Co je GDPR?
- GDPR (Obecné nařízení o ochraně osobních údajů) je mezinárodní právní rámec, který stanovuje pravidla pro zpracování osobních údajů a ochranu práv subjektů údajů. Pomáhá firmám zavést a udržovat systém pro shromažďování, zpracování, uchovávání a likvidaci osobních údajů, zajišťující jejich bezpečnost a dodržování práv jednotlivců.
- Soulad s GDPR je pro zákazníky, regulační orgány a dodavatele klíčovým důkazem, že vaše firma splňuje přísné požadavky na ochranu a bezpečnost osobních údajů.
Co znamená mít shodu s GDPR?
Mít dokumentaci k ochraně osobních údajů
- Politika ochrany osobních údajů: Oficiální prohlášení vedení o závazku k ochraně a zabezpečení osobních údajů a dodržování regulačních požadavků GDPR.
- Cíle ochrany osobních údajů: Měřitelné úkoly pro daný rok, které podporují politiku ochrany osobních údajů a dodržování práv subjektů údajů.
Mít popsané a zdokumentované procesy, role a odpovědnosti ve firmě
- Pracovní postupy, směrnice, záznamy (např. o zpracování, souhlasu, incidentech), které jsou aktuální, schválené a přístupné zaměstnancům podílejícím se na životním cyklu osobních údajů.
- Záznamy o činnostech zpracování: vedení komplexní dokumentace ke každé kategorii zpracování osobních údajů, zahrnující účely, kategorie subjektů a údajů, příjemce, doby uchovávání a popis technických a organizačních opatření.
- Organizační struktura a pracovní pozice: Přesné určení odpovědností a pravomocí, zejména ve vztahu k zajištění ochrany osobních údajů a dodržování regulačních požadavků GDPR (např. role Pověřence pro ochranu osobních údajů - DPO, pokud je vyžadován).
Evidovat a řešit incidenty a porušení zabezpečení osobních údajů
- Řízení incidentů a stížností: Evidovat, vyhodnocovat a řídit incidenty (včetně těch z interních auditů) a stížnosti týkající se zpracování osobních údajů. hlásit porušení zabezpečení
- Nápravná a preventivní opatření (CAPA): Systematické hledání a odstraňování příčin porušení zabezpečení osobních údajů a potenciálních incidentů, aby se zabránilo jejich opakování nebo vzniku, s důrazem na práva a svobody subjektů údajů.
Znát rizika a řídit je (předcházet porušení zabezpečení)
- Řízení rizik: Mít zavedený proces řízení rizik po celou dobu životního cyklu osobních údajů, od shromažďování po likvidaci.
- Analýza a hodnocení rizik: Provádět analýzu, hodnocení a snižování rizik spojených se zpracováním osobních údajů, a dokumentovat přijatá opatření (např. posouzení vlivu na ochranu osobních údajů - DPIA).
Vzdělávat lidi v oblasti ochrany osobních údajů
- Zaškolení zaměstnanců během nástupu a adaptace, s důrazem na specifické požadavky GDPR a ochranu osobních údajů.
- Seznamování lidí s pracovními postupy, směrnicemi a standardy relevantními pro zpracování a ochranu osobních údajů.
- Průběžné vzdělávání a zvyšování kompetencí zaměstnanců, zejména v oblastech týkajících se GDPR, bezpečnosti a ochrany osobních údajů.
- Zajištění, že zaměstnanci jsou si vědomi důležitosti své práce a přispívají k systému ochrany osobních údajů a dodržování práv subjektů údajů.
Řídit zpracovatele osobních údajů
- Sledování smluv se zpracovateli osobních údajů a přísné hodnocení dodavatelů, kteří pro firmu zpracovávají osobní údaje, s důrazem na jejich schopnost zajistit soulad s GDPR.
- Zajištění shody zpracování osobních údajů ze strany dodavatelů s definovanými požadavky a smluvními podmínkami.
Sledovat důkazy a kontrolovat stav shody s GDPR
- Metriky a KPI: Způsob, jakým firma měří úspěšnost procesů souvisejících s ochranou osobních údajů a dodržováním GDPR.
- Zpětná vazba a monitoring: Pravidelné zjišťování spokojenosti subjektů údajů a systematický sběr zpětné vazby, včetně monitoringu dodržování práv subjektů údajů.
- Záznamy o zpracování: Protokoly, revizní zprávy, záznamy o souhlasu, žádostech subjektů údajů a zápisy dokazující, že postupy a regulační požadavky GDPR byly dodrženy.
