GDPR checklist aneb co všechno je třeba pohlídat
28.06.2017
GDPR
GDPR checklist aneb co všechno je třeba pohlídat

​​GDPR (General Data Protection Regulation) je novodobý strašák všech společností, které zpracovávají osobní data – ať už svých zaměstnanců, nebo klientů. Ze všech stran slyší: „Musíte reorganizovat svou firmu“; „čeká vás revoluční transformace“; „hrozí vám astronomická pokuta“; „musíte zavést do firemních struktur novou pozici zvanou Data Protection Officer“; a hlavně: „včera bylo už pozdě.“

Ovšem co na to ti, kteří by se nastávající apokalypsy měli bát? Vlastně to moc neřeší. Nevědí. Čekají, až někdo dostane první pokutu. Nejradši by koupili kouzelnou krabičku, kterou jenom někam zapojí, a s GDPR se tak mávnutím kouzelného proutku vypořádají. A popravdě – není se co divit. Většina informací, kterých se jim dostává, jsou vlastně dost abstraktní, obecné a odtržené od každodenního dění ve firmě.

Co tedy GDPR prakticky znamená? Připravili jsme pro vás checklist, díky kterému byste si měli ujasnit, co vlastně GDPR v praxi představuje. Prostě takový manuál pro případ, že by se vás šéf náhodou zeptal: „Prosím tě, nevíš, co všechno kvůli tomu džídípíár musíme pohlídat?“

Níže tedy najdete sedm tematických oblastí, kterých se GDPR dotýká. V každé je potom uvedeno, co všechno by firma měla být schopna udělat, aby fungovala v souladu s nařízením GDPR.

1. Osobní údaje

  • vypracovat seznam zpracovávaných osobních údajů (např. jméno a příjmení, adresa, rodné číslo, číslo účtu…)
  • identifikovat, zda zpracováváme osobní údaje
    • kategorie zvláštní (vypovídající o národnostním, rasovém nebo etnickém původu; politických postojích; členství v odborových organizacích; náboženství a filozofickém přesvědčení; odsouzení za trestný čin; zdravotním stavu; sexuálním životě; genetický údaj a některé biometrické údaje)
    • dětí

2. Role firmy

  • identifikovat, zda jsme v roli
    • správce (určuje účel a způsob zpracování osobních údajů); správcem jste, pokud vy určujete ,jaká data pro jaký účel se budou pro potřeby vaší firmy zpracovávat, například – pro potřeby poskytnutí služby životní pojištění definujete nutnost získat od fyzické osoby jméno, kontaktní údaje, informace o zdravotním stavu, informace o sportovních aktivitách, atd.; takto získané osobní údaje můžete zpracovávat sami, nebo vám službu zpracování může poskytnout externí zpracovatel
    • zpracovatele (zpracovává osobní údaje jménem správce); zpracovatelem jste, například pokud poskytujete služby mzdové agendy pro jinou firmu, tj. zpracováváte osobní data zaměstnanců na základě pověření správce, tedy vykonáváte činnost přesně dle jeho příkazů
    • příjemce (přijímá osobní údaje od správce); příjemcem je například daňový úřad, kterému správce, nebo zpracovatel z pověření správce, poskytuje osobní údaje zaměstnanců

Pozn.: jako firma můžete mít více rolí, například být Správcem (zpracováváte osobní údaje vlastních zaměstnanců) a zároveň Zpracovatelem (např. poskytujete služby mzdové agendy, tedy zpracováváte osobní údaje zaměstnanců svých klientů)

3. Účely

  • vypracovat seznam účelů, pro která jsou osobní údaje sbírána (např. mzdová agenda, marketingové účely)
    • sepsat, jaké se pro daný účel sbírají osobní údaje (např. evidenční list zaměstnance – jméno, příjmení, adresa trvalého pobytu)
  • definovat, zda jsou osobní údaje zpracovávány na základě
    • souhlasu fyzické osoby
    • plnění smlouvy (např. spotřebitel si objedná zboží v on-line obchodě, prodávající musí pro účely doručení zpracovat jeho jméno, příjmení, adresu, případně jiný kontaktní údaj)
    • právní povinnosti (např. účetní záznamy o údajích potřebných pro účely důchodového pojištění)
    • oprávněného zájmu správce (např. předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely)

4. Zpracování osobních údajů

  • zjistit, kde všude se osobní údaje zpracovávají
    • fyzické dokumenty (vypracovat seznam dokumentů, např. pracovní smlouva, mzdový list…)
    • systémy (vypracovat seznam systémů, např. CRM, mzdový systém, Active Directory…)
  • kdo, která oddělení, s osobními údaji pracují a jaké účely zpracovávají (např. HR oddělení zpracovává osobní údaje za účelem zpracování evidenčních listů zaměstnanců)
  • jakým způsobem jsou osobní údaje
    • získávány (popsat proces získání osobních údajů, kde jsou získávány, jakým způsobem, např. osobní údaje pro evidenční list získává HR oddělení první den nástupu zaměstnance a to vyplněním evidenčního listu, tj. fyzického dokumentu)
    • aktualizovány (popsat proces aktualizace, na základě čeho jsou aktualizovány, kdo a kdy aktualizaci provádí, kde je zaznamenán výsledek aktualizace, např. aktualizace kontaktní adresy klienta probíhá na základě vstupní informace od klienta – webový formulář, adresu aktualizuje oddělení back-office ve lhůtě do 5 pracovních dní ode dne přijetí požadavku, výsledek je zaznamenám do interního systému XY)
    • likvidovány (popsat proces, viz výše, zároveň doplnit informaci,​kdy jsou likvidovány ve vazbě na jednotlivý účel, např. osobní údaje pro účely evidenčních listů likvidujeme po uplynutí 3 let ode dne ukončení pracovního poměru zaměstnance)
  • zjistit, zda využíváme osobní údaje pro profilování (např. analyzujeme či předpovídáme osobní preference, chování, ekonomickou situaci)

5. Poskytování osobních údajů třetím stranám

  • zjistit, kterým zemím jsou získané osobní údaje poskytovány
    • pouze v rámci EU
    • mimo EU
  • zjistit, kterým třetím stranám jsou získané osobní údaje poskytovány (např. firma, která nám zpracovává mzdovou agendu zaměstnanců, dceřiné společnosti)

6. Ochrana osobních údajů

  • jakým způsobem jsou osobní údaje chráněny
    • fyzické dokumenty (např. jsou uloženy v uzamčené skříni, ke které má přístup pouze vedoucí mzdové účtárny)
    • data v systémech (např. jsou na serveru, ke kterému má přístup pouze administrátor, jsou šifrována)

7. Práva fyzických osob / nové povinnosti

  • umíme na požádání zajistit přístup ke zpracovávaným osobním údajům (kdo, co, kde, jak dlouho a proč zpracovává)
  • umíme zajistit na požádání opravu osobních údajů
  • umíme zajistit vymazání osobních údajů
    • z důvodu, že již nejsou potřebné
    • na žádost fyzické osoby o odvolání souhlasu
  • umíme informovat zpracovatele, že mají zpracovávané osobní údaje vymazat
  • umíme omezit použití osobních údajů (fyzicky, v datech) (tj. že je v čase omezení nebudeme používat například pro nabídku služeb)
  • umíme na požádání zajistit přenos osobních údajů třetí straně
  • víme, jak postupovat v případě narušení bezpečnosti zpracovávaných osobních údajů (kdo, co, jak udělá, koho informuje a kdy)