GDPR: Již včera bylo pozdě aneb Co je to za novoty

Můžeme tedy říci, že pokud máme tuto problematiku v současnosti dobře zpracovanou, není pro nás nařízení GDPR nijak revoluční. Nicméně ruku na srdce, kdo má splněné veškeré povinnosti plynoucímu ze zák.č. 101/2000 Sb., v platném znění?

Pokud chceme plnit své povinnosti a neriskovat tím značnou pokutu, žalobu od subjektů údajů, ztrátu důvěry či reputace, je nutné začít se pečlivě připravovat na příchod tohoto nového nařízení. Pokuta za nedodržení nařízení se může vyšplhat do maximální výše 20 Mio EUR, nebo 4% z celkového ročního obratu, a to opravdu není nikterak zanedbatelná částka. To platí i za předpokladu, že na poprvé nebude ukládána sankce v plné možné výši.

Co je nutné si připravit

V prvé řadě je nutno se s daným nařízením seznámit a uvědomit si, co je to osobní údaj, kdo je jejich správcem a kdo zpracovatelem. Jakmile si toto ujasníme, můžeme přistoupit k jednotlivým krokům.

Jako první bychom si měli provést analýzu současného stavu, která je mnohdy označována jako datový audit. Prakticky tak zjistíme, jaké osobní údaje zpracováváme, kde je máme uložené, z jakého důvodu je máme, kdo s nimi nakládá a komu je zpřístupňujeme. Je nutné si uvědomit účel jejich zpracování a na základě takto stanoveného účelu dále zkontrolovat, zda osobní údaje zpracováváme oprávněně či nikoliv.

Jako další krok bychom měli provést rozdílovou analýzu a tím zjistit, jaké povinnosti plníme řádně a které nikoliv. Na základě této analýzy je nutné stanovit z ní plynoucí potřeby, které je nutno řešit.

Z právního hlediska je také obzvláště nutné provést kontrolu veškeré smluvní agendy. Podstatné je si zkontrolovat zejména vnitřní směrnice řešící nakládání s osobními údaji, hlášení úniků osobních dat, jakož i kontrolu získaných souhlasů od subjektů osobních údajů. Nutno též myslet i na zásadu minimalizace osobních údajů, tzn. aby správce osobních údajů nevyžadoval více osobních údajů, než je nutné pro splnění jeho konkrétních účelů.

Dalším úkolem pak jest zpracování analýzy rizik, tedy stanovení výše rizika při úniku osobních údajů a na to konto nastavení jednotlivých technických opatření.

Na některé správce pak dopadají další povinnosti jako zpracování posouzení vlivu na ochranu osobních údajů, zpracování záznamů o činnostech zpracování, příp. jmenování pověřence pro ochranu osobních údajů, pokud tak GDPR stanoví.

Ruku v ruce tomuto postupu pak musí jít i praktické úkony, tj. technické zajištění povinností plynoucí z daného nařízení, tzv. implementace.

Řešíte GDPR ve vaší společnosti a potřebujete s tím pomoc?

Napište nám

Článek redakčně upravila Nela Drunecká.