Zavedení GDPR v podniku

Úvod

Nabízíme Vám komplexní, profesionální a nákladově efektivní audit ochrany osobních údajů, jehož cílem je identifikovat veškeré oblasti zpracování osobních údajů společnosti a posoudit soulad s novým nařízením. Díky tomu si budete moci být jistí, že v prostředí vaší společnosti z hlediska ochrany osobních údajů nezůstávají žádné nepokryté oblasti, které by představovaly skryté právní riziko.

Od projektu implementace nařízení GDPR ve Vaší společnosti můžete očekávat zejména revizi a úpravy vzorových dokumentů, procesů, IT systémů a compliance systému.

Představení realizačního týmu

Implementace GDPR je procesem komplikovaným, kvalifikačně náročným a zejména multioborovým, tj. zahrnuje a nutně vyžaduje úzkou spolupráci odborníků z oblasti právní, informačních technologií, a rovněž i oblasti manažerské.  Za tím účelem jsme spojili síly a vytvořili tým, který dokáže naplnit vaše očekávání a specifické požadavky při dosažení souladu vašeho podniku s nařízením GDPR.

Mgr. Vlastimil Šipl (www. aksipl.cz) působí v advokacii od roku 2007, přičemž kromě výkonu generální advokátní praxe se rovněž specializuje na právní odvětví ochrany osobních údajů.  Ve vztahu ke splnění specifických požadavků pro kompetenci definovanou právě Nařízením GDPR, získal příslušnou certifikaci, a to složením zkoušky certifikovaného profesionála v ochraně soukromí - Tayllorcox, splňující European e-Competence Framework (e-CF).  Jeho základním úkolem v rámci procesu implementace GDPR je komplexní zajištění právního rámce projektu, úprava interní dokumentace (směrnice, vnitřní řády, archivace, skartační plány, aj.), externí dokumentace (souhlasy, smlouvy o zpracování aj.), stanovení zásad zpracování osobních údajů dle článku 5 GDPR (zákonnost, transparentnost, stanovení legitimních účelů zpracování aj.).

Pražská znalecká kancelář, s.r.o. je znaleckým ústavem zapsaným Ministerstvem spravedlnosti ČR, disponujícím širokým rozsahem znaleckého oprávnění pro obor ekonomika a kybernetika. V oboru kybernetika se ústav zaměřuje na oblasti informačních systémů, HW a SW – informačních systémů firem a informačních a komunikačních technologií. V rámci ústavu působí přední odborníci Vít Lidinský, soudní znalec, školitel GDPR, certifikace EU GDPR PDPF, RESILIA Foundation, ISO 27001 Lead Auditor, Jiří Johanis, specialista bezpečnosti, certifikace Lead Auditor ISO 27001, GDPR DPO , David Mašín, specialista architektury, certifikace GDPR DPO, Alexandr Vasilenko, specialista sítě, specialista ICT bezpečnosti.

Obecné informace k nařízení GDPR:

Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (odtud zkratka „GDPR“), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018. České republice nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním smyslem tohoto předpisu je vyšší harmonizace úpravy ochrany osobních údajů a posílení práv subjektů údajů, a tedy i kvalitnější kontrola nakládání s osobními daty lidí. Rovněž dochází k přesnějšímu stanovení povinností správců a zvýšení sankcí za jejich porušení.

Práva subjektů údajů:

GDPR výrazně posiluje práva fyzických osob neboli subjektů údajů. Mezi tato práva patří zejména právo na přístup, opravu, výmaz, právo na omezení zpracování, přenositelnost údajů a právo vznést námitku. Každý subjekt údajů má právo ke všem údajům, které má o něm k dispozici podnik, který zpracovává osobní údaje, tzn. i k nestrukturovaným údajům, které mohou tvořit přílohy e-mailů, nebo které jsou uloženy na různých interních a externích úložištích.

Subjekty údajů mají právo na přístup, tedy možnost ověřit si zákonnost zpracování jejich údajů. Toto právo lze omezit v zájmu národní nebo veřejné bezpečnosti, obrany a soudních řízení. Subjekty údajů mohou získat přístup k informacím o svém zdravotním stavu, k údajům ve své zdravotní dokumentaci.

