General Data Protection Regulation. O nařízení Evropské unie ohledně správy osobních dat, jejímž cílem je hájit digitální práva občanů, už jste patrně slyšeli. Pokud se vás novinky týkají, ale nezačali jste ještě řešit dopad nového nařízení na správu dat ve vaší organizaci, přečtěte si několik praktických rad, jak se na změny připravit.

Získejte dostatek informací 

První věcí, kterou by se měl každý, kdo má správu osobních dat na starosti, zabývat, je získat dostatek informací. Jedná se komplexní změnu pravidel, proto je potřeba pečlivě prostudovat, jak postupovat dále. Pokud si nejste dostatečně jisti, co přesně pro vaši organizaci nové nařízení znamená, nechejte si poradit od odborníka. Sankce při porušení nařízení jsou vysoké, pro mnohé až likvidační. Lepší je proto této situaci předejít a informovat se ohledně GDPR u právních kanceláří, které se tématem zabývají.

Zmapujte současný systém sběru dat a zpracovávání osobních údajů

Dalším důležitým krokem je zjistit, jak funguje současný systém zpracování osobních dat a provést jejich analýzu. To potvrzuje také Martina Höferová, ředitelka pro oblast produktů První klubové pojišťovny. „Naše společnost vznikala v době, kdy sice ještě neexistovala evropská směrnice GDPR, ale i tak již byla v českém právním řádu stanovena vysoká ochrana osobních údajů a nakládání s nimi. Ale i v naší společnosti samozřejmě probíhá mapování způsobů zpracování osobních údajů a navazující postupná implementace zjištěných odchylek od nového evropského nařízení.”

Neměli byste zapomenout na žádnou z oblastí vašeho byznysu, ve kterých se pracuje s osobními údaji. Zapojte do procesu analýzy všechna oddělení bez rozdílu a analyzujte využívání dat vždy shora dolů.

Zřiďte důležité orgány správy vašich dat

Podle nařízení GDPR musí mít větší firmy, organizace nad 250 zaměstnanců, pověřence pro ochranu osobních údajů (DPO). „Pověřenec pro ochranu osobních údajů je osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů,” přiblížil činnost DPO David Vavřínka, advokát LP Legal. 

Pokud vaše organizace nemá povinnost DPO mít, přesto pověřte určitou osobu či oddělení v rámci organizace, která bude mít nová nařízení ohledně správy osobních údajů na starosti.

Vytvořte nové procesy správy dat 

Přistupte k povinnostem, která z nařízení vyplývají, pozitivně. Díky GDPR si uděláte pořádek v datech a můžete tak i zefektivnit současné postupy práce s nimi. V dnešní době jen málokterá organizace řídí svá data na dobré úrovni a reaguje tak na digitalizaci. S GDPR se to může změnit.

Nezapomeňte, že nové nařízení se týká i dat, která se nacházejí mimo IT systémy (například excelové soubory na ploše vašich přístrojů). Pro splnění nařízení GDPR musí organizace přijmout vlastní vnitřní koncepce a provést požadované procesní změny tak, aby byly v souladu se zásadami ochrany osobních údajů.

Prověřte, zda všechno funguje

Po zavedení nových procesů, které jsou v souladu s nařízením GDPR, prověřte, zda nový systém funguje, jak má. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Pokud dojde k porušení, je třeba vědět, kam a jak jej nahlásit. Vyzkoušejte si různé situace, ke kterým v budoucnosti může dojít. Nově především s právy, která GDPR ukládá občanům.

„Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. Pokud uzná za vhodné, může žádat u správce, aby došlo k vymazání veškerých jeho osobních údajů, a bude tedy tzv. „zapomenut“,” upřesnila Alice Kubíčková, ředitelka Komory právní odpovědnosti.

Proškolte svoje zaměstnance 

Po zavedení systému správy osobních dat podle nařízení GDPR nezapomeňte na své interní i externí zaměstnance. Aby vše správně fungovalo, musí být proškoleni tak, aby data spravovali správně a předešlo se tak potenciálním sankcím. Není to pouze systém, ale i lidé, kteří jsou klíčovým faktorem, aby nově zavedené postupy v organizaci fungovaly.

„Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” dodala Kubíčková.

Udržujte si přehled o změnách

Ustanovením systému správy osobních dat vaše práce nekončí. Naopak. „Nařízení GDPR zcela jednoznačné není. Jeho výklad se bude postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více.” dodal Vavřínka.

Lucie_menší.png

Autor článku

Lucie Schovancová

konzultant

Lucie vystudovala mediální studia a žurnalistiku, v současnosti pracuje jako konzultant v Public Relations. Zaměřuje se na pojišťovnictví, IT technologie v oblasti cloudových řešení, bezpečnosti dat a vůbec digitalizace firemních procesů. 

Zůstaňte v obraze

Držte krok se Světem neziskovek, ať vás nepředběhne. To nejzajímavější vám ve správnou chvíli pošleme e-mailem:

Partneři Světa neziskovek

Ani Svět neziskovek se neobejde bez cookies - abyste si tenhle web opravdu vychutnali.
A o ochraně dat chci zjistit víc.