Príprava organizácie na GDPR

Každá organizácia musí chrániť práva klientov, zamestnancov, dodávateľov, poskytovateľov - skrátka všetkých, ktorí jej poskytujú svoje osobné údaje.

Spôsob, ktorý si zvolí na ochranu a zabezpečenie údajov je na nej. Dôležitý je výsledok. Pravidlá GDPR dopadajú na organizáciu ako celok. Predstava, že GDPR sa týka len niektorých oddelení ( HR, IT alebo právne), je mylná. Dotýka sa každého, kto v organizácii pracuje s osobnými údajmi.

Príprava na GDPR je vhodné rozdeliť do niekoľkých etáp:

 

1.) Analytická časť - interný audit

V tejto fáze je nevyhnutné zmapovať, ako sa v  zaobchádza s osobnými údajmi.

Súčasťou auditu môže byť: predstavenie problematiky a rozsahu GDPR; vytvorenie GDPR tímu, analýza jednotlivých oddelení; spracovanie získaných informácií; vytvorenie záverečnej správy pre vedenie spoločnosti s upozornením na riziká a navrhnutie praktických opatrení.

 

Je nutné zistiť:

  • aký druh osobných údajov sa spracováva (napr. citlivé údaje, údaje detí);
  • kto s nimi pracuje (napr. zamestnanci jednotlivých odborov, externí dodávatelia);
  • kde sú uložené (napr. CRM, iné elektronické alebo papierová evidencia);
  • na základe akého právneho titulu sa osobné údaje spracovávajú (napr. súhlas, zmluvnú povinnosť, zákonnej povinnosti)
  • k akému účelu sú dáta spracovávané (napr. mzdová či personálna agenda, marketingové služby);
  • po akú dobu sú dáta spracovávané (napr. či spoločnosť osobné dáta zmaže po ukončení projektu);
  • kde a ako sa osobné údaje archivujú (napr. externé úložisko, cloudové služby).

 

2.) Praktické riešenie

  • úprava vnútorných noriem a procesov organizácie, úprava interných dokumentov;
  • školenia zamestnancov, ktorí nakladajú s osobnými údajmi;
  • zabezpečenie potrebnej dokumentácie k záznamom o činnostiach spracovania;
  • riešenia bezpečnostných incidentov;
  • osobitné podmienky pri spracovaní osobných údajov detí
  • určenie, či spoločnosť potrebuje poverenca pre ochranu osobných údajov (GDPR nestanovuje žiadne podmienky pre vzdelanie či certifikovanie splnomocnenca, mal by mať znalosti a praktické skúsenosti v oblasti ochrany osobných údajov)
  • zaistenie bezpečnosti pri spracúvaní osobných údajov - musia byť zabezpečené podľa kategórie napr. osobné a citlivé údaje;
    • v závislosti od kategórie spracovanie osobných údajov je nutné vyhodnotiť možné riziká; pripraviť postupy pre prípadné porušenie ochrany dát.
    • Zmenou je, že pri porušení je povinnosť oznámenia do 72 hodín Úradu pre ochranu osobných údajov a v niektorých prípadoch aj dotknutej fyzickej osoby;
  • zavedenie technických opatrení ako napr. pseudonymizácia (osobné údaje fyzickej osoby sú označené číslom / kódom, pričom číslo / kód sú vedené oddelene od osobných údajov) a šifrovanie osobných údajov (postup, ktorý transferuje informáciu do nečitateľnej podoby na základe kľúča / šifry). Nejde však o povinnosť pri spracovaní osobných údajov, ide o bezpečnostné prvky, ktoré môžu pomôcť správcovi alebo spracovateľovi osobných údajov.

 

3.) Realizačná fáza

  • výber vhodných riešení a ich implementácia
  • Efektivitu a praktickosť prijatých opatrení je potrebné pravidelne overovať, a to ako technickú úroveň, tak pravidelné školenia zamestnancov.

 

Najväčším rizikom bezpečnosti ochrany dát je totiž ľudský faktor. Ak sa podarí eliminovať tieto riziká, je veľká pravdepodobnosť, že firma zvládne prechod na GDPR bez neprimeranej záťaže a veľkých nákladov. Výsledkom bude ochrana dát pred vnútornými a prípadnými vonkajšími útokmi.

 

V záujme neustáleho zlepšovania našich služieb využíva táto webová stránka cookies. Bližšie informácie o ich používaní ako aj možnosť odvolať svoj súhlas nájdete tu.