GDPR také obsahuje právo být informován o tom, za jakým účelem se osobní údaje dané osoby zpracovávají nebo na jak dlouhou dobu jsou uchovávány, nemělo by se to ovšem dotknout obchodního tajemství nebo duševního vlastnictví.

V případě, že jsou uvedeny nesprávné údaje, může osoba, jejíchž údajů se to týká, požádat společnost, která tyto údaje zpracovává, ať je napraví. Společnost zpracovávající údaje by měla umožnit podávat žádosti o nápravu nesprávných údajů online.

Nově mají osoby právo na to, aby podnik zpracovávající jejich osobní údaje, tyto údaje vymazal. Právo na výmaz (právo být zapomenut), je upraveno v článku 17 GDPR. Aby se údaje mohly vymazat, musí být splněna jedna z těchto podmínek:

  1. Osobní údaje již nejsou potřebné pro účel, pro který byly zpracovávány.
  2. Dojde k odvolání souhlasu, pokud je zpracovávání založeno na souhlasu a není jiný právní důvod pro zpracování těchto osobních údajů.
  3. Byla vznesena námitka proti zpracování.
  4. Osobní údaje jsou zpracovávány protiprávně.
  5. Rodiče nedaly souhlas se zpracováním osobních údajů svých dětí.

Pokud osoba nemá právo na výmaz, může vznést námitku. Správce, který zpracovává předmětné osobní údaje, potom musí omezit zpracování.

Dopad GDPR na SME (malé a střední podniky)

GDPR, až na malé výjimky, nejde a priori cestou úlev pro malé a střední podniky, nýbrž rozsah povinností definuje podle parametrů prováděného zpracování. I SME mohou provádět riziková a rozsáhlá zpracování, a proto by měly splňovat přísné nároky. Pro rozsah povinností tedy není důležitý počet zaměstnanců ani velikost podniku, ale rizikovost a rozsah zpracování, které podnik provádí.

Všichni správci musí dodržovat zásady zpracování osobních údajů uvedené v článku 5 GDPR. Osobní údaje musí být zpracovány korektně a zákonným transparentním způsobem, pro určitý výslovně uvedený a legitimní účel. Mělo by být shromažďováno co nejméně údajů, které jsou nezbytné pro dosažení účelu. Zpracovatel musí osobní údaje zpracovat tak, aby byly náležitě zabezpečeny, chráněny pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním. Základním požadavkem zpracování je jeho zákonnost, která vyplývá předně ze souhlasu subjektu údajů se zpracováním, podnik má pak podle článku 7 povinnost tento souhlas na vyžádání doložit (subjekt ovšem neztrácí právo tento souhlas vzít kdykoliv zpět). Dále může podnik zpracovávat osobní údaje, pokud je to nezbytné pro splnění právní povinnosti nebo je to např. nezbytné pro ochranu životně důležitých zájmů subjektu údajů.

Nyní platná směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato obecná ohlašovací povinnost byla nařízením zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměří na postupy zpracování, jež mohou představovat vysoké riziko pro práva a svobody občanů.

Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti účelů a v umožnění přístupu občanů k jejich údajům. Pseudonymizace znamená takové zpracování, při němž už nelze ke konkrétnímu člověku přiřadit jeho osobní údaje bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny, aby k původním údajům nemohly být opět přiřazeny.

Podnik si musí podle článku 30 vést záznamy o činnostech zpracování, za něž odpovídá. Každý správce a zpracovatel má povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohla být tato zpracování monitorováno.

Tyto záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření

Výjimku z povinnosti vést záznamy mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a neexistuje u nich žádné riziko, které by ohrožovalo práva subjektů údajů, tyto organizace citlivé údaje nezpracovávají nebo se osobní údaje týkají rozsudků v trestních věcech.

Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 GDPR nahlášeno bez zbytečného odkladu (tj. do 72 hodin) dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pokud zpracovatel zjistí porušení zabezpečení, ohlásí takovou skutečnost neprodleně správci. Pokud jsou práva subjektů ohrožena vysokým rizikem, musí to správce subjektu oznámit.