- Plánovaná údržba a aktualizace systémů, zejména těch, které ovlivňují zabezpečení a zpracování osobních údajů.
Sledovat porušení, odstraňovat jejich příčiny a trvale se zlepšovat
- Interní audity: Pravidelná interní kontrola, zda systém ochrany osobních údajů stále splňuje požadavky GDPR, firemní předpisy a platné regulační požadavky.
- Přezkoumání vedením: Pravidelné hodnocení celého systému ochrany osobních údajů ze strany top managementu s cílem zajistit jeho vhodnost, přiměřenost a efektivitu pro ochranu osobních údajů.
Jaké dokumenty GDPR vyžaduje?
Povinná dokumentace GDPR
- Dokument Rozsah ochrany osobních údajů.
- Dokument Politika ochrany osobních údajů (s ohledem na GDPR a ochranu práv subjektů údajů).
- Dokument Cíle ochrany osobních údajů (specifické pro bezpečnost a dodržování práv subjektů údajů).
Firemní směrnice a pracovní postupy
- Směrnice pro zpracovávání osobních údajů (sběr, uchovávání, mazání, reakce na žádosti subjektů údajů).
- Směrnice o zálohování osobních údajů
- Směrnice a pracovní postupy jsou aktuální a přístupné zaměstnancům a které podrobně popisují procesy, zejména ty ovlivňující bezpečnost a ochranu osobních údajů
- Technická dokumentace (Záznamy o činnostech zpracování): vedení komplexní dokumentace ke každé kategorii zpracování osobních údajů, včetně účelů, kategorií subjektů a údajů, příjemce, dob uchovávání a popisu technických a organizačních opatření.
- Popsaná organizační struktura a pracovní pozice: Přesné určení odpovědností a pravomocí, zejména ve vztahu k zajištění ochrany osobních údajů a dodržování regulačních požadavků GDPR (včetně role DPO).
Zaměstnanci, jejich kompetence a vzdělávání
- Plány nástupu a adaptace zaměstnanců, s důrazem na specifické požadavky GDPR a ochranu osobních údajů.
- Plány školení zaměstnanců a záznamy o jejich kompetencích a provedených školeních relevantních pro ochranu osobních údajů.
- Popisy pracovních pozic a pracovních náplní, s jasným určením požadovaných kompetencí pro role ovlivňující ochranu osobních údajů.
Řízení zpracovatelů osobních údajů
- Směrnice pro výběr, hodnocení a monitorování zpracovatelů osobních údajů (dodavatelů), kteří pro firmu zpracovávají osobní údaje.
Subjekty údajů
- Směrnice k vyřizování žádostí subjektů údajů (např. o přístup, opravu, výmaz, omezení zpracování) a hlášení porušení zabezpečení osobních údajů.
Řízení rizik ochrany osobních údajů
- Přehled a popis rizik: Mít zavedený systém pro identifikaci, analýzu, hodnocení a řízení rizik spojených se zpracováním osobních údajů po celou dobu jejich životního cyklu, včetně dokumentace DPIA.
Nápravná opatření a řešení incidentů
- Registr nápravných a preventivních opatření (CAPA) – přehled všech systematických opatření pro řešení porušení zabezpečení a potenciálních incidentů s osobními údaji.
Ověřování systému ochrany osobních údajů
- Směrnice k internímu auditu systému ochrany osobních údajů a dodržování GDPR.
Mít GDPR v excelu nebo používat software pro GDPR?
Software pro GDPR jako je Aptien pomáhá vaší firmě efektivně řídit komplexní požadavky na ochranu a shodu při zpracování osobních údajů. Snižuje rizika, optimalizuje procesy a zajišťuje dodržování přísných regulačních požadavků, což vede k lepší ochraně osobních údajů.
- Snížit náklady spojené s porušením zabezpečení, pokutami a regulačními problémy u osobních údajů.
- Vybudovat spolehlivý a auditovatelný systém zpracování osobních údajů.
- Posílit reputaci a důvěryhodnost firmy jako správce/zpracovatele dodržujícího GDPR.
- Zvýšit důvěru zákazníků a regulačních orgánů, a tím i konkurenceschopnost na trhu.
- Umožnit rychlejší a efektivnější řízení dokumentace a procesů.
- Zjednodušit a zefektivnit interní i externí audity a inspekce Úřadu pro ochranu osobních údajů.