GDPR přináší spoustu změn, které v závislosti na struktuře a rozsahu zpracovávaných dat budete muset zapracovat do firemních procesů.

Procesy pro zpracování a zabezpečení dat

Této oblasti se věnuje každý správce i zpracovatel asi nejintenzivněji. Nelze je příliš zobecňovat, navrhnete si je na základě Analýzy v závislosti na vašich potřebách.

Procesy pro realizaci požadavků osob, jejichž data zpracováváme

Stejně jako stávající zákon i GDPR dává subjektům údajů (to je jen ošklivý právnický název pro nás jako osoby) práva, na jejichž realizaci by se správci měli připravit. Mám-li pouze evidenci kontaktů a účetnictví, bude to pro mě jednodušší než pro firmu, která má data roztroušena v několika systémech, skříních a datových úložištích.

Společnými prvky pro vyřizování požadavků budou:

Identifikace žadatele

Data NESMÍME vydat nikomu jinému než oprávněné osobě.

Musíme tedy hodnověrně a prokazatelně ověřit, komu data poskytneme. Pokud jste řešili ověřování totožnosti fyzické osoby už při uzavírání smlouvy, máte vyhráno. Jednak máte metodiku ověření zpracovanou a pak máte i informace, proti kterým můžete ověřit, že jde o stejnou osobu.

Mám ale v systému jen jméno a e-mail? A k němu hromadu informací o provedených transakcích poněkud důvěrnějšího charakteru? Pak budu mít asi problém…

Myslete na to už při pořizování vstupních informací.


Důležité je, že pokud  doložíte, že nemůžete ověřit totožnost žadatele, můžete jeho žádost odmítnout.

Forma poskytnutí informací

Informace musí být podány transparentně, jednoduchým a srozumitelným jazykem, zejména pokud jsou poskytovány dětem.

Lze je poskytnout písemně, v elektronické formě nebo i ústně (pokud si  to žadatel vyžádá).

V případě předání v elektronické formě nezapomeňte na bezpečnost přenosu, zejména při předávání kopie dat.

Jaká ta práva tedy jsou?

Právo na informace

Toto právo se uplatňuje už v okamžiku získávání informací a protože je tak trochu odlišné, budu se mu věnovat v samostatném příspěvku.

Právo na přístup k osobním údajům

Obrátí-li se na vás člověk s žádostí jaké že informace o něm zpracováváte, je správce povinen poskytnout informace o tom, zda nějaké údaje zpracovává či nikoli (nezapomeňte mu i v tomto případě odpovědět).

A pokud zpracováváte, tak i:

  1. jaké údaje,
  2. za jakým účelem je zpracovává,
  3. kategorii údajů,
  4. komu jsou data předávána (byla, budou),
  5. plánovanou dobu, do kdy budou data zpracovávána,
  6. odkud údaje máte.

Zároveň by měl být informován o to, že má

  • právo na výmaz nebo opravu, omezení zpracování, podat námitku proti zpracování,
  • právo podat stížnost u dozorového úřadu.

A pokud používáte, tak i o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a to včetně postupu a předpokládaných důsledcích.

A zpracovávané údaje musíte žadateli poskytnout v kopii. Bezplatně.
Na vyřízení máte měsíc (v odůvodněných případech lze o 2 měsíce lhůtu prodloužit, ale musíte žadatele informovat).

Právo na opravu

Právo na opravu nepřesných údajů či jejich doplnění je jednoduché a logické, asi není potřeba více dodávat.

Právo na výmaz

Pokud se na správce obrátí člověk se žádostí o výmaz osobních údajů, je správce povinen je vymazat, pokud

  1. údaje již nejsou potřebné pro účely, pro které byly zpracovávány,
  2. osoba odvolala souhlas, na základě kterého byly údaje zpracovávány a neexistuje žádný další právní důvod pro zpracování,
  3. vznesené námitky proti zpracování jsou oprávněné,
  4. údaje byly zpracovávány protiprávně,
  5. vymazání předepisuje právní povinnost,
  6. osobní údaje byly zpracovávány jen pro zasílání obchodních sdělení.

