Menu

Instantní GDPR řešení neexistuje. 5 otázek, díky nimž pochopíte proč

Kdejaký poník se dnes vydává za bájného jednorožce, který vás vysvobodí ze spárů GDPR. Stačí prý jediné: Uvěřit.

Kolega mi nedávno vyprávěl historku, která je jako z říše pohádek a dobře ilustruje aktuální situaci kolem GDPR:

Bylo nebylo. Na jednom setkání pro podnikatele potkal spolumajitele IT firmy, který se holedbal tím, že jejich společnost vyvíjí komplexní GDPR řešení správy firemních procesů. Z jeho řečí však pochopil, že dotyčný ani netuší, co je podstatou GDPR. Tedy že nejde o šifrování dat v databázi, ale o celkový přístup k ochraně osobních údajů napříč organizací. Jejich zázračné „řešení“ nemělo ve skutečnosti s GDPR vůbec nic společného. Jen claim – nálepku, která údajně dobře prodává.

Historka bohužel není smyšlená ani přehnaná. Ve své každodenní praxi se běžně setkávám s tím, že za „univerzální GDPR řešení“ je vydáván typizovaný produkt, což samo o sobě vylučuje širokou možnost jeho uplatnění. Ať už jde o jednorázové školení, audit podle šablony, nebo balíčkový software, podstatné je, že GDPR znamená pro každou firmu či instituci něco jiného.

Otázky, které si ke GDPR musíte položit

Abych vám to dokázala, připravila jsem pět otázek, díky nimž si tuto skutečnost plně uvědomíte. Pochopíte, proč musí být skutečné GDPR řešení pro vaši organizaci jedinečné a že žádná rychlá záplata, natož pak jednorožec ze země zázraků, vás nespasí.

Je celkem jedno, jestli jste úřad, e-shop, účetní firma, škola, nemocnice, hotel, aerolinka, ministerstvo, personální agentura, správce IT na volné noze, kosmetička nebo banka. Otázky jsou vždy stejné, ale odpovědi na ně budou diametrálně odlišné.

Dokážete-li na položené otázky najít uspokojivou odpověď již nyní, je možné, že příprava na GDPR pro vás bude mnohem jednodušší a levnější, než se vám snaží namluvit dodavatelé předražených řešení coby akrobaté v GDPR cirkusu, který právě přijíždí.

1. PROČ se zabývat GDPR?

GDPR je evropský předpis, který zavádí nová pravidla, jejichž porušením se vaše organizace vystavuje vysoké pokutě, ztrátě dobrého jména a důvěry. Už jen toto jsou argumenty, proč se GDPR vážně zabývat.

Dalším důvodem je samotná odpověď na to, za jakým účelem osobní údaje sbíráte a zpracováváte a z jakého právního titulu toto realizujete. Je to na základě smlouvy s vaším zákazníkem? Zpracováváte osobní údaje na základě zákona či z důvodu oprávněných zájmů? Nebo jste v situaci, kdy si musíte vždy vyžádat souhlas každé osoby se zpracováním osobních údajů, protože se nemůžete opřít o žádný právní důvod?

Odpovědět byste si měli také na to, jak a z jakých zdrojů jste k osobním údajům přišli, jak dlouho a kde je zpracováváte nebo s kým je sdílíte.

2. CO zpracováváte a ukládáte?

Najít odpovědi na otázky co, resp. jaké údaje ve svých systémech a úložištích zpracováváte, kdo k nim má přístup a s kým je sdílíte, pro vás může být tvrdým oříškem. Pokud o těchto aktivitách nemáte přehled, dostanete se téměř jistě do konfliktu s pravidly GDPR. Zvlášť když nakládáte s citlivými informacemi, jako jsou například osobní údaje dětí nebo údaje nasbírané na základě profilování či monitorování osob.

Hlavní problém tkví v tom, že většina organizací (každá z různých důvodů) sbírá a kumuluje obrovské množství dat zpravidla pro případ, že se mohou někdy hodit. Výhodou je, když víte, kde tato data máte uložena (například v různých tabulkách, v systémech nebo v databázích připravených speciálně pro tento účel).

Bohužel, realita je většinou jiná. V praxi se setkáváme s tzv. nestrukturovanými databázemi či na první pohled neodhalitelnými zdroji, o kterých nemáme ani ponětí, že existují. Takovým zdrojem je například e-mail, tištěné dokumenty nebo různé tabulky ukládané na místech, kde byste je vůbec nehledali.

GDPR přitom zavádí povinnost vést záznamy o zpracování osobních údajů. Proto pro vás bude bezpodmínečně nutné identifikovat zdroje a úložiště těchto údajů, abyste takový záznam mohli věrohodně vést.

V případě osobních údajů zvláštní kategorie budete muset zavést přísnější bezpečnostní pravidla a opatření, která zabrání úniku těchto citlivých údajů, což samozřejmě vyžaduje vaši plnou kontrolu nad těmito údaji.

3. JAK osobní data zpracováváte?

V souvislosti s GDPR compliance neboli souladem si nutně musíte položit otázku, jak osobní data zpracováváte. Na základě jakého právního titulu?

Nařízení GDPR je založeno na několika principech. Jedním z nich je zákonnost zpracování osobních údajů. V praxi jde o to, že můžete zpracovávat osobní údaje pouze na základě jasně definovaného účelu, jenž je podepřen jedním z šesti právních titulů, které GDPR v článku 6 uvádí, a to na základě:

  • zákonného titulu,
  • oprávněného zájmu správce,
  • plnění smlouvy,
  • veřejného zájmu,
  • životně důležitého zájmu osob,
  • souhlasu.

