GDPR je problém, každý potřebuje DPO a pokuta je 2 miliardy!
DPO není až na výjimky povinnost a pokuty mají být odstrašující, ne likvidační...

Aktualizace legislativy na odpovídající úroveň je vzhledem k rozmachu Internetu v každodenním životě potřeba a GDPR ji sjednocuje v rámci celé EU. Má za cíl omezit praktiky některých firem, které mají dnes právo nakládat s údaji svých uživatelů libovolným způsobem a jde zároveň o povinnost chránit data správcem.

Také asi nechce nechat šířit nekontrolovatelně informace o své osobě, rodině, čísle platební karty apod., když je někomu v dobré víře poskytnete.

V podstatě jde o informace uživatele, ne data správce. Podnikatelé tak mají povinnost chránit osobní údaje fyzických osob proti úniku, zneužití i ztrátě.

Čím začit:

• Sepište si seznam nástrojů pro evidenci osobních údajů (všechny elektronické i papírové záznamy např. "úschovenky" a plánovací kalendáře)
• Ujasněte si role pracovníků / pracovní předpis pro přístup k těmto nástrojům (kdo, kdy a proč potřebuje / nebo jen má... k informacím přístup)
• Projděte všechny typy smluv (dodavatelé/odběratelé/zaměstnanci) a určete potřebné evidované údaje (kontaktní osoba u firmy je osobní údaj!)
• Stanovte si období, po které je třeba tyto osobní informace evidovat a vytvořte plán pro jejich odstranění po této lhůtě
• Zjistěte, jakým způsobem zaměstnanci a obchodní partneři k datům mohou přistupovat (pc v kanceláří, přenosný notebook, tablet, telefon..)
• Popřemýšlejte jaké další informace i nepřímo schraňujete (logy serveru webové prezentace, údaje pro remarketing na internetu atp.)

Pověřence pro chranu osobních údajů Steerty (dále jen DPO - Data Protection Officer) je možné jmenovat dobrovolně a přesunout tak komunikaci s úřadem i zajištění dohledu na někoho, kdo má zkušenosti s právní i odbornou problematikou v servisu.

Poskytujeme:

• poradenství správcům a zpracovatelům osobních údajů zaměřené na oblast automobilového průmyslu
• průběžné sledování procesů a interních předpisů organizace v souladu s GDPR nařízenímm a tvorba návrhů změn
• školení zaměstnanců, kteří pracují ve firmě s osobními údaji a příprava materiálů pro GDPR
• spolupráci a zajištění kontaktu pro dozorový úřad týkající se zpracování osobních údajů a hlášení bezpečnostních incidentů

I když od května 2018 mizí povinnost registrovat se u úřadu pro ochranu osobních údajů jako správce resp. zpracovatel OÚ, nové nařízení se týká plošně všech subjektů, které s OÚ přicházejí resp. mohou přijít do styku. Každý podnikatel je tak automaticky správcem osobních údajů, ale bez povinnosti se nahlásit úřadu.

Používáte nástroje, které respektují požadavky souboru norem ISO 27000 (bezpečnost informací) jako Steerty? Můžete si část úkolu odškrtnout. Stejně jako nejznámější ISO 9000 řeší kvalitu, je metodika dle ISO 27000 jistotou toho, že při předpokládaných scénářích nedojde ke ztrátě informací.

Největším problémem spojeným s dodržováním požadavků nařízení GDPR je roztříštěnost evidencí jednotlivých údajů a nezajištěný přístup k nim. Sem patří například staré zálohy, firemní archiv nebo kopie dat na již vyřazených počítačích.

Aneb nepotřebné musí pryč. Zamyslete se nad možností využít co nejmenší počet nástrojů i informací, které evidujete. Každý další seznam zákazníků nebo informací o nich zvyšuje administrativní náročnost a riziko porušení ochrany informací!

V žádném případě to neznamená povinnost vzdát se informací, pro které existuje logické opodstatnění. Nárůstem dat defacto zvyšujete nároky na zabezpečení, ale ve většině případů, když informace spravujete kvůli poskytnutí služby a zákazník souhlasí, nemusíte se postihu obávat (samozřejmě při zajištění odpovídající ochraně všech údajů). Chráníte údaje zákazníků? S GDPR se u Vás při běžné operativě skoro nic nemění, jen bysto to měli mít sepsané.

Šifrování je tu proto, aby zcizená data nikdo nezneužil. Nezabezpečené zálohy účetního programu, například na externím disku, který si nosíte sebou je porušením nařízení GDPR, stejně jako emailová služba, u které nemáte možnost ověřit, jak nakládá s maily a tím pádem vaší komunikací s okolím.

Pseudonymizace oproti tomu zachovává čitelná data v podobě pro statistické zpracování, odstraněním veškerých identifikátorů (např. záznam o speciálním proškolení zaměstnance, který nikdo jiný v podniku nemá, je jeho osobní údaj, protože ho lze identifikovat.). Na každou informaci je se třeba dívat v kontextu!

Zásadní novinkou v GDPR jsou věci technického rázu a to, že se týká mnoha situací. Existuje také povinnost správce poskytnout na vyžádání osobní informace ve strojově čitelné podobě. Příkladem může být soubor, který obsahuje seznam evidovaných vozů, nebo rozměry používaných pneumatik (např. na protokolu o úschově pneu). Informace o rozměru používané pneumatiky umožňuje na zákazníka cílit reklamu a informace o SPZ, kterou lze spojit s konkrétní osobou a vést tak k její identifikaci, je údaj osobní...

Jasným osobním údajem je například adresa, bez ohledu na to, že na ní žije několik "Nováků" a stejně tak IP adresa rodinného připojení k internetu, kterou firemní webové stránky pravděpodobně ukládají... Veškeré informace chraňte!

Dejte si pozor také na zálohování dat. Požadavek na smazání informací má být zpětně proveden i v zálohách dat. Pokud správce data "smaže", ale stále je bude schopen obnovit ze zálohy, nic se vlastně nemění a dál hrozí i ztráta těchto údajů. Jde o důležitou informaci i pokud pracujete s online nástroji a data tak za vás zálohuje poskytovatel řešení. Steerty vyhovuje i těmto požadavkům.