Obecného nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), je nová regulace Evropské unie, která vstupuje v účinnost již 25. května 2018. GDPR přináší zatím největší změnu v ochraně osobních údajů, která se bude týkat všech subjektů spravujících citlivá osobní data v rámci Evropské unie. Přestože GDPR zatím není přeneseno do české legislativy, můžete si již nyní projít náš přehled základní přípravy na tuto regulaci.
1. Zvolte si osobu, odpovědnou za správu osobních informací ve vaší firmě. Může být:
• Interní
• Outsourcovaná
2. Připravte si úvodní analýzu nakládání s osobními údaji, která odpoví na otázky:
• Jaké jsou ve vaší firmě systémy?
• Jaké v systémech evidujete osobní údaje?
• Jaké jsou tyto údaje rozděleny na osobní údaje a citlivé osobní údaje?
• Proč dané údaje evidujete (např. plnění smlouvy, marketing, obchodování)?
• Skutečně tato data potřebujete uchovávat?
• Kdo má k datům přístup a je pro tento přístup důvod?
• Jak jsou vaše data zabezpečena? (Fyzické zabezpečení, uživatelská práva, auditování přístupu atd.)
3. Spravujete data, u kterých nemůžete zajistit opodstatněný důvod jejich zpracování? Pak zvažte:
• Získání souhlasu se zpracováním dat
• Smazání (výmaz, anonymizace, pseudonymizace) nepotřebných osobních údajů
4. Pokud máte pro správu osobních dat souhlas, disponujete i vhodnými nástroji?
• Evidence samotného souhlasu vyžaduje:
• Zdroj, oblast použití, platnost, související dokumenty (audio, PDF, obrázek, elektronický záznam)
• Podpora práce s osobními daty musí zvládnout:
• Výmaz, anonymizaci, pseudonymizaci
• Vydání, zobrazení nebo export dat (PDF, XLS, JSON, CSV)
• Editaci dat
• Hlídání expirace souhlasů a následných kroků
• Zřízení kontaktní adresy (e-mailu) pro GDPR a nastavení IT procesů vyřizování včetně validace oprávněnosti požadavků (kontrola OP, doplňující údaje atd.)
• Automatickou validaci