a) Udělat si pořádek ve svých datech

Každá společnost musí začít tzv. mapováním jednotlivých zpracování osobních údajů.

Mapování se zaměřuje na:

- Identifikace všech informačních systémů (interních i externích), aplikací, databází, síťových a pevných disků a dalších záznamů (sdílených, nesdílených), papírových spisů, složek a evidencí, ve kterých jsou vedeny osobní údaje. Na základě této identifikace by měly být zrušeny, vymazány nebo vyskartovány takové systémy, databáze nebo evidence, které se nevyužívají, slouží jako sběrna osobních údajů pro možné budoucí využití (tzv. pro strýčka příhodu) nebo jsou využívány v rozporu s GDPR (např. bez souhlasu subjektů údajů - zakoupené databáze potenciálních zákazníků, pokud nebudou dodatečně souhlasy získány).

- Identifikace všech fyzických osob (subjektů údajů), jejichž osobní údaje společnost zpracovává:

• Klienti (současní, bývalí) - fyzické osoby a zástupci/zaměstnanci právnických osob
• Potenciální klienti
• Zaměstnanci (současní, bývalí)
• Rodinní příslušníci zaměstnanců
• Uchazeči o zaměstnání
• Dodavatelé (zástupci/zaměstnanci PO a FO)
• Návštěvníci webových stránek
• Další osoby (např. návštěvníci budovy)

- Identifikace všech účelů zpracování podle jednotlivých skupin subjektů údajů. Každé zpracování musí mít vymezen svůj konkrétní účel - musí mít svůj název. Příklad: zaměstnanci - mzdová agenda; klienti - poskytování poradenských služeb; uchazeči o zaměstnání - výběrová řízení.

- Identifikace zpracování, ke kterým je zapotřebí souhlas. Pokud se jedná o zpracování, které se provádí na základě právního předpisu (např. mzdová agenda u zaměstnanců), z důvodů plnění smlouvy (poskytování služeb klientům) nebo oprávněného zájmu společnosti (např. uplatnění náhrady škody proti zaměstnanci), souhlas se nevyžaduje. Souhlas je nutný např. v případě rozesílání nevyžádaných obchodních sdělení - zasílání nabídek e-mailem nebo SMS - potenciálním klientům nebo při zpracování fotografií zaměstnanců. Pokud takový souhlas nebyl dán, osobní údaje musí být vymazány (např. nakoupené databáze obsahující e-mailovou adresu nebo telefonní číslo potenciálních klientů). Souhlas není potřeba v případě zájemců o služby nebo produkty společnosti, po dobu, co jejich zájem trvá. V případě dalšího zpracování osobních údajů zájemců pro účely přímého marketinku je nutné o tom zájemce předem informovat a dát jim možnost toto zpracování odmítnout.

- Identifikace nezbytného rozsahu osobních údajů pro jednotlivé účely. U každého zpracování je nutné projít seznam zpracovávaných údajů a vymazat/vyškrtnout ty, které nejsou pro dané zpracování potřeba (např. rodné číslo u uchazečů o zaměstnání, informace o rodině klienta).

- Identifikace místa a doby uchovávání osobních údajů. U každého systému je nutné zjistit, zda leží na vlastních serverech, v cloudovém úložišti nebo na serverech/počítači třetí osoby, která zpracovává osobní údaje pro společnost (např. externí mzdová účtárna/účetní, IT firma). Dále je nutné pro každé zpracování stanovit dobu uchování, pokud ho nestanoví právní předpis (např. povinné uchování mzdových listů zaměstnanců po dobu 30 kalendářních roků následujících po roce, kterého se týkají), a zajistit výmaz/skartaci osobních údajů po uplynutí doby uchování.

- Identifikace zdrojů a příjemců osobních údajů. U každého zpracování je nutné určit, odkud se osobní údaje získávají. Pokud je společnosti dává přímo subjekt údajů (např. návštěvník webové stránky na on-line formuláři, klient před uzavřením smlouvy, zaměstnanec na vstupním dotazníku), musí obdržet informace o zpracování osobních údajů. Dále je nutné zmapovat všechny toky osobních údajů ve vztahu ke třetích osobám - příjemcům, kteří mají přístup k osobním údajům nebo jsou jim osobním údaje z nějakého legitimního důvodu poskytovány. Pokud jsou údaje poskytovány třetí osobě (FO nebo PO), aby je pro společnost zpracovávala, jsou tyto osoby v postavení zpracovatele a je nutné s nimi uzavřít smlouvu o zpracování osobních údajů. Těmito zpracovateli jsou např. externí mzdová účtárna/účetní a IT firma, která uchovává osobní údaje na svých serverech nebo vykonává správu systému na serverech společnosti.

