15
máj
Lepšie neskoro ako nikdy. Túto vetu si rozhodne povedal už nejeden podnikateľ, ktorý si dáva s GDPR načas. Hoci nariadenie je v účinnosti už skoro 2 roky, rozhodne existujú ešte spoločnosti, ktoré sa GDPR nezaoberajú resp. zaoberajú, avšak robia veľké množstvo chýb pri spracúvaní osobných údajov, za ktoré môžu byť následne sankcionovaní.
Existuje veľa spôsobov ako začať chrániť osobné údaje klientov, zamestnancov či dodávateľov. Čo je najdôležitejšie, je samotný výsledok. Mnohé firmy už GDPR zavedené majú, avšak nesprávnym spôsobom a s veľkým množstvom chýb.
Tou najčastejšou chybou, ktorú spoločnosti robia, je predovšetkým mylná predstava, že GDPR sa nedotýka spoločnosti ako celku, ale iba niektorých jej jednotlivých častí. GDPR sa týka totižto každej osoby, ktorá s osobnými údajmi narába.
Správne zavedenie či organizácia GDPR sa dá rozdeliť do 3 základných fáz:
Analytická fáza
Pozostáva z interného auditu, ktorého súčasťou je identifikácia danej problematiky a jej rozsah, vytvorenie kompetentného tímu, analýza oddelení spoločnosti, spracovanie nadobudnutých informácií, tvorba záverečnej správy a jej predstavenie vedeniu spoločnosti (predovšetkým rizík a návrhov praktických opatrení).
Čo je predmetom interného auditu?
Zisťujú sa najmä nasledovné informácie:
druh spracúvaných osobných údajov
osoby pracujúce s osobnými údajmi
úložisko osobných údajov
spôsob spracúvania osobných údajov (výber právneho základu)
účel spracúvania osobných údajov
doba, na ktorú sa spracúvajú osobné údaje
archivácia osobných údajov
Praktická fáza
V tejto fáze je potrebné vykonať niekoľko organizačných krokov:
úprava noriem, procesov a potrebnej dokumentácie organizácie
vyškolenie zamestnancov pracujúcich s osobnými údajmi
vytvorenie dokumentácie k záznamom o činnostiach spracúvania osobných údajov
určenie miery potreby splnomocnenca osobných údajov pre spoločnosť
tvorba dostatočnej bezpečnosti osobných údajov, neustále hodnotenie možných rizík a príprava postupov pri vzniknutých poruchách v rámci ochrany osobných údajov
Ak náhodou nastane situácia, kedy dôjde k porušeniu ochrany osobných údajov, je povinnosťou spoločnosti túto skutočnosť oznámiť najneskôr do 72 hodín príslušnému orgánu, konkrétne Úradu pre ochranu osobných údajov. Vo výnimočných prípadoch je potreba túto skutočnosť oznámiť aj dotknutej fyzickej osobe.
príprava technických opatrení (napr. pseudonymizácia – osobné údaje fyzickej osoby označené číslom resp. kódom, ktoré sú zároveň vedené samostatne, mimo osobných údajov)
šifrovanie osobných údajov (transfer informácií do nečitateľnej podoby na základe šifry či kľúča)
Pri posledných dvoch bodoch však nejde o povinnosť vyplývajúcu z nariadenia o GDPR, ale o bezpečnostné prvky, ktoré zvyšujú úroveň zabezpečenia osobných údajov.
Realizačná fáza
V realizačnej fáze sa vyberá vhodné riešenie a jeho implementácia. Tu je dôležitá efektivita a dostatočná praktickosť prijatých opatrení, ktoré treba pravidelne overovať. Jedná sa najmä o pravidelné školenia zamestnancov, pretože práve ľudský faktor býva najväčším rizikom pri bezpečnosti ochrany osobných údajov.
Pri úspešnej eliminácií tohto rizika vedia spoločnosti ľahšie zvládnuť prechod na GDPR bez veľkej záťaže. Výsledkom je potom dostatočná ochrana osobných údajov či už pred vonkajšími alebo vnútornými vplyvmi.
Veríme, že tieto fázy budú dobrým pomocníkom pri organizácii GDPR. Ako základ v orientovaní sa prvotných krokov rozhodne pomôžu.