Nestíháte přípravu na GDPR? Poradíme vám, na co se zaměřit

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) začne být vymahatelné od 25. května 2018.

Záměrem nařízení je hájit práva rezidentů Evropské unie proti neoprávněnému zacházení s jejich osobními údaji, z nichž se stal cenný obchodní artikl. GDPR se dotkne všech firem, institucí i jednotlivců nebo poskytovatelů on-line služeb. Protože za porušování nových pravidel hrozí astronomické pokuty, je záhodné se na nové nařízení připravit.

Zbývá několik týdnů. Pokud jste zatím přípravu na GDPR zanedbávali, stanovte si priority a soustřeďte se na klíčové úkony. Jaké to jsou?

Zaměřte se na aktivity, které se dotýkají osobních údajů vašich zákazníků

Cílem GDPR je chránit koncové uživatele a zákazníky. Ti se budou moci v případě porušení nařízení obrátit na soud. Spotřebitelům se chystá pomáhat například Max Schrems, aktivista a právník, který v soudním sporu porazil Facebook. Lidé budou mít právo podávat stížnosti u příslušných orgánů dozorujících ochranu osobních údajů.

Eliminujte proto rizika, že spotřebitelé podají stížnost právě na vaši společnost:

• Zmapujte a zanalyzujte procesy a úkony, během nichž nakládáte s osobními údaji svých zákazníků. Kde a jak je sbíráte? Co se s nimi děje později? K čemu je využíváte? Nezapomeňte na to, že vaši klienti mají právo vědět, jak s jejich osobními údaji nakládáte. GDPR zavádí například právo na výmaz, právo na opravu nebo právo na přístup.
• Vypracujte oznámení o poskytování důvěrných informací a znění souhlasu, který vám spotřebitel udělí, abyste s jeho osobními údaji mohli nakládat. Je důležité, aby souhlas se zpracováním osobních údajů zákazník dával vědomě a svobodně.
• Vyhodnoťte, jaké dopady mohou mít vaše zpracovatelské metody na osobní údaje vašich zákazníků. Zaměřte se na hlavní aplikace a činnosti. Zanalyzujte rizika a možnosti jejich eliminace, například používáním automatizovaných systémů, jež můžete později zavést.

Přijměte opatření ve vztahu ke svým dodavatelům

GDPR se nedotýká pouze zákazníků, ale například také vašich zaměstnanců nebo dodavatelů. Je možné, že dodavatelé přicházejí do kontaktu s osobními údaji vašich zákazníků. Zmapujte proto situaci. Vzhledem k časové náročnosti se zaměřte na klíčové dodavatele, kteří mohou zpracovávat drtivou většinu osobních údajů:

• Proveďte kontrolu dodržování závazků vyplývajících z GDPR. Připravte si kontrolní seznam (checklist).
• Přijměte interní směrnici o ochraně osobních údajů, která bude v souladu s GDPR. Slaďte interní postupy se zásadami GDPR. Nezapomeňte přijmout postupy, které uplatníte v případě narušení/napadení/odcizení osobních údajů. V případě úniku dat je povinná ohlašovací povinnost.

Nastavte základní postupy a zlepšujte interní kulturu

Nastavení interních procesů, které vám pomohou dodržovat nařízení GDPR, je poměrně časově náročné.

Zaměřte se proto v tuto chvíli na základní postupy a zároveň začněte pracovat na interní kultuře, která vám pomůže splnit zásady GDPR a správně nakládat s daty klientů, zaměstnanců nebo dodavatelů:

• Jmenujte pověřence pro ochranu osobních údajů (DPO), pokud se vás tato povinnost dotýká. Pověřenec monitoruje soulad zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádí interní audity nebo školení pracovníků. Hledáte DPO? Můžeme vám pomoci.
• Stanovte alespoň minimální vnitřní postupy, jak spravovat práva vašich zákazníků. Příkladem jsou výše zmíněná práva na přístup, přenositelnost nebo vymazání. Přijměte postupy, jak budete řešit ochranu soukromí a případné narušení osobních údajů. Zvažte, zda využijete manuální postupy nebo později implementujete technologie a automatizované procesy.
• Instruujte a proškolte své zaměstnance. Poskytněte jim základní manuály, jak správně zpracovávat osobní údaje. Informujte je ohledně GDPR. I s tím vám můžeme pomoci.

GDPR se nevyhnete. Začněte proto co nejdříve pracovat na opatřeních a povinné dokumentaci, která vás na nové nařízení připraví. Zaměřte se na výše uvedené a postupně zavádějte další procesy a postupy, které vám nařízení pomohou beze zbytku naplnit.

A právě s přípravou povinné dokumentace vám rádi pomůžeme. Zde si můžete objednat sadu GDPR dokumentů a tím alespoň částečně eliminovat možnou pokutu, pozornost vaší konkurence či nepřejícího zaměstnance.