GDPR check-list: 4 oblasti, které musíte ohlídat

Jste GDPR ready? Měli byste být. Práva a povinnosti plynoucí z Obecného nařízení o ochraně osobních údajů (GDPR) se totiž dotýkají celosvětově všech subjektů, které zpracovávají osobní údaje občanů EU. Nařízení ovlivňuje společnosti v tom, jak mohou data využít, uchovávat i zabezpečit. Věděli jste například, že k úřadům zabývajícím se ochranou osobních údajů doputuje měsíčně zhruba 90 000 stížností? Za porušení GDPR přitom hrozí pokuta ve výši až 20 milionů eur. Projděte si náš GDPR check-list a získejte jistotu, že Vaší firmě žádné stížnosti ani pokuty nehrozí.

1.Transparentnost

Společnosti, které mají více než 250 zaměstnanců, musí vést podrobný záznam o činnostech zpracování osobních údajů a na požádání ho předložit regulačním úřadům.

Neznalost zákona neomlouvá, pokud si nejste jistí, objednejte si informační audit. Prozkoumá aktuální situaci ve Vaší firmě, vyhodnotí pochybení a doporučí, co dál.

Až už Vaše organizace čítá 250 nebo méně zaměstnanců, nebude na škodu, pokud si vytvoříte jasný přehled o:

• typu dat, která zpracováváte,
• účelu zpracování,
• přístupu k datům,
• způsobu zabezpečení,
• délce uchování dat.

Zpracování údajů je dle nařízení GDPR zákonné jen v případě, že k němu máte právní odůvodnění. V praxi to znamená, že musíte splnit nejméně jednu z podmínek stanovenou článkem 6. Přesvědčte se také o tom, že ve svých zásadách ochrany osobních údajů jasně uvádíte informace o zpracování údajů.

2. Bezpečnost

Bezpečnost se dotýká jak samotného šifrování dat, která zpracováváte, tak i organizačních opatření, jejichž dodržováním přispějí k ochraně údajů všichni zaměstnanci Vaší organizace. Pro tyto účely je nutné zpracovat zásady interního zabezpečení a pravidelně zvyšovat povědomí pracovníků o ochraně dat.

Při zpracování údajů musíte klást důraz na dodržování zásad plynoucích z článků 5. Nařízení omezuje také množství údajů, které můžete shromažďovat, a jasně definuje způsob, jakým data mažete.

Není od věci připravit se na vše. Tedy i na porušení zabezpečení osobních údajů. Dle nařízení máte povinnost nahlásit tuto skutečnost úřadu na ochranu osobních údajů, a to nejpozději do 72 hodin.

3. Odpovědnost

Vaše společnost musí jasně specifikovat, kdo nese odpovědnost za zajištění souladu s GDPR. Tato osoba poté realizuje a hodnotí zásady ochrany údajů.

„Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.“ [uoou.cz]

Tato zásada platí i v případě, kdy s údaji, které ve firmě evidujete, nakládá třetí strana. V takovém případě s ní musíte uzavřít smlouvu o zpracování dat. V té jsou podrobně specifikována práva a povinnosti každé ze smluvních stran.

Aby těch povinností nebylo málo, Obecné nařízení o ochraně osobních údajů vymezuje povinnost stanovit pověřence pro ochranu osobních údajů. Tím může být zaměstnanec, ale bez problémů můžete tuto činnost outsourcovat.

Tip: V samostatném článku si můžete přečíst, za co všechno pověřenec pro ochranu osobních údajů odpovídá a kdy je společnost povinna ho mít.  

4.Soukromí

Pamatujte, že každý člověk, z jehož citlivými údaji nakládáte, má právo vědět:

• jaké údaje o jeho osobě evidujete,
• jakým způsobem s nimi nakládáte,
• jak dlouho je budete uchovávat.

Tip: Vždy, než někomu citlivé údaje poskytnete, ověřte si, že jednáte s oprávněnou osobu a vyžádejte si například doklad totožnosti. V opačném případě byste se dopustili přestupku.

Nezapomeňte dát svým zákazníkům možnost, aktualizovat osobní údaje. Díky tomu budete svou databázi udržovat aktuální. Zároveň byste jim neměli odpírat právo požádat vás o smazání veškerých osobních údajů, které o nich evidujete.

Pokud splňujete všechny výše zmíněné body, můžete si oddechnout. Riziko pokuty jste totiž snížili na minimum. Pokud chcete mít 100% jistotu, že jste GDPR ready, obraťte se na odborníky. V Algotechu pro Vás obstaráme audit, předáme naše znalosti a zařídíme vše až po implementaci GDPR.