★ GDPR Dokumentácia (šablóny a vzory)
- Datum: 22.05.2018
- Autor: František Nonnemann
Vedeli ste, že máte povinnosť na požiadanie predložiť GDPR Dokumentáciu Úradu na ochranu osobných údajov, v rámci princípu dokázateľnej zodpovednosti?
GDPR Dokumentácia
Európska únia v roku 2016 vydala nový právny predpis upravujúci spracovanie osobných údajov, všeobecné nariadenie o ochrane osobných údajov, známe tiež pod anglickým pojmom General Data Protection Regulation.
Jednou zo zásadných zmien, ktoré GDPR v porovnaní s predchádzajúcou úpravu prináša, je princíp dokázateľnej zodpovednosti, inak povedané povinnosť všetkých organizácií, ktoré spracúvajú osobné údaje, či už pre seba v postavení správcu, alebo dodávateľsky pre ďalšie subjekty ako spracovateľ, nielen pri svojej činnosti rešpektovať všetky právne požiadavky, ale aj tento súlad priebežne dokumentovať a byť schopný kedykoľvek doložiť.
Základný stavebný kameň ochrany osobných údajov
Dôležitým prvkom, ktorý je na dosiahnutie súladu s GDPR potrebné posúdiť, je dokumentácia, či už vedená fyzicky alebo elektronicky. Jedna z nových a pritom kľúčových povinností, ktoré správcom a spracovateľom osobných údajov GDPR ukladá, je napr. povinnosť viesť záznamy o spracovaní.
Pre splnenie tejto povinnosti budete musieť naprieč organizáciou zmapovať a zdokumentovať, na aké účely, aké osobné údaje a za akých podmienok spracovávate. Viesť záznamy o činnostiach.
A výsledok zachytiť v GDPR dokumentácii, ktorú ste povinní na požiadanie predložiť Úradu na ochranu osobných údajov. Akonáhle je u vás z akéhokoľvek dôvodu zahájená kontrola z dozorného úradu ÚOOÚ, jeden zo základných požiadaviek GDPR, s ktorým budete konfrontovaní, je riadne zdokumentovanie spracúvaných osobných údajov, ich účelov a záznamov o činnostiach.
Len malé percento spoločností je "GDPR ready", teda vyriešilo otázku bezpečnosti a spracovania dát včas. Drvivá väčšina spoločností sa o to snaží, zrýchľuje prípravy, alebo u nich bežia implementačné projekty pre zavedenie zmien, ktoré GDPR prináša.
V odbornej diskusii je možné sledovať istý trend, ktorý smeruje k tomu, že "by ste mali považovať" implementáciu GDPR za prevažne IT projekt, ktorý možno vyriešiť nejakým softvérom, alebo platenou IT službou. Rovnako tak sa množia marketingové ponuky na konkrétne softvérové produkty, ktoré vraj môžu zabezpečiť súlad spracovania dát s GDPR.
Pre zaistenie plného súladu konkrétnej organizácie a jej postupov s GDPR je však nevyhnutné posúdiť a upraviť všetky súčasti spracovania dát, nie iba IT prostredia. Pre riadnu implementáciu je nutné zanalyzovať a upraviť pracovné činnosti v nasledujúcich okruhoch
- Dokumentácia
- IT & Security (bezpečnosť)
- Procesy spracovania osobných údajov
GDPR krok za krokom
Väčšina projektov, ktorých cieľom je zaistenie zhody s GDPR začína rovnako. Nie je celkom jasné kde, ako a čím začať. Ten, kto za implementáciu opatrení ochrany osobných údajov zodpovedá, potrebuje získať viac informácií, než má.
Ale rozpočet je obmedzený a manažment chce náklady na externého poradcu, právnikmi tvorenú spracovateľskú zmluvu a ďalšie vzory eliminovať na minimum. To sa týka aj robení ďalších zbytočných aplikácií. A samozrejme čím skôr bude projekt hotový, tým lepšie.
