Analýza
V první řadě je třeba provést analýzu, jak je s údaji ve Vaší společnosti nakládáno. Nejenže vám pomůže se v celé problematice lépe zorientovat, ale především zjistíte, v jakém rozsahu se na Vás jednotlivé povinnost vztahují. Prvním krokem je určit, v jakém rozsahu, jakým způsobem, za jakým účelem a po jakou dobu osobní údaje zpracováváte. Druhý krok spočívá v posouzení zákonnosti zpracování. Jelikož osobní údaje jsou velice citlivými daty, snaží se nové nařízení zamezit případům, kdy by byly osobní údaje zpracovávány a užívány libovolně, aniž by o takových způsobech jejich užití osoba, která údaje poskytla, měla ponětí. Každé zpracování tak musí být podloženo zákonným důvodem.
Aby bylo možné prokázat, že údaje zpracováváte v souladu s účinnou právní úpravou, je nutné uschovávat si souhlasy, které vám byly uděleny. Můžete například zavést zvláštní evidenci nebo je ukládat na určené místo.
Záznamy
Nařízení GDPR v některých případech vyžaduje, aby společnost vedla tzv. záznamy o zpracování. Nejedná se o žádné minutové záznamy, kde byste byli povinni zaznamenávat každé předání osobního údaje. Záznamy o zpracování naopak přehledně popisují, jak je obecně nakládáno s údaji ve společnosti a je potřeba je měnit pouze tehdy, když ve společnosti zavedena zcela novou kategorii nakládání s osobními údaji. Zásadní je určit, k jakým úkonům ve společnosti dochází a tyto záznamy rozepsat tak, aby obsahovaly veškeré povinné informace dle nařízení GDPR. Nejčastěji budou záznamy rozděleny na oblasti HR, Sales a Marketing. Vedení záznamů o zpracování je doporučováno i podnikatelům, kteří k tomu nejsou povinni. Důvod je takový, že v případě kontroly budete schopni snadno doložit, jak se ve Vaší společnosti s osobními údaji nakládá, a též budete schopni rychle reagovat na požadavky zákazníků v oblasti ochrany osobních údajů.
Pověřenec
Jste-li větší společnost, je třeba vyhodnotit, zda se na vás nemůže vztahovat povinnost jmenovat pověřence pro ochranu osobních údajů nebo vypracovat analýzu dopadů zpracování. Tato povinnost se ale nemusí vztahovat nutně jen na velké společnosti. Podmínky budete muset splnit i pokud zpracováváte osobní údaje rizikovým způsobem nebo zpracováváte množství citlivých údajů (resp. údaje spadající do zvláštní kategorie osobních údajů).
Proškolení zaměstnanců
Velice důležitým bodem je řádné a důkladné proškolení zaměstnanců. Takové proškolení se nemusí nutně omezovat jen na krizové situace úniku citlivých dat, ba právě naopak. Největších prohřešků právě v souvislosti s osobními údaji se zaměstnanci dopouštějí svou neopatrností v každodenních situacích, kdy například odloží dokumenty obsahující osobní údaje a nechají je bez dozoru přístupné lidem, kteří k nim přístup mít nemají.
Zvláštní zřetel je pak nutné brát na zaměstnance, kteří pracují přímo s klienty, kde je na místě mimořádně důkladné dodržování ochrany osobních údajů. Přestože mohou mít zaměstnanci mnohdy dojem, že jejich drobné přešlapy nikomu nevadí, a dokonce jim jejich práci urychlují, klienti nemusejí nutně vnímat tutéž situaci stejně pozitivně. Přestože pak řešením klienta, který byl svědkem takové situace, nemusí být nutně podání podnětu Úřadu pro ochranu osobních údajů, ale jistě může vést ke ztráta jeho důvěry. Jistým pomocníkem budou zaměstnavateli interní předpisy upravující nakládání s osobními údaji na pracovišti.
IT
Jelikož osobní údaje již dnes nejsou zpracovávány pouze v papírové formě, ale převážně ve formě digitální, je dobré též provést IT analýzu ohledně zabezpečení dat a zaměřit se též na bezpečnost používaných zařízení.
Na závěr lze snad jen popřát úspěšné zavedení potřebných regulí, pokud jste tak již neučinili.
Autor: CEE Attorneys, mezinárodní advokátní kancelář