- Identifikace předávání osobních údajů do zahraničí. V případě, že jsou osobní údaje předávány do zemí v rámci EHP, není zapotřebí přijmout žádná další speciální opatření. Jestliže by ale osobní údaje byly předávány mimo EHP, je nutné zjistit, zda se z pohledu ochrany osobních údajů jedná o bezpečné státy (viz https://www.uoou.cz/predavani-zalozene-na-rozhodnuti-o-odpovidajici-urovni-ochrany-osobnich-udaju/ds-5065/archiv=0&p1=5064) a pokud ne, je nezbytné poskytnout dostatečné záruky bezpečného zpracování osobních údajů v třetí zemi (např. uzavřít s příjemcem v třetí zemi standardní smluvní doložky přijaté Komisí EU) nebo využít výjimek umožňujících takové předání (např. získat předchozí výslovný informovaný souhlas subjektu údajů). Taková situace může např. nastat, pokud by společnost měla svá data uložena v cloudu mimo EHP nebo předávala osobní údaje mateřské společnosti do zahraničí (např. Rusko).

- Vyhodnocení, zda je nutné na základě nějakého zpracování jmenovat pověřence pro ochranu osobních údajů nebo provést zvláštní analýzu - posouzení vlivu na ochranu osobních údajů s případnou konzultací s Úřadem pro ochranu osobních údajů. Lze předpokládat, že při standardních činnostech, které vykonává např. výrobní společnost, nebude nutné tyto nové povinnosti plnit.

Výsledkem mapování je vytvoření tzv. záznamů o činnostech zpracování, které slouží jako evidence všech zpracování osobních údajů a musí obsahovat následující informace:

• Jméno a kontaktní údaje správce (společnosti), případně pověřence pro ochranu osobních údajů
• Účel zpracování
• Popis kategorií subjektů údajů a kategorií osobních údajů
• Kategorie příjemců, včetně příjemců ve třetích zemích
• Informace o případném předání osobních údajů do třetí země, včetně identifikace této třetí země a poskytnutých záruk
• Plánované lhůty pro výmaz jednotlivých kategorií údajů
• Obecný popis technických a organizačních bezpečnostních opatření.

b) Zabezpečit osobní údaje

Každá společnost musí přijmout technická a organizační opatření, aby byla zajištěna úroveň zabezpečení údajů odpovídající danému riziku.

Bezpečnostní opatření musí zajistit ochranu osobních údajů před náhodným nebo protiprávním zničením, ztrátou, pozměňováním nebo neoprávněným zpřístupněním. Dále musí být zajištěna neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování osobních údajů.

V rámci přípravy bezpečnostních opatření je třeba provést ve spolupráci s IT odborníky (zástupci IT firmy, která spravuje nebo vyvíjí informační systémy) podrobnou analýzu rizik. V rámci analýzy jsou hodnocena jednotlivá rizika a hrozby a podle závažnosti jednotlivých rizik jsou navrhnuta bezpečnostní opatření, která daná rizika eliminují nebo minimalizují.

Přijatá bezpečnostní opatření k technickému a organizačnímu zajištění osobních údajů by měla být dokumentována a zpracována v bezpečnostní směrnici (popis jednotlivých technických prostředků a postupů a organizačních pokynů pro osoby pracující s osobními údaji).