Jestliže bude správce vymazávat zveřejněné osobní údaje (vzpomeňte na fotky na sociálních sítích, weby, firemní časopisy, …), měl by se postarat přiměřeným způsobem i o jejich kopie  či replikace.


Poznámka pod čarou: Uvědomujete si to při zveřejňování fotek z firemních akcí???

 

Právo na omezení zpracování

V určitých situacích může dojít k situaci, kdy se správce a subjekt údajů nemohou dohodnout ohledně opravy či výmazu a subjekt pak požádá o omezení zpracování.

Pak mohou být jeho údaje pouze uloženy a jakékoli ostatní zpracování vyžaduje jeho souhlas.

Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně.

Kolem tohoto práva je zatím spousta otazníků a pokud se vás, jako správce, tato problematika týká, doporučuji ke studiu Vodítka skupiny W29.

Právo vznést námitku

1.Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2.Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

3.Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Zvláštní podmínky se týkají výzkumu a statistiky ve veřejném zájmu.

Automatizované individuální rozhodování, včetně profilování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

I toto právo má své výjimky a v případě, že se vás týká, doporučuji podrobné načtení celé problematiky.

Jaké procesy musíme připravit?

V rámci Analýzy si nezapomeňte zpracovat přehled systémů a dat, která v nich zpracováváte. Jejich kategorizaci, legitimitu, účel a dobu zpracování.
To vám jednoznačně ušetří práci při vytváření procesů pro zpracování žádostí.

Zpracujte si včas pracovní postupy

Počítejte s tím, že GDPR může být příležitostí pro různé šťouraly, kteří se budou snažit nachytat vás na švestkách.
Připravte si včas metodiku, procesy a detailní pracovní postupy. Vyzkoušejte si, zda se pověření pracovníci dostanou ke všem informacím, které případně budou potřebovat. Pokud máte systémů více, zvažte pořízení nástroje, který by data dokázal „vytáhnout“.

Doporučené kroky:

  1. přehled dat (včetně systémů a šanonů, ve kterých jsou uložena, potřebné doplňující informace k nim – kategorizace, účel, doba zpracování, …)
  2. kdo bude pověřenou osobou pro zpracování žádostí
  3. jakým způsobem se data budou zjišťovat a kopírovat
  4. jak se bude ověřovat totožnost žadatele
  5. jak se budou data žadateli předávat

Nezapomeňte na testování procesů.

Příklad procesu

Podání žádosti o informace – klient – osobně na pobočce:

  1. žadatel vyplní formulář XXX2018/015
  2. pověřený pracovník firmy ověří totožnost žadatele podle OP nebo jiného dokladu, zaznamená na formuláři
  3. formulář nascanuje a prostřednictvím sdíleného úložiště předá neprodleně na centrálu pracovníkům oddělení xxxx, e-mailem informuje paní XY, která zajistí vlastní zpracování žádosti
  4. pracovník, zajišťující zpracování žádosti
    • zaeviduje žádost do systému ABC
    • vyexportuje příslušná data prostřednictvím nástroje DEF ….
    • zjistí existenci další osobních údajů, uchovávaných v papírové formě – nascanuje je
    • v závislosti na požadavku klienta kopii dat buď vytiskne a odešle klientovi doporučeně poštou a nebo zajistí předání dat prostřednictvím šifrovaného úložiště za použití nástroje XY
    • zaznamená do systému ABC kdy a jak byla žádost vyřízena

 

Obdobně by se například popsal obdobný proces pro žádost zaměstnance (současného/bývalého), elektronické podání žádosti a podobně.

Proškolte zaměstnance

Osoba pověřená zpracováním všech procesů musí být dobře orientovaná v GDPR. Musí si být vědoma citlivosti předávaných informací i rizik, která to sebou nese.

Ostatní zaměstnanci naopak musí vědět, že nesmí nikomu informace o konkrétních zpracovávaných informacích poskytovat. Jak mají žádost zpracovat, jak ověřit totožnost a komu a jak žádost předat ke zpracování.