovedností lidí při správě dat
• zajištění bezpečnosti zpracování osobních údajů
• IT infastruktury

Analýza by měla odhalit nedostatky ve zpracování osobních údajů a problémy s bezpečností dat. Z toho by měla vyplynout opatření, která je nutné zavést, aby byly splněny požadavky GDPR.

POLOŽTE SI NAPŘÍKLAD TYTO OTÁZKY:

• Jaký druh osobních údajů zpracováváme? (jméno, příjmení, telefon, e-mail, datum narození, věk, pohlaví, …)
• Odkud osobní údaje bereme?
• Kdo s nimi pracuje? (zaměstnanci firmy, externí dodavatelé, …)
• Kdo k nim má přístup? (zaměstnanci firmy, externí dodavatelé, …)
• Kde jsou uloženy? (ERP, SRM, CRM, eAukční software, jiná elektronická či papírová evidence, …)
• Jsou údaje uloženy jen na jednom místě nebo jsou ukládány duplicitně?
• Pokud jsou uloženy duplicitně, jsou jejich údaje shodné?
• Kdo je správcem údajů?
• Na základě kterého právního titulu se osobní údaje zpracovávají? (souhlas, plnění smlouvy, zákonné povinnosti, navázaní obchodních vztahů, …)
• K jakému účelu / proč jsou data zpracovávána? (oslovení potencionálních dodavatelů, marketing, mzdová nebo personální agenda, …)
• Po jakou dobu jsou data zpracovávána? (po dobu trvání smlouvy nebo projektu a poté budou smazána, …)
• Neschraňujeme některá data zbytečně?
• Kde a jak se osobní údaje archivují? (firemní archiv, externí úložiště, cloudové služby, …)
• Jak je zajištěna bezpečnost osobních údajů a minimalizován jejich únik? (jak fyzických dokumentů, tak elektronických dat)
• Máme popsány procesy zpracování dat?
• Kontrolujeme jejich dodržování?
• Komu a jakou formou data předáváme?
• Kdo je zpracovává?
• Pracují zpracovatelé našich dat v souladu s GDPR?

Jak jsou ošetřeny smluvní vztahy s externími dodavateli a zaměstnanci s ohledem na GDPR? Jak jsem se už zmiňoval, analýza musí mapovat zacházení s osobními údaji v celé firmě, a (nejen proto) do takového interního auditu musí být zapojeno vedení firmy, které celou akci musí vrcholově zastřešovat.

HARMONOGRAM ČINNOSTÍ MŮŽE MÍT NÁSLEDUJÍCÍ PODOBU:

• proškolení odpovědných osob v problematice GDPR
• úvodní porada – představení problematiky GDPR širšímu okruhu zainteresovaných osob
• jmenování týmu „GDPR“ – zástupci všech oddělení, kteří zpracovávají osobní údaje
• audit jednotlivých oddělení – fyzické přezkoumání a zhodnocení aktuálního stavu pomocí výše uvedených otázek
• zpracování zjištěných informací
• vypracování závěrečné zprávy s upozorněním na zjištěné nedostatky, rizika a s návrhem konkrétních opatření

Mějte na paměti, že GDPR ukládá správcům celou řadu povinností. V případných sporech leží důkazní povinnost na jejich straně.

Při přípravě na nové nařízení o ochraně osobních údajů jsem strávil mnoho času.

Abych vám usnadnil orientaci v této problematice, shrnul jsem své poznatky v tomto pojednání.

Poskytuji ho pouze pro informační účely a nelze ho považovat za zdroj právního poradenství.

Použití informací z jeho obsahu, případné úspěchy či neúspěchy z toho plynoucí jsou pouze ve vašich rukách. Autor za ně nenese žádnou zodpovědnost. Obsažené informace jsou pouze doporučením a vyjádřením mého názoru k příslušné problematice či popisem mých osobních zkušeností.

© 2018 Jaroslav Cirkovský

• https://www.gdpr.cz
• https://www.uoou.cz/
• https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744
• https://www.microsoft.com/cs-cz/rethink-IT-security/GDPR
• http://www.bulletin-advokacie.cz/seznamte-se-s-gdpr-aneb-jak-na-nova-pravidla-ochrany-osobnich-udaju
• http://www.bulletin-advokacie.cz/gdpr-v-otazkach-a-odpovedich?browser=mobi
• https://www.komora.cz/prirucka-k-gdpr/
• http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_cs.htm
• http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016L0680&from=EN
• http://www.privacy-regulation.eu/cs/
• https://braveshow.tv/
• https://www.smartemailing.cz/gdpr/
• https://spmo.cz/wp-content/uploads/2017/07/Implementace-GDPR-e-kniha.pdf
• http://gdpr.spir.cz/NARIZENI_EU_2016-679.html
• https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/
• https://gdprspecialist.com/analyza-zpracovani-osobnich-udaju/
• http://gdprspecialist.com/
• http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=en