7 kroků, které vám zajistí soulad s GDPR (s videem uvnitř článku)

Je pravda, že text nařízení EU o ochraně osobních údajů nepatří mezi nejčtivější. O něco lépe jsou na tom texty pracovní skupiny s tajemným názvem WP29. K dnešnímu dni je jich na stránkách ÚOOÚ zveřejněno 12, pro fajnšmekry i v angličtině. Nutno dodat, že každý kousek čítá desítky stran, takže dohromady je to už slušný seriál.

GDPR v zásadě není zas tak složitá záležitost, jak se na první pohled zdá. Jen informací je všude tolik, že je dost těžké se zorientovat, vybrat to podstatné a pak postupně udělat ty kroky, které ve vašem konkrétním podnikání udělat potřebujete, pokud se chcete vyhnout problémům.

Jak se na GDPR připravíte?

1. Zjistěte, jaké údaje fyzických osob zpracováváte

Týká se opravdu „jen“ osobních údajů fyzických osob a je jedno, jestli jsou to zákazníci, zaměstnanci nebo obchodní partneři. Netýká se právnických osob. Takže pokud máte jako klienty i obchodní partnery jen právnické osoby (a nemáte ani zaměstnance), pak se vás GDPR netýká, ale budete spíš výjimkou.

Sepište si opravdu všechno. V článku Vstupní analýza pro GDPR najdete volně ke stažení připravené tabulky, ale vystačíte si i s obyčejným blokem. Údaj je cokoli, co může identifikovat konkrétní fyzickou osobu. Pozor! Může to být i třeba fotografie, kterou pořídíte z vlastního semináře.

2. Sepsáno?

Tak teď si ke každému údaji napište, jak ho dále zpracováváte a za jakým účelem. Uložíte do složky v pc? Předáte účetní? Využijete pro zasílání obchodních sdělení? Nebo jen pro doručení zboží zákazníkovi? Kdo všechno se v průběhu zpracování k těmto údajům dostane? Zaměstnanci? Externí spolupracovníci? Jak máte zabezpečeno, že se k údajům nedostane někdo jiný? Máte nastavená hesla, mříže na vstupních dveřích archivu, jiná opatření?

3. Na řadu přichází kategorizace

Údaje si rozčleňte na „běžné“ a „zvláštní kategorie“ (těm se dosud říkalo „citlivé“ a patří sem např. údaje o zdravotním stavu, takže terapeuti, konzultanti pozor!). Současně nastává vhodná chvíle si přiznat, jestli opravdu všechny údaje potřebujete zpracovávat. Pokud se bez některých obejdete a v podstatě je sbíráte jen proto, že to tak je běžné, zbavte se jich. A rovnou se zbavíte i povinností, i tak jich zbyde dost. Samozřejmě vás nenabádám k čistce v údajích, které musíte zpracovávat přímo podle některého zákona. Samostatně se ještě vrátím k otázce archivace, u některých účetních dokladů to může být záležitost spousty let.

4. Titul pro zpracování

Zásadní moment – titul pro zpracování. Ač by se mohlo zdát, že k většině zpracování potřebujete souhlas subjektu údajů, opak je pravdou. Souhlas je jen jedním z 6 titulů (více v přiložené prezentaci) a vlastně by měl být až tím titulem „posledním v řadě“. Takže zkoumejte, jestli nemůžete zpracovávat na základě některého z těch ostatních pěti. Zejména doporučuji vaší pozornosti titul – oprávněný zájem. Pod něj spadá i přímý marketing. Budu mu věnovat samostatný článek. Podle mého názoru je to zatím velmi podceňovaný moment a oproti tomu velmi přeceňovaná potřeba souhlasu subjektu.

5. Vaše povinnosti podle GDPR

Přichází moment pravdy. Zjistěte, jaké povinnosti se vás podle GDPR týkají. Zmíním 2 základní, které se dotknou opravdu absolutní většiny těch, co osobní údaje zpracovávají jinak než jen pro svoji osobní (soukromou) potřebu.

Vždy potřebujete mít k dispozici pro subjekty údajů informaci o zpracování osobních údajů.

Subjektům údajů musíte zajistit jejich práva (zejména právo na přístup k údajům, právo na výmaz údajů, aktualizaci údajů).

A vlastně třetí povinnost – být schopni prokázat soulad zpracování osobních údajů s GDPR. To půjde určitě lépe, pokud budete mít nachystanou dokumentaci, o které je celý další krok.

Zdaleka ne všech správců (což je každý, kdo osobní údaje zpracovává nikoli pro svoji soukromou potřebu) se týkají další povinnosti, jako je povinnost mít pověřence pro ochranu osobních údajů (totéž je zkratka DPO = Data Protection Officer) nebo vést záznamy o zpracování anebo posouzení vlivu na ochranu osobních údajů (DPIA = Data Protection Impact Assessment). Proto se jimi v tomto článku podrobněji nezabývám, bylo by to nad rámec prvotní představy.