Stará cesta, ktorú poznáme všetci? Najať si na tento projekt konzultanta. Nech všetko zariadi na kľúč. Je to najrýchlejší variant. Ale problémy nastanú neskôr. Keď budete robiť celý projekt externe, neuvidíte žiadnu snahu a odhodlanie od vašich zamestnancov. A kto bude udržiavať procesy, dokumentáciu, záznamy o spracovaní a ďalšiu procesnú agendu potom, čo konzultant odíde, alebo ho skrátka prestaneme platiť?
GDPR vzory
Obstaranie špecializovanej GDPR dokumentácie
Aké prínosy majú GDPR vzory dokumentácie pre zaistenie súladu?
Kvalitne spracované šablóny vám pomôžu "vyčistiť" dáta, uviesť postupy do súladu, nastaviť pravidlá pre zamestnancov, vydefinovať rozsah činností zodpovednej osoby na ochranu osobných údajov, ale čo je najdôležitejšie ....? Budete môcť aj naďalej udržiavať a využívať vaše dáta, ktoré predstavujú hodnotné aktíva.
Môžete začať s predvyplneným dokumentačným setom - GDPR vzory dokumentácie. Okrem šablón obsahuje projektový plán, manuály na použitie, ktoré vás prevedú od prvotnej analýzy až k poslednému kroku projektu.
Dokumenty sú z 80% predvyplnené. Možno ich ľahko editovať. Obsahujú nielen predvyplnené procesy, ale aj metodické návody a rady, ako správne s dokumentom naložiť.
A ak sa v nejakom bode zaseknete, poskytujeme neobmedzenú podporu v rámci implementačných workshopov. Pomôžeme vám tak nielen riadiť projekt, ale budete mať 100% istotu o správnom v postupe. Ich hodnotenie od renomovaných firiem hovorí za všetko.
Stiahnuť GDPR vzory dokumentov >
GDPR formuláre od TAYLLORCOX
Čo by vám určite nemalo v kvalitnej dokumentačnej základni pre ochranu osobných údajov chýbať?
Na prvom mieste sa jedná o šablóny, vzorové zmluvy či formuláre, ktoré organizácia používa na získavanie súhlasu dotknutých osôb so spracovaním ich osobných údajov, k plneniu informačnej povinnosti či ďalších povinností pri spracovaní dát, napr .:
súhlas s odovzdaním osobných údajov, záznamy o činnostiach spracovania, vzor súhlasu, vnútorná smernica ochrany osobných údajov a ďalšie gdpr formuláre, ako je dátová mapa, dpia, risk analýza, vzory pre interný audit, či evidencia spracovania osobných údajov.
Nemenej dôležitým prvkom sú aj zmluvy upravujúcej spracovanie osobných údajov, či už je organizácia v postavení správcu alebo spracovateľa dát. GDPR totiž kladie na takúto zmluvu vysoké nároky. Zmluva o spracovaní dát tak musí napríklad správcovi výslovne umožniť, aby auditoval plnenie povinností spracovateľa pri spracovaní a zaistení bezpečnosti osobných údajov.
Procesy
Nastavenie procesov spracovania ochrany osobných údajov
Dôležitým krokom je zmapovanie procesov, pri ktorých organizácia osobné údaje zhromažďuje a ďalej spracováva, v akom rozsahu tak robí, na aké účely a aký spôsobom sa osobné údaje spracúvajú, komu sú sprístupňované, ako dlho sú uchovávané atď.
Druhým nevyhnutným krokom je potom doplnenie procesov najmä o jednoznačné určenie zodpovednosti jednotlivých zamestnancov za dodržiavanie pravidiel pre spracovanie osobných údajov aj za dokumentovanie ich činnosti, aby organizácia bola schopná svoj súlad s GDPR doložiť.
GDPR tiež prináša rad nových procesov, ktoré je väčšina organizácií povinná interne zaviesť. Jedná sa najmä o povinnosť pri nových spracovaní osobných údajov vykonávať dopadovú analýzu, tzv. posúdenie vplyvu na ochranu osobných údajov.
