dnes je 23.4.2019
Input:

Inventura současného stavu

7.8.2018, , Zdroj: Verlag Dashöfer

1.9.1
Inventura současného stavu

JUDr. Tereza Drábková, Dr. Milan Vodička

Zahrnuje zmapování aktuální situace a prověření firemních procesů při činnostech, jako je nábor a přijetí zaměstnanců, obchodní a marketingové aktivity, oběh účetních dokladů ad. V této fázi lze doporučit věnovat se následujícím oblastem:

  • Katalogizace zpracovávaných osobních údajů

  • Možnosti zajištění práv subjektů údajů

  • Prověření stávající dokumentace

  • Příprava dokumentace nově požadované

Katalog údajů

Představuje vhodný dokumentační nástroj, ve kterém jsou shromážděny informace ve smyslu:

  • jaké osobní údaje máme (kategorizace údajů do skupin, které se mohou lišit stupněm ochrany i mírou rizika při zneužití, dobou uložení atd.), pozornost věnovat zvláštní kategorii osobních údajů,

  • od koho je získáváme (kategorie subjektů údajů jako např. zaměstnanci, obchodní partneři, občané, voliči, rodiče ad.),

  • proč je požadujeme (zákonnost zpracování, účely),

  • jak je získáváme (proces prvotního získávání),

  • co s nimi děláme (způsoby a procesy jejich zpracování),

  • komu a proč je předáváme (orgány veřejné moci, firmy ve skupině, zpracovatelé),

  • kam a na jak dlouho je ukládáme (zabezpečení zpracování, včetně dostupnosti, nezbytně dlouhá doba archivace),

  • kdo s nimi přichází do styku (zajištění ochrany, mlčenlivosti, kontrola oprávnění).

V praxi se osvědčila příprava katalogu na co nejnižší úrovni osobních údajů, kdy doplněním přijatých technických a organizačních opatření vznikne současně povinný záznam o činnostech zpracování (viz Příloha Vzory).

Zajištění práv subjektů údajů

Jedná se o nezbytné minimum činností, které jsou reakcí na uplatnění práv, garantovaných fyzickým osobám Nařízením GDPR. Současně je potřeba ujasnit si rozdělení povinností mezi správce a případné zpracovatele. Otázkou tedy je, jak budete v přiměřené lhůtě procesně a personálně zajištovat případy:

  • poskytnutí informací (zaměstnancům, klientům, partnerům) ohledně zpracování osobních údajů, dávat informace k dispozici „ve vrstvách” od jednoduchých a stručných k podrobnějším až detailním,

  • zajištění přístupu subjektů k jejich vlastním údajům za současné ochrany údajů jiných osob, preferován je vzdálený přístup, součástí musí být i poskytnutí kopie údajů, pokud je vyžádána,

  • aktualizace údajů (právo na opravu), zajištění jejich správné podoby,

  • uplatnění námitky proti zpracování údajů na základě veřejného zájmu nebo oprávněného zájmu správce, evidence námitek a způsobu vyřízení,

  • využití práva na omezení zpracování v situaci, kdy fyzická osoba popírá přesnost údajů anebo místo výmazu požaduje omezení použití,

  • uplatnění práva na přenositelnost u údajů zpracovávaných automatizovaně na základě souhlasu nebo splnění smlouvy, výsledkem by měl být běžný strojově čitelný formát (textový soubor, XML).

Pro praxi doporučujeme si představit situaci, kdy se na vás obrátí informovaný, leč nespokojený zaměstnanec / klient / obchodní partner a využije veškerá práva subjektu údajů, které Nařízení definuje. Měli byste mu být schopni vyhovět (bezplatně) v odpovídající lhůtě a přiměřeným způsobem.

Revize stávající dokumentace

Není dle našeho názoru nezbytné zásadně a zcela přepracovat veškerou podnikovou dokumentaci, spíše jde o zvážení, kam případně doplnit zmínku o ochraně osobních údajů. Jedná se např. o:

  • úpravu vnitropodnikových směrnic o oběhu dokladů, vyúčtování cestovních náhrad, poskytování vozidel i pro soukromé účely, poskytnutí firemního vybavení, skartačního řádu ad.,

  • úprava a doplnění pracovního řádu, pokud byl vyhotoven,

  • revize a