Odpověď na otázku „jak“ by měla být pravidelně revidována. V případě, že pominul některý z výše zmíněných zákonných důvodů, je vždy nutné odpovědi přehodnotit. Je zřejmé, že nejde o jednorázovou aktivitu, ale tato činnost vyžaduje kontinuální sledování a mapování toku dat ve vašich organizacích.

Dalším aspektem je vaše připravenost na uplatnění práv osob, jejichž osobní údaje shromažďujete a zpracováváte. GDPR totiž tato práva výrazným způsobem posiluje. Jste vy a vaše informační systémy připraveni na vynucení práva osob na přístup, opravu, výmaz a přenositelnost jejich osobních údajů? Nebo na možnost vznesení námitky proti určitému zpracování, a tím pádem i na vyloučení nebo omezení některých údajů?

V případě přenosu dat mimo evropský prostor nebo jejich sdílení s třetími osobami si musíte také odpovědět na otázku, „jak“ zajistíte bezpečnost takto sdílených dat.

V neposlední řadě GDPR zavádí pro společnosti celý soubor povinností. Už víte, „jak“ se s nimi poperete? Budete mít nastaven proces hlášení bezpečnostních incidentů, kdy během 72 hodin musíte příslušnému dozorovému úřadu za jistých podmínek nahlásit takovou událost? Jak se vypořádáte s povinností mít ve své organizaci osobu zodpovědnou za ochranu dat, tzv. pověřence neboli DPO? A to není zdaleka celý výčet všech povinností, které se vás budou už zanedlouho ptát, „jak“ jste na jejich plnění připraveni. A vy byste měli být schopni odpovědět.

4. KDE údaje ukládáte?

Nejde jen o to, kde osobní údaje shromažďujete, ale především kde je ukládáte, dále zpracováváte a s kým je sdílíte. Pro řadu organizací bude velkou výzvou zajištění technického zabezpečení úložišť a dalších míst, kde osobní údaje ukládají.

Nezapomeňte ani na papírová úložiště, protože také těch se GDPR dotýká.

V momentě, kdy do těchto zdrojů dat budou mít přístup i jiné subjekty v roli zpracovatelů nebo subzpracovatelů, musíte s nimi nastavit taková pravidla a smluvní ujednání, z nichž je zřejmé, kdo bude odpovědný za případný únik nebo jakékoliv jiné narušení ochrany.

Sdílená odpovědnost za zpracování dat pro vás bude kvůli možným pokutám velmi důležitým opatřením. Pokud ke zpracování bude docházet mimo EU, musíte respektovat pravidla pro přenos dat do zahraničí.

5. KDY a jak dlouho?

Po celou dobu životního cyklu zpracovávaných osobních údajů si musíte nepřetržitě pokládat otázku „kdy a jak dlouho“. Jedním z principů, které GDPR prosazuje, je totiž přesnost a aktuálnost zpracovávaných osobních údajů. Proto je potřebné, abyste v průběhu celého procesu dbali na to, že zpracováváte jen ty údaje, které jsou nezbytně nutné k danému účelu a hlavně, že jsou aktuální.

Tento proces vás bude nutit k tomu, že nepotřebná data musíte vymazat, pokud jsou zpracovávána například na základě souhlasu osoby, která svůj souhlas odvolala. Nezapomeňte, že tato data musí být vymazána ve všech úložištích včetně těch záložních.

Ve svých interních směrnicích musíte stanovit dobu, po kterou s osobními údaji disponujete, a tu si umět náležitě obhájit. Rozhodně nebude stačit prohlášení, že zpracováváte údaje po dobu nezbytně nutnou. Životní cyklus dat musí mít jasné ohraničení začátku a konce. A je na vás, zda si takto stanovené období budete schopni obhájit jak před samotnými osobami, jejichž údaje zpracováváte, tak i před dozorovými úřady.

Vaše odpovědi tvoří vaši jedinečnost

Prošli jsme otázky, které je nutné si v souvislosti s GDPR pokládat. Pravděpodobně jste se nad nimi při čtení zamysleli a odpověděli si na ně.

Stále se domníváte, že je možné si tzv. GDPR compliance jednoduše koupit jako „zázračný“ produkt, jehož přednosti vyzdvihne marketingová kampaň?

Předpokládám, že nikoliv.

Pohádka o tom, že pořízení jediného softwaru nebo produktu v nádherně zabalené krabici vyřeší celý projekt rychle a poměrně levně, nemá šťastný konec.

Někteří dodavatelé vám budou chtít přímo prodat i DPO experta, který sotva absolvoval několikadenní kurz, dostal barevný certifikát a už je mistrem svého oboru. Bude ale schopen naskočit do rozjetého vlaku GDPR a převzít velmi zodpovědnou roli strojvůdce, aniž by za sebou měl několik desítek či stovek poctivě najetých kilometrů? To je bohužel realita současné doby, kdy nevědomost organizací nahrává právě takovýmto praktikám.

GDPR je v první řadě o interních procesech a zásadách, nikoliv o zázračných technologiích a certifikátech. Nejedná se o jednorázové cvičení, ale o významnou organizační transformaci. Tato skutečná změna spočívá v odlišném přístupu k riziku, kdy práva fyzických osob jsou hlavním kritériem při posuzování dopadu každého zpracování osobních údajů.

Věřím, že vás výše položené otázky přiměly nahlížet kritičtěji na prodejní sliby jedinečných GDPR řešení na klíč. Doufám, že jste si díky nim uvědomili i vlastní jedinečnost a zvláštnosti zpracování osobních údajů ve vaší organizaci.

Tím jste udělali první a zásadní krok. Příště na něho navážeme dotazníkem, s jehož pomocí si budete moci otestovat, jak dobře jste na GDPR připraveni.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018