Pokud jsou při zpracování rozsáhlým způsobem ohrožena práva a svobody fyzických osob, musí správce vypracovat posudek vlivu na ochranu osobních údajů, v angličtině DPIA, neboli Data Protection Impact Assessment. Posouzení vlivu na ochranu osobních údaj upravuje článek 35 GDPR. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, nemocnic, bezpečnostních agentur, (zdravotních) pojišťoven nebo leasingových či jiných finančních institucí. Algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby.

Dále, posouzení vlivu na ochranu osobních údajů, budou muset vypracovat společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu.

Správce nebo zpracovatel má povinnost podle článku 37 GDPR jmenovat pověřence pro ochranu osobních údajů. Musí tak učinit ve třech případech.

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v takových operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Postupy implementace

Implementaci GDPR by podnik neměl podceňovat. Doba potřebná pro přípravu GDPR se může pohybovat v rozmezí od 2 do 24 měsíců, u malých a středních podniků je tato doba kratší – od 2 do 12 měsíců. Implementaci můžeme rozdělit do 3 základních fází:

  1. mapování a rozdílová (GAP) analýza;
  2. dopadová analýza; a
  3. vlastní implementace GDPR.

Mapování a rozdílová (GAP) analýza

Nejprve podnik musí posoudit, jaké informace zpracovává a jak splňuje v současnosti požadavky dle GDPR. Následně se bude posuzovat, jak podnik splňuje právní a technické požadavky GDPR. Nesoulad se předpokládá tam, kde GDPR zavádí nové povinnosti (např. při povinnosti jmenování pověřence).

Dopadová analýza

Poté se musí analyzovat dopady, které změny vyvolané nutností zajištění souladu přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. V rámci dopadové analýzy by měly malé a střední podniky zhodnotit, zda a v jakém rozsahu se jich bude týkat jediná relevantní výjimka (právě pro malé a střední podniky) z povinnosti vést záznamy o činnosti zpracování podle čl. 30 GDPR. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, tyto organizace nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Je třeba také celkově posoudit rizika konkrétního zpracování. Je to důležité pro zvolení takových opatření k zajištění souladu, která jsou vzhledem k úrovni rizika potřeba, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Musí se také zjistit riziko zpracování např. při posouzení oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, posouzení slučitelnosti účelů dle čl. 6 odst. 4 GDPR, splnění požadavků dle čl. 25 GDPR atd. Dále je nezbytné posoudit bezpečnostní rizika podle čl. 32 GDPR a je namístě navrhnout vhodná technická a organizační opatření k zajištění integrity a bezpečnosti zpracování. Dále se pak nelze vyhnout nutnosti posoudit, jestli má podnik povinnost jmenovat pověřence pro ochranu osobních údajů. U malých a středních podniků k tomu nebude často docházet. Pokud podnik dojde k závěru, že musí pověřence jmenovat, měl by tak učinit ještě před zahájením samotné implementace navržených kroků z dopadové analýzy. Pověřenec tak bude moci dát podniku kvalifikované stanovisko k tomu, jestli jsou navrhovaná opatření dostatečná, či nikoliv.

Implementace GDPR

  1. Mělo by dojít k úpravě externí dokumentace. Měly by se upravit souhlasy se zpracováním, obchodní podmínky, podmínky ochrany osobních údajů, zpracovatelské smlouvy apod.
  2. Je třeba upravit interní dokumentace jako např. vnitřní předpisy a jinou dokumentaci určenou zaměstnancům, vytvořit koncepci ochrany osobních údajů, podle potřeby provést a zdokumentovat různá posouzení.
  3. Dále je vhodné upravit procesy zpracování osobních údajů, a to jak uvnitř společnosti, tak navenek.
  4. Nelze se vyhnout ani úpravě informačních systémů. Aby byl správce schopen plnit povinnosti podle GDPR, pak musí mít pořádek v datech.
  5. Musí být vytvořen plán pro případ porušení zabezpečení osobních údajů. Musí se vytvořit procesy interního reportování, vyšetřování a mírnění důsledků porušení zabezpečení.
  6. Správce se musí připravit na výkon práv subjektů údajů. Musí se zavést nutná organizační a technická opatření k tomu, aby byl subjektům údajů umožněn a usnadňován výkon jejich práv.
  7. Správce se také neobejde bez vytvoření komplexního accountability mechanismu. Procesy správce by měly automaticky generovat potřebnou dokumentaci, která se uchovává. Správce je totiž povinen vždy být schopen prokázat soulad s GDPR. Proto je důležité, aby byla veškerá zpracování podrobně a přehledně dokumentována.
  8. Správce musí implementovat zásady záměrné a standardní ochrany osobních údajů. Musí se zavést technická a organizační opatření k zajištění naplňování základních zásad zpracování.

