VSTUPNÍ ANALÝZA PRO GDPR

ANEB NEZAČÍNEJTE S GDPR DOKUD SI NEUDĚLÁTE TUTO ZÁKLADNÍ ANALÝZU

PROČ JE DOBRÉ ZAČÍT S ANALÝZOU OSOBNÍCH ÚDAJŮ, KTERÉ ZPRACOVÁVÁTE PŘI VAŠEM PODNIKÁNÍ? 

Nejste-li vyloženě člověkem milujícím čísla, tabulky a grafy, nejspíš vás představa zpracování analýzy ještě předtím, než začnete s administrativou pro GDPR, úplně nenadchne. 

Dost často dostávám otázky typu: 

"A co vlastně pro mě, jako OSVČ/malou firmu to GDPR znamená?"

Pro většinu "běžných podnikatelů" bude v praxi GDPR spočívat v zásadě v následujících krocích:

  1. Zjištění, jaké osobní údaje zpracovávají, jak, proč (za jakým účelem) a jestli to je v takovém rozsahu opravdu nutné a hlavně zákonné
  2. Zpracování informace pro subjekty údajů (tj. fyzické osoby, o jejichž data jde - klienti, zaměstnanci, obchodní partneři) - v daném dokumentu popíšete, jaké jejich údaje zpracováváte, za jakým účelem, po jakou dobu, případné předávání údajů třetím osobám (třeba účetní) a poinformujete je o jejich právech. 
  3. Obstarání souhlasu subjektů údajů se zpracováním jejich osobních údajů pro konkrétní účely. Toto ovšem jen v případě, že nenajdete (zákonný) důvod, jak údaje zpracovávat i bez souhlasu.
  4. Zpracování záznamů o činnostech zpracování, což je v podstatě váš interní dokument, kde popíšete, jaké údaje a k jakým účelům zpracováváte. Uvedete lhůty, po kterou údaje budete zpracovávat (než je vymažete) a informaci o příjemcích údajů (typově třeba přepravce, účetní, orgány veřejné správy). A přidáte i údaje o přijatých opatřeních pro zajištění bezpečnosti údajů při zpracovávání (přístupová hesla, šifrování apod.). A samostatně nebo i v tomto dokumentu/dokumentech můžete mít i popsané praktické drobnosti typu - zaměstnanci byli poučeni, že hesla nemají uchovávat v souboru pojmenovaném "hesla". 
  5. Provádění průběžných kontrol, zda vše funguje jak má, nedochází k neoprávněnému zpracování nebo úniku údajů a případně podle toho upravovat opatření pro zajištění bezpečnosti.
  6. Proškolení zaměstnanců o tom, jak bezpečně osobní údaje zpracovávat. A nezapomeňte o školení udělat záznam, který zaměstnanci podepíší. ;)
  7. Uzavření písemných smluv se zpracovateli - tj. s osobami, které pro vás vykonávají činnosti, ke kterým nutně potřebují i údaje o subjektech údajů a vy jste tím, kdo jim údaje předá. Opět zde jako typický příklad zmíním účetní a smluvního přepravce. Patří sem ovšem i poskytovatel hostingu, mailingového sw apod. 

Usnadněte si zpracování dokumentace pro GDPR. Právě k tomu vám pomůže vstupní analýza.

Abych vám tento krok co nejvíce usnadnila, připravila jsem soubor v excelu, kde najdete:

  • vysvětlení základních pojmů v nejnutnějším rozsahu, ať se nevyděsíte hned v úvodu,
  • číselníky, které vám ušetří čas při vyplňování i při přemýšlení nad tím co a odkud vlastně sbíráte,
  • jednotlivé tabulky podle toho, jestli k vám přichází údaje elektronicky nebo v papírové formě a podle toho, zda jde o údaje klientů, budoucích klientů nebo zaměstnanců. 

 

Vyplněné tabulky pak jdou docela dobře překlopit do výše zmíněných záznamů o činnostech zpracování. A zásadně snižují riziko, že na nějaký podstatný údaj v tom množství zapomenete.

  • VSTUPNÍ ANALÝZA KE STAŽENÍ

    Dokument v excelu si stáhněte do počítače kliknutím na tlačítko vlevo a poté si vyplňte ty záložky, které se vašeho podnikání / činnosti týkají.

Pokud máte v současné době databázi kontaktů (klientů a zájemců o vaše produkty a služby), patrně vás zajímá vás, jestli od nich v souvislosti s GDPR musíte chtít nový souhlas se zpracováním anebo jestli musíte jejich údaje vymazat v případě, že souhlas nemáte a ani ho nezískáte.

Odpověď závisí na více faktorech a proto této problematice bude věnována samostatná stránka. A i pro tuto odpověď se vám bude hodit zpracovaná vstupní analýza. :)