★ GDPR Dokumentace (šablony i vzory)
- Datum: 22.05.2018
- Autor: František Nonnemann
Věděli jste, že máte povinnost na vyžádání předložit GDPR Dokumentaci Úřadu pro ochranu osobních údajů, v rámci principu doložitelné odpovědnosti?
GDPR Dokumentace
Evropská unie v roce 2016 vydala nový právní předpis upravující zpracování osobních údajů, obecné nařízení o ochraně osobních údajů, známé rovněž pod anglickým pojmem General Data Protection Regulation.
Jednou ze zásadních změn, které GDPR v porovnání s předchozí úpravu přináší, je princip doložitelné odpovědnosti, jinak řečeno povinnost všech organizací, které zpracovávají osobní údaje, ať už pro sebe v postavení správce, nebo dodavatelsky pro další subjekty jako zpracovatel, nejen při svéčinnosti respektovat veškeré právní požadavky, ale také tento soulad průběžně dokumentovat a být schopen kdykoliv doložit.
Základní stavební kámen ochrany osobních údajů
Důležitým prvkem, který je pro dosažení souladu s GDPR nutno posoudit, je dokumentace, ať už vedená fyzicky nebo elektronicky. Jedna z nových a přitom klíčových povinností, které správcům a zpracovatelům osobních údajů GDPR ukládá, je např. povinnost vést záznamy o zpracování.
Pro splnění této povinnosti budete muset napříč organizací zmapovat a zdokumentovat, pro jaké účely, jaké osobní údaje a za jakých podmínek zpracováváte. Vést záznamy o činnostech.
A výsledek zachytit v GDPR dokumentaci, kterou jste povinni na vyžádání předložit Úřadu pro ochranu osobních údajů. Jakmile u vás bude z jakéhokoliv důvodu zahájena kontrola z dozorového úřadu ÚOOÚ, jeden ze základních požadavků GDPR, se kterým budete konfrontováni, je řádné zdokumentování zpracovávaných osobních údajů, jejich účelů a záznamů o činnostech.
Jen malé procento společností je “GDPR ready”, tedy vyřešilo otázku bezpečnosti a zpracování dat včas. Drtivá většině společností se o to snaží, zrychluje přípravy, nebo zde běží implementační projekty pro zavedení změn, které GDPR přináší.
V odborné diskusi lze sledovat jistý trend, který směřuje k tomu, že “byste měli považovat” implementaci GDPR za převážně IT projekt, který lze vyřešit nějakým softwarem, nebo placenou IT službou. Stejně tak se množí marketingové nabídky na konkrétní softwarové produkty, které prý mohou zajistit soulad zpracování dat s GDPR.
Pro zajištění plného souladu konkrétní organizace a jejích postupů s GDPR je však nezbytné posoudit a upravit veškeré součásti zpracování dat, nikoliv pouze IT prostředí. Pro řádnou implementaci je nutno zanalyzovat a upravit pracovní činnosti v následujících okruzích
- Dokumentace
- IT & Security (bezpečnost)
- Procesy zpracování osobních údajů
GDPR krok za krokem
Většina projektů, jejichž cílem je zajištění shody s GDPR začíná stejně. Není zcela jasné kde, jak a čím začít. Ten, kdo za implementaci opatření ochrany osobních údajů zodpovídá potřebuje získat více informací, než má.
Ale rozpočet je omezený a management chce náklady na externí poradce, právníky tvořící zpracovatelské smlouvy a další vzory eliminovat na minimum. To se týká i pořizování dalších zbytečných aplikací. A samozřejmě čím dříve bude projekt hotový, tím lépe.
Stará cesta, kterou známe všichni? Najmout si na tento projekt konzultanta. Ať vše zařídí na klíč. Je to nejrychlejší varianta. Ale problémy nastanou později. Když budete dělat celý projekt externě, neuvidíte žádnou snahu a odhodlání od vašich zaměstnanců. A kdo bude udržovat procesy, dokumentaci, záznamy o zpracování a další procesní agendu poté, co konzultant odejde, nebo jej zkrátka přestaneme platit?
GDPR vzory
Pořízení specializované GDPR dokumentace
Jaké přínosy mají GDPR vzory dokumentace pro zajištění souladu?
Kvalitně zpracované šablony vám pomohou “vyčistit” data, uvést postupy do souladu, nastavit pravidla pro zaměstnance, vydefinovat rozsah činností Pověřence pro ochranu osobních údajů, ale co je nejdůležitější….? Bude moci i nadále udržovat a využívat vaše data, které představují cenná aktiva.
