Jak splnit nová pravidla GDPR?

Tato role bude legislativně zodpovědná za dodržování přísných bezpečnostních pravidel

Na rozdíl od Evropské směrnice je Nařízení GDPR závazné pro ČR ihned, od okamžiku platnosti (25.5.2018). Zároveň má vyšší právní moc nad našimi zákony, které tímto buď zanikají, nebo se musí přizpůsobit.

Co pro vás znamená GDPR?

Jste organizace, která v rámci svých aktivit zpracovává osobních data (jméno, adresa, poloha atd.) občanů EU? Nebo s nimi jinak nakládá? Pak je nejvyšší čas připravit své procesy, bezpečnostní pravidla a smluvní dokumenty do souladu s Evropským Nařízením. 

Než se ale do této transformace pustíte, je zde úkol č.1 Každá organizace musí oficiálně stanovit pozici Data Protection Officer (DPO), resp. Pověřenec pro ochranu osobních údajů.

Nedostatkové zboží? Až 75.000 pracovníků DPO

Povinnost jmenovat Pověřence pro ochranu osobních údajů: Data Protection Officer (DPO) platí ve všech případech a vztahuje se i na organizace, které nemají sídlo v Evropské unii. Dobrou zprávou je, že tuto roli lze outsourcovat. Toho využijí zejména malé a střední společnosti. 

Na trhu totiž aktuálně chybí odhadem 75.000 DPO, kteří by nyní začali s přípravou a implementací GDPR. A toto číslo jistě není konečné. EU Nařízení GDPR vytváří pro budoucí certifikované (kvalifikované) DPO obrovskou příležitost.

Povinnost jmenovat DPO v organizaci

Data Protection Officer | Pověřenec pro ochranu osobních údajů je funkce s velkým podílem odpovědnosti. A pod likvidačními sankcemi. Asi nebudete chtít svěřit existenci firmy někomu, kdo může poškodit vaši organizaci, z čehož většinou paralelně profituje konkurence.

Napadlo vás, že vyberete jen tak někoho z organizace? Přiřadíte mu pozici, na web umístíte kontakt pro komunikaci s úřady, nebo stížnosti? Tak na to rovnou zapomeňte. Byla by velká chyba myslet si, že tím máte vystaráno.

Ve skutečnosti je Pověřenec pro ochranu osobních údajů zcela nová a profesionální role. Pro mnohé organizace je povinná stejně, jako např. pozice jednatele. A ani tuto nemůže zkrátka zastávat každý.

Pověřenec pro ochranu osobních údajů musí navenek úzce spolupracovat s ÚOOÚ. Je oficiálním zástupcem a garantem dodržování EU Nařízení GDPR.

Jaké musí mít předpoklady?

Pověřenec pro ochranu osobních údajů zodpovídá za transparentní systém zpracování a nakládání s osobními údaji. Z vlastní zkušenosti můžeme na tuto pozici doporučit interní auditory, kteří již zodpovídají za další systémy, jako je

• M_o_R (Management of Risk) + ISO 31000
• QMS (Quality Management System) ISO 9001
• ISMS (Information Security Management System) ISO 27001

Kompetentní osoba by měla mít odpovídající profesní kvality. Přečíst si EU Nařízení GDPR nestačí. Na druhou stranu DPO nemusí mít právní vzdělání.

Nicméně je třeba této pozici zajistit odborné znalosti právních předpisů. Vysvětlit vazbu na architekturu vašich IT systémů, aplikací a komunikačních kanálů. Včetně dopadů na informační bezpečnost v oblasti ochrany osobních dat.

DPO musí být schopen efektivně interpretovat zainteresovaným stranám a oddělením faktické dopady GDPR na danou organizaci, oddělení, či proces.

Určitou výhodu mají interní kandidáti, kteří mají zkušenosti s právem. Klíčová je i znalost strategického směřování organizace, orientace v klíčových procesech a oblastech. Pokud váš kandidát nemá technický background (aplikace, systémy, architektura), rovnou jej z listiny vyškrtněte.

DPO musí mít odborné znalosti a zkušenosti v oblasti

• procesního řízení
• národní legislativy
• informační bezpečnosti
• ochrany osobních informací
• v případě mezinárodních spol. také evropských předpisů pro ochranu osobních údajů.

Tato pozice ale není o schopnosti číst legislativu. DPO musí být schopen praktické aplikace výkladu GDPR na konkrétní procesy a činnosti organizace. A to nejenom v právní rovině, ale zejména procesní a technologické.

