Nakládání s údaji podle GDPR

Ať jste živnostník, šéf malé firmy o deseti zaměstnancích nebo ředitel českého zastoupení Coca-Coly, těžko se tomuto kroku vyhnete. Potřebujete zjistit, s jakými daty ve firmě vůbec pracujete. To, co vám roky přišlo v denním provozu jako padesátá položka v seznamu věcí, které musíte udělat, rázem mění pozici. Údaje o zaměstnancích, seznamy klientů v tabulkách, fakturační údaje, sofistikované CRM systémy, archivy, mailingové systémy… To vše budete muset řešit. Stejně tak to, jak a k čemu je používáte, nakolik jsou relevantní pro váš byznys, jak je ošetřujete a chráníte.

Jsem živnostník, podnikatel s několika zaměstnanci

Osobní údaje zpracovávám jen na základě zákonných povinností: vedení fakturačních údajů a smlouvy se zaměstnanci, seznamy zákazníků s kalendářem (kadeřnictví, instalatéři, topenáři). Nyní musí být údaje chráněné heslem, pokud je vedu v papírové podobě, musím zamknout šuplík.

Osobní údaje mám, uchovávám, ale dál nezpracovávám: např. telefon, jméno, dál s nimi nic nedělám. Údaje musí být chráněné heslem.

Osobní údaje mám, zpracovávám, nikomu nepředávám: mám databázi klientů, volám jim, nabídky, akce (nová kosmetika, prohlídka komína), provozuji web nebo e-shop bez registrace (dodací list, objednávka), nevedu marketingové kampaně s oslovením konkrétních klientů. Musím zpracovat dodatky k obchodním podmínkám, že s osobními daty nakládám dle zákona, vytvořím etický kodex nebo aspoň garanci nakládání s osobními údaji.

Provozuji web či e-shop bez vytvoření profilu s osobními údaji

Jsem šéf malé nebo střední firmy (oficiálně do 250 zaměstnanců)

• 1. Ve firmě zpracováváme osobní údaje v softwarech s cloudovým systémem.
• 2. Jsme aktivní v marketingových kampaních.
• 3. Řešíme externí zpracovatele a dodavatele (grafika, účetnictví, doprava atd.).

Zde musíme zvolit pečlivý přístup, hrozí reálné zneužití dat. Necháme si zpracovat analýzu dat, jaká všechna možná data máme, jak s nimi nakládáme, kde a jak je uchováváme, jaká je míra jejich zabezpečení a kdo k nim má přístup.

Pak následuje další krok. Návrh úpravy vnitřních procesů firmy může nabídnout jedno řešení pro všechny oblasti a jasně rozdělí role podle zodpovědnosti: správce, který má danou oblast na starost, další zodpovědní lidé podle úrovně přístupů, dodavatelé a zpracovatelé, kteří plní zadání, ale s daty nesmí pracovat. To řeší dodatky smluv s třetími stranami (tzv. DPA).

Máme analýzu, přichystané úpravy, takže se můžeme pustit do díla. Z výše uvedeného je jasné, že musíte konkrétně přenastavit některé firemní procesy. Připravte se na to, že vás čekají úpravy smluv s dodavateli, odběrateli i některými zaměstnanci. Určitě dojde i na webové stránky a sociální sítě. To vše musíte pojmenovat a vtělit do firemních předpisů a etického kodexu.

S novými systémy seznámíme manažery i zaměstnance, vysvětlíme kompetence a odpovědnost jednotlivých lidí, prověříme nastavení a procesy, zda fungují podle našich představ a plánovaných úprav. Pokud jsme neodbyli fáze přípravy, nyní nám všechno běží (nejlépe v cloudovém řešení) v jednom propojeném systému, který dokáže řešit např. HR, fakturace, CRM, správu databází, mailing a další.

Jsem šéf střední nebo větší firmy, která zpracovává velké množství osobních dat

• 1. Zpracováváme obrovské množství osobních údajů – osobní údaje od více než 50 000 osob.
• 2. Nakládáme s citlivými údaji zaměstnanců (náboženství, sociální a zdravotní omezení, zdravotní kontroly, politická příslušnost).
• 3. Nakládáme s biometrickými údaji (otisk prstů a fotografie a podpis dohromady či zdravotní dokumentace).

Řídíme se stejnými body jako v případě malé a střední firmy. Protože ale pracujeme s velmi citlivými údaji v režimu jejich vysokého ohrožení, musíme navíc splnit ještě tyto body:

• a) K řešení problematiky musíme podle legislativy přizvat ještě právníka.
• b) Naše řešení konzultujeme s Úřadem pro ochranu osobních údajů (UOOU).
• c) Musíme zřídit pozici odborně zdatného pověřence pro ochranu osobních údajů, který procesy řídí (tzv. Data Protection Officer – DPO).
• d) Pokud pracujeme s daty i mimo země EU, konzultujeme s DPO, UOOU i právníky.

Jsem šéfem velké, případně nadnárodní firmy, která pracuje s databázemi citlivých dat

• 1. Hodnotíme bonitu fyzických osob, včetně profilování a předpovědi.
• 2. Máme na starosti automatizované rozhodování s právním nebo obdobným významným účinkem na základě veřejně dostupných informací.
• 3. Systematicky monitorujeme.
• 4. Pracujeme s citlivými údaji velkého rozsahu.
• 5. Propojujeme a kombinujeme data z různých databází.
• 6. Zpracováváme údaje týkající se zranitelných subjektů.
• 7. Využíváme data k inovativním technologickým či organizačním řešením a aplikacím.

Zde platí vše, co v předchozím příkladu, ale je jasné, že bude zapotřebí už individuální řešení na klíč.