6. Vytvořte dokumentaci

• Připravte si písemnou informaci pro subjekty údajů. Tam úplně lidsky, neformálně popíšete, jaké údaje subjektů zpracováváte, za jakým účelem, na základě jakého titulu (pokud na základě souhlasu, tak budete potřebovat sepsat i text souhlasu) po jakou dobu a jestli údaje dále někomu předáváte. Pokud máte víc účelů zpracování, je dobré to v textu oddělit. Pokud máte zaměstnance, tak budete mít zvlášť dokument pro klienty (pokud máte web, tak ho určitě nezapomeňte dát na web), zvlášť pro zaměstnance. V informaci napíšete i práva subjektu údajů (např. právo na přístup k údajům) a také kontaktní údaje, na které se subjekty mohou ohledně zpracování svých osobních údajů obracet.
• Vytvořte si interní dokument o ochraně osobních údajů. Je jedno, jestli ho nazvete směrnicí nebo úplně jinak. V dokumentu si popište tok osobních údajů. V tomto momentu se vám bude hodit, že jste si na začátku přesně popsali, odkud se k vám údaje dostávají a co se s nimi dále děje. Toto použijte ve vytvářeném dokumentu, nastavte odpovědnosti (pokud nejste jediným člověkem, který se k údajům dostane), popis zabezpečení, přidejte popis postupu při narušení ochrany osobních údajů.
• Smlouvy se zpracovateli – pokud údaje předáváte ke zpracování jiným osobám než svým zaměstnancům, je potřeba mít s nimi písemnou smlouvu (což nutně nemusí být tištěný dokument, elektronická forma je dostačující). Zpracovatelem je nejen externí účetní nebo přepravce, který doručí zboží vašim zákazníkům. Pokud využíváte nějaký automatický e-mailingový program, cloudová úložiště atd., tak i toto je zpracování a tady také hledejte správce.

V praxi se sami snadno můžete dostat do situace, kdy jste jak správce, tak i zpracovatel. Uvedu na příkladu účetní. Je správcem údajů, které jí poskytnou její zaměstnanci při uzavírání pracovní smlouvy. Je zpracovatelem, pokud jde o údaje, které jí její klienti poskytnou o svých klientech v předaných účetních dokladech (třeba faktury, které klient – provozovatel e-shopu vystaví svým zákazníkům).

7. Realizujte a kontrolujte

Veškerou dokumentaci již máte a v ní i popsáno, jak ideálně tok údajů probíhá a jak jsou údaje zabezpečeny. To samozřejmě předpokládá, že i realizujete popsaná opatření. Takže např. máte opravdu již databáze přístupné jen oprávněným osobám po zadání přístupového hesla, máte nainstalované mříže anebo citlivé dokumenty v trezoru. Opatření mohou být různá a v zásadě podle dostupných stanovisek kompetentních orgánů i přiměřená možnostem podnikatele. Zjednodušeně to znamená, že banka bude muset mít speciálně upravený software s investicí v řádech třeba statisíců Kč, zatímco drobný živnostník si „jen“ zahesluje počítač.

Nastavte si pravidla pro průběžnou kontrolu toho, jestli vše funguje jak má a jak jste popsali v dokumentaci v kroku 6.

VZORY I TEXTY NA MÍRU

Možná už čekáte, že vám budu nabízet zpracované vzorové texty. 🙂 U GDPR to není až tak jednoduché jako u vzorových obchodních podmínek. Málokdy se totiž najdou dva podnikatelé, kteří budou zpracovávat úplně stejné kategorie údajů úplně stejným způsobem a ke stejným účelům a ještě mít stejné zabezpečovací mechanismy.

Lepší je tedy individuální přístup a ten vám mohu zajistit. Pro cenovou představu klikněte sem >> Pokud se v nabídce nenajdete nebo budete mít další otázky, stačí, když se mi ozvete na ak@bakesova.cz anebo telefon 603 246 903 a domluvíme se na spolupráci k oboustranné spokojenosti.

Pro maximální podporu jsem na webu vytvořila samostatnou sekci pro GDPR. Z rozcestníku se dostanete jak na články, tak videa, která budu postupně přidávat, tak si budete moct koupit i připravené vzory, které jsem se nakonec na četné žádosti rozhodla vytvořit.

Vzory budou postupně dostupné i v právním e-shopu v následujících dnech. Členové MOJE S.R.O. budou mít vzory zdarma jako bonus v rámci členské sekce, stejně jako mají zdarma k dispozici vzory obchodních podmínek. Pokud S.R.O. máte anebo o něm uvažujete, tak doporučuji rovnou pořídit členskou sekci, kde máte vše pohromadě. Už jen na hodnotě bonusů se vám vstupní investice vrátí.

7 kroků formou videa

Pokud raději informace posloucháte, než čtete, popsala jsem 7 kroků i ve videu. Zčásti se obsah překrývá s článkem, ale jde o kousíček víc do hloubky. Video bylo zveřejněné na FB stránce Právní svačinky, níže najdete odkaz. Obsah videa v textové podobě je ke stažení hned v dalším odkazu.

GDPR v 7 krocích videoprezentace – video zveřejněné na FB

Jak se připravit na GDPR  – prezentace v PowerPointu ke stažení