Hlavně s rozumem
Jistě jste si také všimli, že aktuálně je na trhu nabídek přípravy na GDPR takové množství, že není jednoduché se zorientovat. Pokud uvažujete o výběru společnosti, která vám pomůže s přípravou na GDPR, pravděpodobně se snažíte mezi všemi nabídkami najít vhodného partnera. Pravdou je, že GDPR je zajímavý produkt, který zkouší zúročit více společností. Ovšem rozhodovat se mezi nimi jen na základě ceny není ideální. Rozhodující by měl být rozsah auditu či služby a také to, zda skutečně zohledňuje všechny důležité části jako celek – tedy oblasti práva, procesy i ICT infrastruktury – a ne pouze jednotlivé oblasti.
Důvod je jasný. Nelze úspěšně implementovat novou právní úpravu ochrany osobních údajů, aniž by všechny oblasti navazovaly. Tedy můžeme například nastavit právní či procesní záležitosti, jako je likvidace osobních údajů po určité lhůtě v rámci skartačního řádu, ale pokud nám to neumožní informační systém, je v takovém případě likvidace údajů dost ztížena, ne-li znemožněna. Ze zkušenosti také vyplývá, že pro optimální nastavení dokumentace a procesů je třeba znát nejen právní řád, ale i to, jak správně vyladit infrastrukturu ICT tak, aby splňovala požadavky na bezpečnost dat. Dalším aspektem je fakt, že nastavení procesů je pro každou společnost vždy trochu jiné. O ICT to platí ještě více, neboť technická infrastruktura zpravidla nebývá v každé společnosti či organizaci úplně stejná.
Není audit jako audit
Již známe, jak zhruba vypadá a jaké oblasti řeší audit GDPR. Pojďme se tedy zaměřit spíše na kvalitu.
Je dobré si skutečně dát pozor na to, co vám kdo nabízí. Správný přístup nebývá ten, že si společnost pořídí nějaký zaručeně skvělý GDPR produkt, který slibuje, že zákazník bude GDPR compliant. V první řadě je vždy třeba analyzovat (chcete-li, auditovat) procesy a infrastrukturu. Teprve potom lze říci, který konkrétní produkt vaše společnost potřebuje, což zní celkem logicky, nemyslíte?
Možná jste si již také všimli rozdílů mezi nabídkami advokátních kanceláří a IT společností. Obvykle zákazníka svádí si raději vybrat advokáty a „to IT již může dořešit náš ajťák“. Další variantou bývá, že se externím auditem vyřeší pouze technická část a do právní a procesní se zapojí advokát společnosti. Zde se opět setkáváme se stejným problémem, že služba není kompletní.
Součástí auditu by minimálně mělo být posouzení:
- Interních směrnic
- Souhlasů se zpracováním osobních údajů
- Smluv se zpracovateli osobních údajů z hlediska bezpečnosti
- Procesů a zavedených postupů práce s elektronickými a tištěnými daty
- Zabezpečení tištěných dokumentů
- Bezpečnosti elektronických dat a jejich ukládání
- Infrastruktury IT včetně klientských zařízení a vzdálených přístupů
- Fyzické bezpečnosti
- Dalších metodik
Následuje vypracování doporučení na základě zjištěných nedostatků a dále implementace buď vlastními silami ze strany zákazníka (správce), nebo s pomocí společnosti, která prováděla audit. Implementace právní a procesní části bývá zpravidla rychlejší než úpravy infrastruktury ICT. V tomto bodě je také vhodné zmínit, že vzhledem k rozhodovací pravomoci leží odpovědnost za implementaci navržených opatření, a tím i za míru souladu s GDPR, na správci osobních údajů. Doporučili bychom nechat si podrobněji vysvětlit, co všechno je součástí nabídky, aby bylo naprosto jasné, co zůstane nevyřešeno.
Který pověřenec (DPO) je ten pravý?
Pokud stojíte právě před touto otázkou a rozhodujete se, kdo pro vás má vykonávat funkci pověřence, je situace velice obdobná jako u auditů. Opět je vhodné se zamyslet nad tím, koho a proč přesně hledáte. Navíc odpovědností správce je, aby si vybral takového pověřence, který bude mít dostatečné kvality, aby danou funkci zastával adekvátně. Funkce pověřence mimo jiné spočívá v jeho dostupnosti. Dostupný pověřenec ale nebude ten, kdo bude současně řešit větší počet společností a bezpočet požadavků. Součástí jeho role je tolik činností, že je vhodné se také zamyslet nad tím, zda je všechny zastane v rámci nabízeného měsíčního paušálu.
Pár rad na závěr
Do účinnosti Nařízení zbývají necelé 2 měsíce, na co se tedy primárně zaměřit, případně jaké minimum je potřeba vyřešit?
Možná jste zaznamenali snahu našich ministerstev o alespoň částečnou pomoc tím, že na svých stránkách zveřejňují doporučení ohledně implementace GDPR pro jednotlivé obory. Jedná se zejména o školství, obce a nemocnice. Tyto dokumenty se vesměs shodují, že je vhodné začít u smluv se zpracovateli a souhlasy se zpracováním osobních údajů. Smlouvy je třeba upravit zejména z hlediska bezpečnosti dat a odpovědnosti. Pokud využíváte cloudové služby, je dobré se zaměřit zejména na ty, které mají svá datová úložiště v jiném evropském státě než v ČR, či dokonce jinde ve světě.
Souhlasy pak zpravidla nebývají v souladu s požadavky GDPR a velice často se také nechávají podepisovat tam, kde existuje jiný právní základ pro zpracování osobních údajů. Na toto je třeba si dát pozor, aby nedocházelo k mystifikaci subjektu údajů nebo k nadužívání souhlasů. V některých případech ani souhlas se zpracováním osobních údajů neopravňuje správce ke zpracovávání více osobních údajů, než je skutečně nutné pro splnění účelu.
V souvislosti s GDPR je také nutné zpracovat další dokumentaci, jako jsou záznamy o zpracování osobních údajů nebo posouzení vlivu na ochranu osobních údajů. Dosavadní dokumentace včetně procesů by měly projít aktualizací podle nových pravidel bezpečnosti vycházejících z Nařízení. Procesy je mimo jiné důležité nastavit tak, aby umožňovaly subjektům údajů vykonávat jejich práva. Sem patří i dostatečná informovanost subjektů údajů (tedy jak zaměstnanců, tak zákazníků) pro dodržení zásady transparentního zpracování.
Nelze opomenout ani fyzické a technické zabezpečení dat. Primárně je vhodné omezit přístupy k osobním údajům, a to jak fyzické, tak elektronické. V podstatě se jedná o to, aby zaměstnanci a případné další osoby (externí správa systémů, dodavatelé apod.) měli k dispozici pouze data, která potřebují ke své práci. Nastavení technického zabezpečení těchto dat by pak mělo odpovídat citlivosti zpracovatelských činností ve společnosti. Cílem GDPR je mimo jiné zabezpečení dat s přihlédnutím k aktuálnímu stavu technologií. Ze zkušenosti však vyplývá, že pro každou společnost bude toto nastavení ICT jinak náročné.
Mgr. Jana Čužnová, Auditor GDPR, DPO