Jak se připravit na GDPR?

Už jste se začali připravovat? Zde je několik tipů, abyste na nic nezapomněli.

Co je GDPR a pro koho je určeno?

GDPR je nové nařízení EU o ochraně osobních údajů. Upravuje způsob, jakým společnosti nakládají s osobními údaji všech občanů EU. GDPR nahrazuje směrnici o ochraně osobních údajů 95/94/ES.

Obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na všechny společnosti, organizace nebo jednotlivce, kteří uchovávají nebo zpracovávají osobní a citlivé údaje o svých zaměstnancích, zákaznících nebo dodavatelích. Bude se vztahovat i na ty, kteří analyzují chování uživatelů na webových stránkách.

Pokuty

Výše pokut bude samozřejmě záviset na závažnosti porušení. Podle nařízení však mohou pokuty dosáhnout až 20 milionů eur nebo 4 % ročního obratu společnosti (podle toho, která částka je vyšší).

Co se považuje za osobní údaje?

Osobní údaje jsou informace, které mohou přímo či nepřímo identifikovat konkrétní osobu.

Osobními údaji mohou být například jméno, adresa, e-mailová adresa, fotografie, IP adresa nebo ID mobilního telefonu. Podle GDPR musí být každé zpracování osobních údajů zákonné, korektní a na požádání dostupné každé osobě, jejíž údaje jsou zpracovávány.

Co byste měli mít na paměti, když se blíží GDPR?

1. Proveďte plán hodnocení rizik a zkontrolujte, jak dnes ukládáte a zpracováváte osobní údaje. Důležité otázky, na které je třeba odpovědět: Kde jsou osobní údaje uloženy? Na interních serverech, v mobilních zařízeních, v cloudu, v e-mailech nebo aplikacích, které používáte? S jakým zabezpečením dat se dnes setkáváte? Kdo má přístup k vašim osobním údajům.
2. Zmapujte, jak shromažďujete, zpracováváte a ukládáte osobní údaje. Možná by bylo dobré vytvořit si myšlenkovou mapu, abyste zjistili, jak se osobní údaje pohybují mezi různými systémy a zda tyto systémy splňují požadavky GDPR na správu dat.
   
   
3. Zkontrolujte, kde fyzicky ukládáte tištěné dokumenty, a předejděte riziku, že se dostanou do nesprávných rukou. GDPR se přece vztahuje na online i offline, a tedy i na papírové dokumenty. V ideálním případě by měly být uloženy v uzamykatelných skříních na dokumenty nebo v bezpečnostních skříních a trezorech. Ty nabízejí vysoké zabezpečení a umožňují snadno omezit přístup k důvěrným dokumentům.
   
   
4. Jednou ze zásad GDPR je minimalizace údajů, podle níž by organizace neměla uchovávat údaje déle, než je nezbytné. Zničte nepotřebné citlivé papírové dokumenty jednoduše pomocí skartovaček. Při výběru skartovačky je důležité zvážit, zda je vhodná pro skartaci dokumentů s citlivými a důvěrnými údaji.
   
   
5. Podle GDPR je každá organizace povinna oznámit únik údajů Úřadu pro ochranu osobních údajů do 72 hodin. Stanovte jasné postupy, jak postupovat v rámci společnosti, pokud dojde k úniku osobních údajů. Osobní údaje tak budou v bezpečí.
   
   
6. Při shromažďování osobních údajů musíte vždy stanovit účel, pro který byly shromážděny. Pokud budete chtít změnit účel použití osobních údajů zákazníka, musíte si vyžádat nový souhlas.
   
   
7. Aktualizujte obchodní podmínky a zásady ochrany osobních údajů vaší společnosti o tom, jak vaše společnost nakládá s osobními a citlivými údaji, a zajistěte, aby byly snadno dostupné.
   
   
8. Informujte všechny zaměstnance o změnách, nových zásadách a plánech týkajících se ochrany osobních údajů a implementace GDPR.