Pokuty a sankce

Úřad pro ochranu osobních údajů ukládá pokuty za porušení GDPR. Ukládání správních pokut je vymezeno v článku 83 GDPR. Pokuty mají být účinné, přiměřené a odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu. Zhodnotí se např., zda k porušení došlo úmyslně nebo z nedbalosti, jak dlouho porušení trvalo nebo jak bylo závažné. Při méně závažném porušení hrozí pokuta až do výše 10 000 000 euro nebo do výše 2 % z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším porušení hrozí pokuta až do výše 20 000 000 euro nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti za předchozí finanční rok. Hodnota pokuty bude stanovena jako vyšší z obou možností. Za závažnější porušení zpracování osobních údajů se považuje např. porušení základních zásad pro zpracování.

 

ETAPA 1

MAPOVÁNÍ STÁVAJÍCÍCH ZPRACOVÁNÍ

získání informací o zpracováních, a to zejména prostřednictvím dotazníků

v této etapě zajistíme mapování jednotlivých procesů, datových toků a zpracování probíhajících v rámci vaší organizace tak, aby bylo možno realizovat následující etapy. Provedeme též identifikaci účelů, pro které budou jednotlivá zpracování prováděna, a posouzení právních základů pro tato zpracování. Dále s  vaší pomocí definujeme potřebnou archivační dobu jednotlivých datasetů nebo agend osobních údajů a informace o tom, zda daný datový set může být předmětem práva na přenositelnost nebo námitku.

ETAPA 2

GAP ANALÝZA A DOPADOVÁ ANALÝZA

analýza souladu s GDPR, identifikace dopadů a variant řešení

zde posoudíme soulad vašich jednotlivých aktivit s GDPR a kde to bude relevantní, též s návrhem nařízení ePrivacy. Tam, kde identifikujeme nesoulad, identifikujeme rovněž dopady a navrhneme řešení (úprava dokumentu, dodatečné informování, návrh procesních a IT opatření). Výstupy této etapy Vám osobně představíme a společně navrhneme nejvhodnější způsob řešení indikovaných požadavků.

ETAPA 3

PŘÍPRAVA IMPLEMENTACE ZMĚN

v této etapě budou připraveny a implementovány odsouhlasené změny vzorových interních a externích dokumentů. I zde Vám veškeré výstupy představíme a případně upravíme dle vašich připomínek. V závěru etapy porovnáme přehled doporučovaných opatření s rozsahem implementace a vyslovíme závěr o míře souladu vaší organizace s vybranou legislativou. Nad rámec výše uvedeného vám nabízíme také součinnost při posuzování dalších otázek souvisejících s implementací GDPR, a to dle Vašich konkrétních požadavků. Detailní popis jednotlivých etap uvádíme níže.

