Praktický průvodce implementací GDPR ve firmě

Zjistěte, co obnáší implementace GDPR ve firmě a vyhněte se pokutám až 20 milionů eur.

1. Audit současného stavu 

Příprava na implementaci GDPR začíná důkladnou analýzou aktuálního stavu ve firmě. Prvním krokem je posoudit: 

• jaké osobní údaje zpracováváte, 
• za jakým účelem, 
• a kdo k nim má přístup. 

Je důležité identifikovat všechny systémy, procesy a datové toky včetně údajů o zaměstnancích, zákaznících a obchodních partnerech, které se týkají osobních údajů. 

Na základě této analýzy se stanoví procesy, ve kterých dochází ke zpracovávání osobních údajů. Mezi ně můžou patřit: 

• účetnictví, 
• kamerové systémy, 
• obchodní operace, 
• personální činnost, 
• a další. 

2. Úprava interní a externí dokumentace 

Zrevidujte a zaktualizujte interní směrnice, procesy, smlouvy a jiné dokumenty, které se týkají zpracovávání osobních údajů. To zahrnuje i smlouvy s externími partnery. Všechny dokumenty přizpůsobte tak, aby odpovídaly nařízení GDPR. Měli byste se tak řídit těmito hlavními zásadami: 

• Transparentnost, korektnost, zákonnost – při nakládání s osobními údaji musíte postupovat korektně, transparentně a vždy na základě alespoň jednoho právního odůvodnění. 
• Omezení účelu, rozsahu a doby uložení – osobní údaje můžou být zpracovávané jen pro legitimní účely, v přiměřeném rozsahu vzhledem k těmto účelům, a to pouze po nezbytně nutnou dobu.  
• Důvěrnost a integrita – osobní údaje musí být chráněné jak z procesního, tak technického hlediska. 

3. Zajištění ochrany osobních údajů 

Zaveďte technická a organizační opatření k ochraně osobních údajů. To zahrnuje například šifrování dat, zabezpečení přístupů a další opatření, která minimalizují riziko neoprávněného přístupu nebo úniku dat (jako například dostatečně zajištěná kybernetická bezpečnost, zálohování dat nebo technologie DLP). 

4. Zajištění práv subjektů údajů 

Nastavte procesy, které umožní subjektům údajů (fyzickým osobám, kterých se osobní údaje týkají) uplatňovat svá práva podle GDPR. To zahrnuje právo na: 

• přístup k osobním údajům, 
• opravu osobních údajů, 
• výmaz osobních údajů, 
• informace o shromažďování osobních údajích, 
• omezení zpracování, 
• přenositelnost údajů, 
• vznesení námitky. 

5. Vytvoření komplexního mechanismu odpovědnosti 

Zajistěte, aby byly veškeré procesy spojené se zpracováním osobních údajů řádně zdokumentované. To vám umožní kdykoliv dokázat, že plníte požadavky GDPR. Tento mechanismus odpovědnosti by měl zahrnovat pravidelné kontroly zabezpečení osobních údajů. 

6. Školení zaměstnanců 

Zajistěte, aby všichni zaměstnanci prošli proškolením v oblasti ochrany osobních údajů a byli si vědomí svých povinností v rámci této legislativy. 

7. Připravenost na incidenty 

Vypracujte plán pro případ porušení zabezpečení osobních údajů, včetně postupů pro rychlé hlášení, vyšetřování a řešení těchto situací. Jednou jste GDPR zavedli, tak máte navždy klid? Bohužel, ani omylem. Musíte nadále sledovat vývoj legislativy. 

Pokud ve vaší firmě neustanovíte pověřence pro ochranu osobních údajů, nevedete adekvátní záznamy o zpracování osobních údajů nebo nezajistíte dostatečné zabezpečení těchto údajů, můžete obdržet pokutu až 10 milionů eur nebo 2 % z celkového celosvětového ročního obratu společnosti (podle toho, která částka je vyšší). 

Ještě přísnější sankce, až 20 milionů eur nebo 4 % z celkového celosvětového ročního obratu, vám pak hrozí v případě nedodržení základních zásad zpracování osobních údajů, porušení práv subjektů údajů nebo při úniku dat, který vede k významnému riziku pro práva a svobody fyzických osob. 

Implementace GDPR ve firmě je komplikovaný a kvalifikačně náročný proces. Rozhodně je tak na místě obrátit se na tým odborníků, který se postará o analýzu i samotné zavedení nařízení GDPR a zabrání tak výše uvedeným vysokým pokutám.