Dobrá zpráva je, že každý z vás je defacto na stejné pozici ve vztahu k GDPR. Je to nové Evropské nařízení. Svým přístupem zcela unikátní. Teprve vstoupí v platnost. Každý z vás nyní musí získat návyky, jak s požadavky na ochranu osobních údajů nakládat.

Jak vybrat vhodný kurz a certifikace pro DPO

Být v organizaci Pověřenec pro ochranu osobních údajů (DPO) je velký a zodpovědný úkol. Proto je zcela zásadní absolvovat kurz, který splňuje všechny oblasti, témata a je doporučen EU.

Jedině tak máte jistotu, že školení nebude výklad směrnice. Úspěšní absolventi certifikátem deklarují, že jejich znalosti splňují minimální požadovanou úroveň způsobilosti pro danou pozici.

Cesta k získání know how a certifikace DPO

Další dobrá zpráva je, že TAYLLORCOX má v portfoliu akreditované vzdělávací programy. Každý budoucí DPO v ČR tak může získat kvalitní a odpovídají základ pro práci s DPO.

TAYLLORCOX vám přináší oficiálně akreditovaný (ISO/IEC 17024) GDPR program. Prestižní advokátní kancelář Rowan Legal navíc celý program homologovala do českého legislativního prostředí. Jaký kurz je nejvhodnější a jak začít?

GDPR Intro

• ½ denní manažerský úvod
• ochrana osobních údajů dle EU Nařízení GDPR
• práva a povinnosti organizace i pověřence, pozice DPO

Pověřenec ochrany osobních údajů

• 2 dny + certifikace
• Právní aspekty EU Nařízení GDPR a jejich implementace
• Kurz je akreditovaný, tj. kompatibilní s GDPR dle doporučení e-CF

Oficiální kurz včetně certifikace představuje ideální start-up pro všech zájemce. Cílem kurzu je praktická znalost GDPR a implementace požadavků. Cílovou skupinou jsou manažeři oddělení, profesionálové a konzultanti v oblasti ochrany osobních údajů.

Nespornou výhodou tohoto kurzu je i certifikace, která je Evropskou unií doporučená, resp. oficiálně uznávaná – eCF (European Competence Framework). eCF stanovuje kompetenční model a požadavky na DPO (Data Protection Officer) v rámci GDPR.

GDPR vs. procesy

Je GDPR víc právní, nebo procesní změna?

Právo a legislativa je pouze špička ledovce, to podstatné je pod hladinou

GDPR není jen o právní otázka. V konečném důsledku je nutné GDPR transformovat do procesních a technických požadavků. Kurzy zaměřené explicitně do právní problematiky tak v konečném důsledku nemohou vyhovět všem požadavkům, které GDPR klade na pozici Pověřence pro ochranu osobních údajů a organizaci jako celek.

Nemocnice, webové portály, správci sociálních sítí, mobilní aplikace a další se nově bez Pověřence pro ochranu osobních údajů neobejdou. Velké organizace budou potřebovat pověřence, který má mnohaleté zkušenosti s ochranou osobních údajů. Zatímco malé a střední společnosti sáhnou do vlastních řad. Ten se vedle svých pracovních povinností musí proškolit k plnění povinností funkce DPO stanovené GDPR.

Základním předpokladem validních procesů dle GDPR je, aby Pověřenec pro ochranu osobních údajů měl komplexní přístup k workflow osobních údajů.

Certifikovaný DPO je centrálním uzlem pro řešení všech technologických, legislativních a procesních požadavků. Komunikuje s ostatními odděleními či zástupci problematiku ochrany osobních údajů. Vzhledem k sankcím, ztrátě reputace, poškození značky, odlivu klientů ke konkurentům a dalším rizikům je klíčové zajistit DPO více, než jen kontinuální vzdělávání.

Udává DPO organizaci správný směr?

Pozice Pověřence pro ochranu osobních údajů potřebuje nejenom školení, ale i zpětnou vazbu. Nejvhodnější formou zpětné vazby je Externí Audit.

Pro začátek byste neměli stanovovat periodu déle, než 1 x ročně. Externí audit od GDPR Lead Auditora zajistí objektivní zpětnou vazbu nejvyššímu představiteli – DPO. Jde o efektivní a rychlé pojištění odpovědnosti.