Můžete začít s předhotoveným dokumentačním setem - GDPR vzory dokumentace. Kromě šablon obsahuje projektový plán, manuály k použití, které vás provedou od prvotní analýzy až k poslednímu kroku projektu.
Dokumenty jsou z 80 % předepsané. Lze je snadno editovat. Obsahují nejenom předvyplněné procesy, ale i metodické návody a rady, jak správně s dokumentem naložit.
A pokud se v nějakém bodě zaseknete, poskytujeme neomezenou podporu v rámci implementačních workshopů. Pomůžeme vám tak nejen řídit projekt, ale budete mít 100% jistotu o správném v postupu. Jejich hodnocení od renomovaných firem mluví za vše.
Stáhnout GDPR vzory dokumentů >
GDPR formuláře od TAYLLORCOX
Co by vám určitě nemělo v kvalitních dokumentační základně pro ochranu osobních údajů chybět?
Na prvém místě se jedná o šablony, vzorové smlouvy či formuláře, které organizace používá k získávání souhlasu dotčených osob se zpracováním jejich osobních údajů, k plnění informační povinnosti či dalších povinností při zpracování dat, např.:
souhlas s předáním osobních údajů, záznamy o činnostech zpracování, vzor souhlasu, vnitřní směrnice ochrana osobních údajů a další gdpr formuláře, jako je datová mapa, dpia, risk analýza, vzory pro interní audit, či evidence zpracování osobních údajů.
Neméně důležitým prvkem jsou i smlouvy upravující zpracování osobních údajů, ať už je organizace v postavení správce nebo zpracovatele dat. GDPR totiž ve srovnání se současnou právní úpravou obsaženou v zákoně č. 101/2000 Sb. klade na takovouto smlouvu mnohem vyšší nároky. Smlouva o zpracování dat tak musí například správci výslovně umožnit, aby auditovat plnění povinností zpracovatele při zpracování a zajištění bezpečnosti osobních údajů.
Procesy
Nastavení procesů zpracování ochrany osobních údajů
Důležitým krokem je zmapování procesů, při kterých organizace osobní údaje shromažďuje a dále zpracovává, v jakém rozsahu tak činí, za jakými účely a jaký způsobem jsou osobní údaje zpracovávány, komu jsou zpřístupňovány, jak dlouho jsou uchovávány atd. Jak na datovou mapu se naučíte zde.
Druhým nezbytným krokem je potom doplnění procesů zejména o jednoznačné určení odpovědností jednotlivých zaměstnanců za dodržování pravidel pro zpracování osobních údajů i za dokumentování jejich činnosti tak, aby organizace byla schopna svůj soulad s GDPR doložit. Jak na doplnění procesů zde.
GDPR rovněž přináší řadu nových procesů, které je většina organizací povinna interně zavést. Jedná se zejména o povinnost u nových zpracování osobních údajů provádět dopadovou analýzu, tzv. posouzení vlivu na ochranu osobních údajů.
V některých případech jsou navíc nezbytné konzultace s Úřadem pro ochranu osobních údajů, o povinnosti reportovat případy porušení zabezpečení osobních údajů. A při vysokém riziku pro práva dotčených osob i těmto osobám, povinnost zavést proces pro ověření zpracovatele, tedy dodavatelské společnosti, která se podílí na zpracování osobních údajů pro správce, až po povinnost řady organizací vytvořit a obsadit pozici pověřence pro ochranu osobních údajů a vytvořit mu dostatečné podmínky pro řádné plnění jeho úkolů. Na roli "interního auditora", "implementátora" a "evangelistu", který je zodpovědný za GDPR jako celek vás připraví kurz Pověřenec pro ochranu osobních údajů a zajímavá je i knižní novinka roku 2018 GDPR Kniha - praktická příručka.
IT & Security
Informační technologie vs. GDPR
Elektronické nástroje pro zpracování dat jsou rovněž důležitým prvkem. Organizace je povinna zmapovat, jaké nástroje pro zpracování dat používá a jakým způsobem jsou data zpracovávána, jaké jsou jednotlivé datové toky.
