Zájem o problematiku ochrany osobních údajů roste s velikostí firmy. GDPR se však dotkne každého, kdo zpracovává a eviduje osobní údaje fyzických osob, tedy nejen velkých firem, ale i firem menších nebo dokonce také živnostníků. Jasné priority a zaměření na klíčové úkony Řada firem, i když byla zahlcena informacemi o blížícím se GDPR, se nestihla na příchod nového nařízení plně nachystat. Některé mají dokonce celou implementaci stále před sebou, i když žádné další přechodné období na přípravu nebude. Slabou útěchou může být, že připravenost firem v ostatních zemích Evropské unie není o nic lepší. Ti, kteří přípravu na GDPR zanedbávali, by si měli stanovit priority a soustředit se na klíčové úkony. Firmy by se neměly snažit vytvořit systém, který bude plně automaticky funkční, ale alespoň pokrýt základní požadavky nového nařízení. Nepodceňovat rozsah implementace GDPR Implementace GDPR do systému společnosti je rozsáhlou záležitostí na úrovni zavádění systému managementu, jako je např. ISO 9001. Firmy musejí řešit tuto implementaci s ohledem na již zavedené informační systémy a zpracovávané osobní údaje. GDPR navíc vyžaduje součinnost mezi jednotlivými články ve společnosti a kombinaci právního, IT a procesního pohledu. Základem je zjistit, jak funguje současný systém zpracování osobních dat, a provést jejich analýzu. Pokrýt by se měly všechny oblasti byznysu, ve kterých se pracuje s osobními údaji. Jasné oblasti jsou personalistika, seznamy dodavatelů a odběratelů. Zapojit do procesu analýzy by se měla ale všechna oddělení bez rozdílu. Nejčastěji se společnosti v první fázi zaměří na zaměstnance – osobní spisy a procesy související se zpracováním osobních údajů. Častým tématem k řešení je uchovávání životopisů neúspěšných uchazečů o zaměstnání. Další skupinou jsou údaje zákazníků – ne vždy jsou veškeré údaje, které firmy o svých zákaznících evidují, v souladu se sjednanými zakázkami. Řeší se například užívání rodných čísel, úprava souhlasů se zpracováním osobních údajů, nedostatečná informovanost subjektů údajů, neohraničená doba uložení osobních údajů, evidování dat narození rodinných příslušníků zákazníků atd. I na dodavatele je potřeba se podívat optikou osobních údajů – pokud předáváte osobní údaje vašich zákazníků či zaměstnanců, měli byste mít uzavřenou smlouvu o zpracování osobních údajů. Klasickým příkladem dodavatele je externí mzdová účetní nebo externí IT společnost. Ne všechny případy jsou takto zřejmé. Mnohdy jsou složité vazby i v rámci skupiny podniků. Určit, zda se jedná o vztah správce–zpracovatel, bývá často oříšek. Pokud vaše firma nemá povinnost DPO mít, přesto pověřte určitou osobu či oddělení ve firmě, které budou mít nová nařízení ohledně správy osobních údajů na starosti. Neznamená to ale, že jedna osoba zavede celý systém pro zpracování osobních údajů sama. Zavedení GDPR s sebou nese určité náklady nejen finanční, ale také v podobě lidských zdrojů. Při zavádění souladu vzniká celá řada dokumentace. Nemalá část potřebuje právní konzultaci (např. správné znění souhlasu, poučení o zpracování osobních údajů atd.). Obecné konzultace ve fázi implementace jsou často nevyhnutelným krokem, ať už z hlediska právního, IT, nebo procesní oblasti. Bez povšimnutí by neměla zůstat ani data, která se nacházejí mimo IT systémy, například excelové soubory na plochách počítačů. Dobrou praxí je vyzkoušet si různé situace, ke kterým v budoucnosti může dojít. Nově především s právy, která mají subjekty údajů, nebo scénáře pro únik dat. Pozor na informovanost zaměstnanců Častým nedostatkem u menších a středních firem bývá informovanost zaměstnanců. GDPR musí chápat ve firmě všichni, nejen ti, kteří jej zaváděli nebo jej mají na starosti. Zaměstnanci jsou klíčovým faktorem, aby nově zavedené postupy fungovaly a data byla spravována správně. Proto nezapomeňte na svoje interní ani externí zaměstnance. Vnitřní postupy, jak spravovat práva subjektů údajů a jak na ně reagovat, jsou základ. Změna uvažování o osobních údajích s sebou nese i některá bolavá místa. Tím jsou bezesporu IT systémy, neboť původně nebyly tvořeny s ohledem na existenci GDPR. Dobrou zprávou je, že s postupem času se výklad jednotlivých článků a řešených oblastí vyjasňuje. Přispívají k tomu interpretační vodítka vytvořená pracovní skupinou WP29, která se zabývá praktickým výkladem obsahu na ř ízení; výklady Úřadu na ochranu osobních údajů, ale i získané zkušenosti osob zabývajících se implementací požadavků nařízení ve firmách. Výklady stále přibývají a nyní můžete na zprvu velmi nejednoznačné body najít již velmi konkrétní odpovědi. Neexistuje jednotná metodika pro přípravu na implementaci požadavků nařízení do života a procesů firem. I když se velká většina otázek ohledně konkrétních kroků pro zavedení souladu s GDPR vyjasni la, je svým způsobem zavedení dodržování pravidel GDPR v každé firmě jedinečné. Ať chceme nebo ne, zavedením požadavků GDPR aktivity v této oblasti pro firmy nekončí. Nová pravidla se odrazí v každodenním fungování podniku. Vždy je dobré mít na paměti zásady zpracování osobních údajů, které je vhodné aplikovat do každodenního života firmy. V podstatě definují základní praktiky, které je dobré při běžné práci s osobními údaji dodržovat. V článcích GDPR existují jasné vazby na jednotlivé zásady zpracování osobních údajů. Shrnout bychom to mohli tím, že v podstatě se GDPR nikdo nevyhne. Proto přistupte k povinnostem vycházejícím z nového nařízení hlavně pozitivně. Eva Kolářová, TÜV SÜD Czech