A proč rovnou nepřeměnit tuto investici v konkurenční výhodu? Prestižní certifikát je nejlepší způsob, jak deklarovat svým zákazníkům, obchodním partnerům, akcionářům a dalším zainteresovaným stranám vysokou vyspělost, bezpečnost a důvěryhodnost v oblasti ochrany osobních údajů dle GDPR.

Certifikát shody s GDPR je pojistka i konkurenční výhoda

GDPR certifikace je zároveň další ochranný štít pro Evropské úřady, resp. ÚOOÚ. Zajistěte si certifikační audit, který je v případě shody potvrzen certifikátem shody. Stanovisko Úřad pro ochranu osobních údajů k vydávání osvědčení zde >

Co se stane, když na vás konkurent, klient, nebo potenciální zákazník podá oprávněnou stížnost?

Pokud nastanou potíže v organizaci, která nesplňuje ani zdaleka předpoklady GDPR, následky a sankce mohou být likvidační. Pokud budete schopni prokázat, že jste udělali vše proto, aby systém fungoval a zároveň podstupujete pravidelný externí audit, eliminujete toto riziko na minimum.

Ochrana před provozní slepotou? Assesment

DPO je ve své kompetenci prostředníkem, mezi organizací (spravující osobní data) a Úřadem pro ochranu osobních údajů. Externí audit vám pomůže udržet nezávislost při rozhodování. V případě kontroly, či konfrontace ze strany ÚOOÚ jsou výstupy z auditu pro kontrolovanou organizaci rovněž důkazní materiál.

Výstupní zpráva identifikuje nejenom rizikové oblasti, ale způsob vypořádání se, výsledky realizovaných opatření a další užitečné informace pro rozhodování, či jako důkazní materiál.

Pokud organizace neschválí externí audit pro DPO, vystavuje se riziku, že DPO bude brzy trpět provozní slepotou a osamělostí. Pravidelný audit s externím auditorem pomůže

• držet krok s regulačními novelami
• udržet systém v efektivním režimu
• vyřešit otázky související s technologickým vývoje organizace

GDPR Maturity Model

Nesnažte se vytvářet paralelní svět v organizaci pod hlavičkou GDPR

Naopak. GPDR je nutné integrovat do výše uvedených standardů a norem (pokud již nějaký standard procesního řízení splňujete). Jestliže žádný takový systém nemáte certifikovaný, řešení je jednoduché.

Každá organizace má totiž svůj vlastní ekosystém a procesy, které dodržuje, nebo automatizujete. Jistě využíváte databáze, intranet, email, informační systém, nebo sdílení souborů.

Podvědomě jste si tak vytvořili specifická procesní pravidla. Vyžádejte si externí audit (GDPR Maturity Model). Ten posoudí vyspělost procesů s ohledem na dodržování EU Nařízení v kontextu vaší organizace. Zjistíte tak cenné informace o tom, které požadavky a do jaké míry jsou

• Validní (v pořádku)
• Částečně validní (vyžadují opatření)
• Nejsou vůbec v souladu (riziko / hrozba)

Na základě výstupu z Assesment Auditu dle GDPR Maturity Model získáte cenné informace o vaší vyspělosti a připravenosti na GDPR. Budete mít ty nejlepší informace pro mnohem efektivnější vynakládání zdrojů na jejich vyřešení (technologické či bezpečnostní, procesní změny, legislativní úpravy)

Poslední varinata: outsourcing DPO. Pro a proti

Samozřejmě můžete DPO pozici outsourcovat. To ale neřeší zásadní problém. GDPR je o správně nastavených a fungujících procesech v celém workflow osobních údajů. Musíte si uvědomit, že základní pilíř všeho jsou odpovědní lidé.

Závěr

Zajistěte školení všem, kteří přicházejí do styku s osobními informacemi

Zajistěte firemní vzdělávání. Vaši lidé se musí orientovat ve správných postupech při manipulaci s údaji, zároveň držet krok se změnami v oblasti práva a technologií. Musí vědět, jak budovat, organizovat, spravovat a neustále aktualizovat systém na ochranu osobních údajů.

Tito lidé více a lépe spolupracovat s certifikovaným i akceschopným Pověřencem ochrany osobních údajů. Ten bude sloužit všem zainteresovaným skupinám. Vyhodnocovat rizika. Zodpovídat za implementaci bezpečnostních opatření. Udávat požadavkům priority.

GDPR Intro >