Mezi základní bezpečnostní opatření patří:

- Manuální (papírové) zpracování osobních údajů:

• papírové složky musí být vždy uloženy v uzamykatelných skříňkách (odolnost skříněk proti vnějšímu útoku musí odpovídat rizikovosti zpracovávaných osobních údajů) a zásadně v prostorách společnosti (nikoli např. u zaměstnanců doma)
• přístup ke skříňkám budou mít jen pracovníci, kteří papírové složky potřebují k výkonu práce
• opatření proti hromadění dokumentů na tiskárnách nebo na pracovních stolech;

- Automatizované (počítačové) zpracování osobních údajů:

• softwarové a fyzické zabezpečení automatizovaných systémů (např. znemožnění tisku dat, připojení k síti jen uvnitř organizace)
• omezení přístupových práv do jednotlivých systémů, aplikací, databází nebo sdílených disků
• přístupy zabezpečit prostřednictvím bezpečných hesel (stanovení pravidel pro tvorbu hesla - počet a povaha znaků, pravidelné obměňování hesel)
• omezení používání přenosných paměťových zařízení (USB), případně povinnost používat jen zaheslovaná zařízení
• logování přístupu a operací s osobními údaji
• šifrování disku (při používání mobilních zařízení - telefon, notebook), šifrování souborů (např. při přenosu dat)
• zákaz používat pro přenos osobních údajů prostý e-mail (např. použít datovou schránku, zasílat pseudonymizovaná data - identifikační údaje jsou nahrazeny kódem nebo číslem, zasílat zašifrované soubory);

- Zabezpečení objektu, přístupových cest a prostor (např. poplachové systémy, kamerové systémy, bezpečnostní služba apod.);

- Školení zaměstnancův oblasti ochrany osobních údajů a informační bezpečnosti;

- Pravidelné testování, posuzování a hodnocení zavedených opatření.

Kromě zajištění bezpečnosti osobních údajů je nutné připravit postup při výskytu bezpečnostních incidentů (tj. jakékoli porušení zabezpečení osobních údajů - např. zaslání osobních údajů nesprávnému adresátovi, dočasná nebo úplná ztráta složky klienta, hackerské útoky, porušení povinnosti mlčenlivosti zaměstnancem):

• Bezpečnostní incidenty musejí být detekovány (zjištěny) - možnost využít speciální softwarové vybavení, povinnost hlášení bezpečnostních incidentů určené osobě
• Bezpečnostní incidenty musejí být evidovány
• Bezpečnostní incidenty musejí být vyhodnoceny s ohledem na rizika pro subjekty údajů
• Bezpečnostní incidenty s pravděpodobným rizikem pro subjekty údajů musejí být ohlášeny Úřadu pro ochranu osobních údajů do 72 hodin po zjištění bezpečnostního incidentu (standardně téměř všechny incidenty, pokud není incident okamžitě zjištěn a jakékoli negativní dopady eliminovány)
• Bezpečnostní incidenty s vysokým rizikem pro subjekty údajů musejí oznámeny přímo subjektům údajů (např. ztráta osobní složky zaměstnance nebo klientské dokumentace)
• Bezpečnostní incidenty musejí být vyřešeny a musejí být přijata opatření ke zmírnění možných nepříznivých dopadů a preventivní opatření do budoucna.

c) Připravit a používat dokumentaci k ochraně dat a plnění povinností

Příprava souhlasů, informací pro subjekty údajů, smluv o zpracování osobních údajů, směrnice o zpracování a zabezpečení osobních údajů.

d) Odpovídat na žádosti subjektu údajů

Prověřit a upravit systémy z hlediska uspokojování práv subjektů údajů

• Právo na informace o zpracování osobních údajů
• Právo na přístup k osobním údajů a požadovat kopii uchovávaných osobních údajů
• Právo na opravu osobních údajů
• Právo na výmaz osobních údajů (systémy musejí umožnit úplný výmaz dat)
• Právo na omezení zpracování (osobní údaje nelze zpracovávat, ale nebudou vymazány)
• Právo na přenositelnost údajů (vytvořit kopii osobních údajů a přenést ji na jiného správce) - nevztahuje se na zákonné zpracování ani na zpracování nutné pro ochranu práv společnosti nebo jiných osob
• Právo vznést námitku (proti přímému marketingu - okamžitý výmaz dat; proti oprávněnému zájmu správce - omezení zpracování a podání vysvětlení subjektu údajů)
• Právo nebýt předmětem automatizovaného rozhodování (v běžné praxi např. výrobní společnosti se toto rozhodování neprovádí).

Vést evidenci dotazů a žádostí subjektů údajů a jejich vyřízení obsahující údaje o žadateli, datum přijetí žádosti, obsah žádosti, přidělení odpovědné osobě, výsledek a datum jejího vyřízení.