Udělat konkrétní návod, jak postupovat pro vytvoření souladu s Obecným nařízením k ochraně osobních údajů (GDPR) je prakticky nemožné. Je nutné si uvědomit, že GDPR pojímá ochranu osobních údajů jako abstraktní oblast. Není tedy možné jej chápat z technického pohledu – musí se udělat: 1. , 2., …, 10. a je splněno. Proto nikde nenaleznete žádné konkrétní informace.
Je nutné chápat, že správce nebo zpracovatel osobních údajů nemá prokázat splnění požadavků GDPR, ale soulad s GDPR při ochraně osobních údajů, což je trochu něco jiného (GDPR je především o dokumentaci, jež stanovuje požadavky k dosažení souladu a potvrzuje jeho dosažení).
Také je nutné si uvědomit, že GDPR je zcela komplexní právní předpis, který je uplatnitelný na celém území Evropské unie pro všechny správce a zpracovatele osobních údajů bez ohledu na to, zda se jedná o jednu fyzickou osobu nebo o nadnárodní společnost. Proto nemůže být příliš konkrétní, spíše jen rámcové. Je postaveno, obdobně jako zajištění BOZP, na vyhodnocení konkrétních rizik a podmínek u správce osobních údajů. Od toho se odvíjí konkrétní podmínky pro zajištění ochrany osobních údajů.
Tolik ve stručnosti na úvod nutné teorie a nyní k přislíbenému postupu při vytváření souladu s GDPR. Pochopitelně záleží na velikosti firmy, složitosti jejího řízení atd., a proto i tento postup nemůže být zcela konkrétní. To si opravdu musí každý vytvořit sám.
Možný postup k vytvoření souladu ochrany osobních údajů s GDPR
Zcela na úvod je nutné si ujasnit základní pojmy. Především, co je osobní údaj, kdo je subjektem údajů, kdo je správcem osobních údajů a kdo jejich zpracovatel. Dále též, co je myšleno zpracováním těchto údajů. Teprve poté je možné přikročit k budování systému ochrany osobních údajů.
Systém ochrany osobních údajů v souladu s GDPR je možné vytvořit pomocí těchto kroků:
- Provést analýzu současného stavu. To znamená vyhodnotit jakým způsobem je v současné době zajištěna ochrana osobních údajů (především vyhodnocení systému a jeho funkčnosti).
- Provést analýzu kde a jakým způsobem ve firmě nebo společnosti dochází ke zpracování osobních údajů, včetně, zda jsou zpracovávány údaje spadající do zvláštní kategorie osobních údajů (dnes „citlivé údaje“).
- Provést analýzu k jakému účelu vyhledané osobní údaje se používají a které osoby se s nimi seznamují.
- Vyhodnostit, zda zjištěné osobní údaje jsou pro provozovanou činnost nutné. Pokud ne, zrušit je, jakož i jejich další získávání. U těch, které jsou potřebné, vyhodnotit oprávněnost zpracování (z jakého důvodu je možné je zpracovávat ve smyslu GDPR – splnění jedné ze stanovených podmínek – viz závorka v bodě 5. nebo udělení souhlasu subjektem údajů) a nutnost rozsahu osob, které se s nimi seznamují.
- U osobních údajů, které je možné zpracovávat pouze na základě souhlasu subjektu údajů, vyhodnotit, zda souhlas byl udělen, a pokud ano, zda odpovídá požadavkům, které vyplývají z GDPR (souhlas není nutné zajišťovat v případě, že zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro přijetí opatření před uzavřením smlouvy na žádost subjektu údajů, pro plnění právní povinnosti, ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, pro účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobncíh údajů, zejména dítěte).
- Vytvořit souhlasy pro zpracování osobních údajů, u kterých je to nutné a požádat o udělení souhlasů subjekty údajů.
- Vytvořit systém pro poskytování souhlasů, kde je to nutné, při přijímání nových osobních údajů.
- Vyhodnotit jaká při zpracování osobních údajů vznikají rizika.
- Stanovit podmínky ochrany osobních údajů [technické (způsob ukládání dokumentů, způsob zajištění elektronické dokumentace, šifrování, je-li to nutné, zajištění při předávání údajů třetím osobám atd.), organizační (jak dlouho se které údaje uchovávájí, možnost zapomenutí, zajištění při předávání údajů třetím osobám atd.), personální (kdo s kterými údaji smí pracovat, školení zaměstnanců, ustanovení pověřence, je-li to nutné atd.)].
- Vytvořit interní dokument, který stanoví pravidla systému zajištění ochrany osobních údajů ve vaší firmě, včetně poskytování informací subjektům údajů a kontrolní činnosti.
- Prověřit, zda nově vytvořeným systémem (interním předpisem) jsou naplněny požadavky všech zásad zpracování osobních údajů.
- Plnit požadavky stanovené si v interním dokumentu a vést dokumentaci prokazující soulad s GDPR.
Problém příliš obecných požadavků GDPR na zajištění ochrany osobních údajů by měly řešit kodexy chování vydané jednotlivými oborovými sdruženími (např. účetních).
2018-02-08