I při využívání elektronických nástrojů potom musí zajistit pravidla vyplývající z GDPR, především v oblasti zabezpečení dat, ale i nastavení doby jejich uchování a následné anonymizace či likvidace data atd. Takže zde se dostáváme opět do roviny procesní a dokumentační. Teprve poté lze vyvodit software úpravy pro IT systémy a aplikace. Je tedy již zcela jasné, že žádný GDPR software za vás požadavky nevyřeší.
IT nástroje však mohou být užitečné i při plnění některých povinností. Může se jednat o nástroje sloužící k identifikaci osobních údajů v jednotlivých systémech a aplikacích, pro jejich klasifikaci a sledování jejich pohybu, nástroje pro zabezpečení dat či elektronické prostředky nebo aplikace pomáhající při auditu plnění GDPR, při provádění posouzení vlivu na ochranu osobních údajů či pro plnění některé z dalších nových povinností. Workshop pro IT a Security Management zde >
Několik doporučení k nasazení GDPR
Výše uvedené oblasti však nelze zcela oddělit, resp. posuzovat izolovaně, protože splnění jednotlivých povinností dle GDPR má velmi často přesah do více z nich. Z osobních údajů se stala cenná komodita. Stejně jako má svá pravidla vedení účetnictví, i zde od 25.5. 2018 platí nařízení, která musíte dodržovat.
Pojďme se podívat na ty hlavní požadavky:
- Musí být strukturovaná a kompletní
- Eliminujte duplicitní údaje a popisy činností
- Nezapomínejte na verzování a vedení historie změn
- Každý dokumentovaný systém musí splňovat PDCA cyklus
- Manuál nakládání s osobními údaji musí být dostupný všem zaměstnancům
- Nezapomeňte na řízení přístupu. Každý pracovník musí mít jinou úroveň znalostí GDPR.
Další povinnosti
Organizace obvykle zpracovává zejména následující údaje osob
Organizace je však povinna dokumentaci průběžně aktualizovat, takže musí rovněž nastavit proces, jak bude tuto aktualizaci provádět a kdo za ni bude odpovědný. A pro vytváření a udržování tohoto dokumentu jistě může využít vhodný IT nástroj.
Dobrá rada nad zlato: při implementaci GDPR je vhodné rozlišovat nejen procesy, dokumentaci a IT nástroje, ale i jednotlivé skupiny dotčených osob, jejichž údaje jsou zpracovávány. U každé z nich pak obvykle má plnění povinností dle GDPR odlišné aspekty, ať už kvůli sektorové legislativě, odlišným účelům zpracování nebo s ohledem na další specifika.
Klienti: Ať už jde o ty současné, nebo bývalé. Zpracování jejich dat je nezbytné ke splnění smlouvy či k ochraně oprávněných zájmů organizace, ale zvláštní právní úprava, ať už v oblasti zdravotnictví, telekomunikací nebo pojišťovnictví, může jejich zpracování za určitými účely rovněž vyžadovat.
Zaměstnanci: Ať už bývalí, současní či budoucí. Zpracování osobních údajů zaměstnanců či uchazečů o zaměstnání má řadu specifik vyplývajících z pracovněprávních předpisů a tato specifika je při zavádění GDPR nutno zohlednit.
Potencionální klienti: Jinak řečeno neklienti, jejichž údaje jsou zpracovávány za účelem přímého adresného marketingu. Při tomto zpracování údajů je nutno vzít v potaz i další předpisy, které upravují některý druh marketingové komunikace (zákon o elektronických komunikacích, zákon o některých službách informační společnosti, resp. blížící se ePrivacy nařízení).
Návštěvníci internetových stránek: Zpracování informací o návštěvnících internetových stránek či uživatelů dalších online produktů je stále intenzivnější, z úrovně Evropské unie je na to reagováno detailnější regulací, ať už se jedná o GDPR nebo připravované nařízení o ochraně soukromí a elektronických komunikacích, tzv. ePrivacy. I této oblasti, resp. skupině osob, je tudíž nezbytné věnovat pozornost.
Další osoby, jejichž údaje organizace zpracovává: Například za účelem ochrany svých práv. Může se jednat o osoby zachycené kamerovým systémem či jiným sledovacím systémem, evidované návštěvníky budovy či zařízení určité organizace atd.
I zpracování informací o těchto osobách, ač v některých případech organizace sama není schopna je identifikovat, typicky u kamerového sledování veřejných prostor, je totiž v režimu GDPR a je při něm nutno v přiměřeném rozsahu plnit všechny povinnosti, které GDPR přináší.