Jak řešit GDPR v 5 základních krocích
Malé firmy a drobní podnikatelé často nevědí, kde a jak s GDPR vlastně začít. A není divu – právní úprava ochrany osobních údajů je poměrně složitá. Také si nevíte rady? Jakub Hruška z Privatry už pomohl s implementací GDPR desítkám firem a na základě svých zkušeností dal dohromady několik základních kroků a dokumentů, které byste si měli pro začátek připravit.
1. Zásady ochrany osobních údajů
Dokument známý v angličtině jako „Privacy Policy“ by měl obsahovat komplexní informace o tom, jak sbíráte a zpracováváte osobní údaje zákazníků (případně obchodních partnerů apod.). Zpravidla jej firmy zveřejňují přímo na webových stránkách v patičce. Zásady ochrany údajů musejí podle čl. 13 a 14 GDPR obsahovat poměrně dost informací. Můžete si je však jednoduše vygenerovat online díky Privatry generátoru zásad ochrany osobních údajů.
Doporučujeme přečíst si k tématu:
Transparentnost jako klíčový prvek záměrné a standardní ochrany osobních údajů
Co jsou osobní údaje, a co ne?
Odpovědnost firem za ochranu osobních údajů při použití pluginů sociálních sítí
Co musejí obsahovat zásady zpracování osobních údajů?
2. Interní předpis o zpracování osobních údajů
Tento dokument slouží k nastavení interních pravidel pro práci s osobními údaji. Je dobré, pokud obsahuje alespoň následující informace:
- Určení rolí a odpovědností, tj. kdo a jak smí s osobními údaji pracovat, včetně postavení pověřence pro ochranu osobních údajů, pokud byl jmenován.
- Základní pravidla sběru a zpracování osobních údajů, zejména:
- na základě čeho se údaje sbírají (tzv. právní základ),
- pravidla pro sběr a uchování údajů v souladu s principem minimalizace, tj. sbírají se skutečně jen nezbytné údaje, pro zákonné důvody a uchovávají se jen po nezbytnou dobu.
- Jak dlouho se mohou údaje uchovávat a kdy je smazat nebo zlikvidovat (tzv. skartační řád, který může být i samostatným dokumentem).
- Pravidla pro předávání údajů dalším subjektům, zejména pokud jde o předání do zahraničí.
- Postup při posuzování oprávněných zájmů a rizika zpracování, tzv. balanční testy a DPIA.
- Postup při řešení žádostí týkajících se osobních údajů.
Vytvořte si balanční test v našem GDPR nástroji.
Doporučujeme přečíst si k tématu:
Účel a právní základ zpracování
Potvrzení souhlasu ke zpracování osobních údajů
Vysoké riziko pro práva a svobody lidí podle GDPR
Osobní údaje: co přináší nové nařízení GDPR
3. Interní předpis o zabezpečení a bezpečnostních incidentech
Předpis obsahuje popis zabezpečení IT systémů a dalších bezpečnostních opatření včetně postupu při jejich porušení (např. při úniku dat, ztrátě notebooku s osobními údaji apod.).
Doporučujeme přečíst si k tématu:
Jak se zachovat při porušení zabezpečení osobních údajů?
4. Smlouva o zpracování osobních údajů
Smlouvu o zpracování osobních údajů musíte uzavřít, pokud za vás osobní údaje zpracovávají další subjekty (tzv. zpracovatelé), nebo naopak pokud pro jiné subjekty zpracováváte osobní údaje vy (vystupujete jako zpracovatelé). Smlouvu byste měli mít i v případě, že údaje zpracováváte s dalšími firmami v rámci společného podnikání nebo projektu (tzv. společní správci).
5. Interní záznamy o zpracování
Informace, které musíte podle GDPR zaznamenat, se částečně překrývají se zásadami ochrany osobních údajů. Záznamy obsahují:
- jednotlivé účely (důvody) zpracování;
- kategorie osobních údajů, které zpracováváte;
- kategorie osob, jejichž osobní údaje zpracováváte (např. zákazníci, zaměstnanci, speciální kategorie jako děti atp.);
- příjemce údajů, tj. subjekty, kterým údaje předáváte nebo jinak zpřístupňujete;
- lhůty pro výmaz jednotlivých kategorií údajů neboli jak dlouho údaje ukládáte;
- obecný popis bezpečnostních opatření;
- pokud předáváte údaje mimo Evropský hospodářský prostor, uvedení země a přijatých opatření k zabezpečení vhodných záruk ochrany údajů.
Vytvořte si záznamy o zpracování v našem GDPR nástroji.
Chcete-li kompletní popis požadavků podle GDPR, vyzkoušejte náš GDPR to-do list.