ETAPA 1

Etapa 1 - Mapování stávajících zpracování
   
Plánované kroky
  • Identifikace a zmapování procesů relevantních z oblasti ochrany osobních údajů technickým poradcem (příprava mapovacích dotazníků, jejich představení klientovi, osobní pohovory s klíčovými pracovníky, vyplňování dotazníků za součinnosti klienta, verifikace závěrů s klientem, finalizace zjištění), identifikace a zmapování informačních systémů podporujících procesy zpracování.
  • Identifikace účelů, pro které budou jednotlivá zpracování prováděna, a posouzení právních základů pro tato zpracování a dalších nezbytných informací.
Základní součinnost klienta
  • V této etapě bude vyžadována vyšší míra součinnosti klienta, která je nezbytná jak pro realizaci etapy, tak pro získání správných podkladů pro realizaci etap následujících.
  • Součinnost bude spočívat ve spolupráci s určenými klíčovými pracovníky, kteří budou poskytovat součinnost při identifikaci účelů zpracování, posuzování právních základů pro tato zpracování a stanovení archivačních lhůt.
  • Součinnosti bude spočívat i ve verifikaci závěrů z mapovacích workshopů a dotazníků a ve verifikaci provedeného mapování (tak, aby předmětem dalších fází byl Vámi odsouhlasený skutkový stav).
  • Součinnost bude spočívat i v identifikaci a zpřístupnění vzorové písemné dokumentace, která souvisí se zpracováními klienta a jejíž posouzení bude součástí zadání (vzorové souhlasy, informační dokumenty vůči subjektům údajů – privacy policies, interní směrnice, metodiky, zpracovatelské smlouvy, smlouvy o předání osobních údajů apod.).
Výstupy Popis účelů zpracování a právních základů zpracování, možnost identifikace práva na přenositelnosti a námitku, specifikace archivní doby datasetů (ve strukturované formě).

UKÁZKA VÝSTUPU ETAPY 1 – MAPOVÁNÍ OSOBNÍCH ÚDAJŮ DLE JEDNOTLIVÝCH ZPRACOVÁNÍ

ETAPA 2

Etapa 2 - GAP analýza a dopadová analýza
   
Plánované kroky

Posouzení informací zjištěných v rámci předchozí etapy a uvedení zjištěných nedostatků a návrhů jejich řešení.

  • Verifikace zjištěných nedostatků, dopadů a návrhů řešení a individuální vyjasňování a doplňování výstupu.
  • Finalizace zjištěných nedostatků, dopadů a návrhů řešení.

Představení zjištěných nedostatků, dopadů a návrhů řešení, představení dalšího postupu projektu klientovi a diskuse s klientem o vhodných způsobech realizace změn a rozsahu realizovaných změn v průběhu workshopu.
Základní součinnost klienta V této etapě bude vyžadována nižší míra součinnosti klienta, která bude spočívat zejména v poskytování odpovědí na dotazy, konzultacích, upřesňování zjištění a verifikaci našich závěrů.
Výstupy Právní analýza dopadů GDPR na činnost klienta (ve strukturované formě).

UKÁZKY VÝSTUPU ETAPY 2 – GAP ANALÝZA

 

ETAPA 3

Etapa 3 – Příprava a implementace změn
   
Plánované kroky

 

  • Dosažení shody na rozsahu realizovaných změn a zvolené variantě realizace změn v rámci workshopu s klientem.
  • Příprava prvních verzí vzorových dokumentů a procesů.
  • Diskuse o prvních verzích vzorových dokumentů a procesů v rámci workshopu s klientem, sběr připomínek.
  • Finalizace vzorových dokumentů a procesů.
  • Představení vzorových dokumentů a procesů v rámci workshopu s klientem.
  • Pilotní podpora procesů (dle požadavků klienta).
  • Seznam bezpečnostních opatření a způsobu jejich technického provedení v rámci ICT klienta
  • Návrh provedení architektonických změn
  • Návrh funkčních změn informačních systémů klienta
  • Školení pracovníků
Základní součinnost klienta V této etapě bude vyžadována součinnost klienta spočívající zejména ve sdělení požadavků klienta na rozsah změn a jejich konkrétní varianty a v konzultaci připravovaných změn vzorových dokumentů. Implementace změn ve veškeré další dokumentaci dle připravených vzorů navrhujeme řešit interně, s případnou metodickou podporou ze strany právního poradce.
Výstupy

Změněné a doplněné vzorové dokumenty, a to dle požadavků klienta.

Rámec pro DPO (analýza potřebnosti, zařazení, definice činnosti příslušného útvaru/odboru).

Věříme, že vás výše uvedená nabídka zaujala. Neváhejte nás proto kontaktovat, rádi pro vás připravíme konkrétní cenový rámec, bez ohledu na to, zda jste velkou firmou, obcí, nemocnicí, středním či malým podnikatelem.

Chci pomoct se zavedením