V niektorých prípadoch sú navyše potrebné konzultácie s Úradom na ochranu osobných údajov, o povinnosti reportovať prípady porušenia bezpečnosti osobných údajov. A pri vysokom riziku pre práva dotknutých osôb aj týmto osobám, povinnosť zaviesť proces pre overenie spracovateľov, teda dodávateľskej spoločnosti, ktorá sa podieľa na spracovaní osobných údajov pre správcov, až po povinnosť radu organizácií vytvoriť a obsadiť pozíciu zodpovednej osoby pre ochranu osobných údajov a vytvoriť mu dostatočné podmienky pre riadne plnenie jeho úloh. Na rolu "interného audítora", "implementátora" a "evanjelistu", ktorý je zodpovedný za GDPR ako celok vás pripraví kurz Zodpovedná osoba na ochranu osobných údajov a zaujímavá je aj knižná novinka roku 2018 GDPR Kniha - praktická príručka.
IT & Security
Informačné technológie vs. GDPR
Elektronické nástroje pre spracovanie dát sú tiež dôležitým prvkom. Organizácia je povinná zmapovať, aké nástroje pre spracovanie dát používa a akým spôsobom sú dáta spracovávané, aké sú jednotlivé dátové toky.
Aj pri využívaní elektronických nástrojov potom musí zabezpečiť pravidlá vyplývajúce z GDPR, predovšetkým v oblasti zabezpečenia dát, ale aj nastavenia doby ich uchovania a následnej anonymizácie či likvidácie dátumu atď. Takže tu sa dostávame opäť do roviny procesnej a dokumentačnej. Až potom možno vyvodiť softvér úpravy pre IT systémy a aplikácie. Je teda už úplne jasné, že žiadny GDPR softvér za vás požiadavky nevyrieši.
IT nástroje však môžu byť užitočné aj pri plnení niektorých povinností. Môže sa jednať o nástroje slúžiace na identifikáciu osobných údajov v jednotlivých systémoch a aplikáciách, pre ich klasifikáciu a sledovanie ich pohybu, nástroje pre zabezpečenie dát či elektronické prostriedky alebo aplikácie pomáhajúce pri audite plnení GDPR, pri vykonávaní hodnotenia vplyvu na ochranu osobných údajov či pre plnenie niektorých z ďalších nových povinností.
Niekoľko odporúčaní k nasadeniu GDPR
Vyššie uvedené oblasti však nemožno úplne oddeliť, resp. posudzovať izolovane, pretože splnenie jednotlivých povinností podľa GDPR má veľmi často presah do viacerých z nich. Z osobných údajov sa stala cenná komodita. Rovnako ako má svoje pravidlá vedenie účtovníctva, aj tu od 25.5.2018 platí nariadenie, ktoré musíte dodržiavať.
Poďme sa pozrieť na tie hlavné požiadavky:
- Musia byť štruktúrované a kompletné
- Eliminujte duplicitné údaje a popisy činností
- Nezabúdajte na verziovanie a vedenie histórie zmien
- Každý dokumentovaný systém musí spĺňať PDCA cyklus
- Manuál nakladania s osobnými údajmi musí byť dostupný všetkým zamestnancom
- Nezabudnite na riadenie prístupu. Každý pracovník musí mať inú úroveň znalostí GDPR.
Ďalšie povinnosti
Organizácia obvykle spracováva najmä nasledujúce údaje osôb
Organizácia je však povinná dokumentáciu priebežne aktualizovať, takže musí nastaviť aj proces, ako bude túto aktualizáciu uskutočňovať a kto za ňu bude zodpovedný. A pre vytváranie a udržiavanie tohto dokumentu určite môže využiť vhodný IT nástroj.
Dobrá rada nad zlato: pri implementácii GDPR je vhodné rozlišovať nielen procesy, dokumentáciu a IT nástroje, ale aj jednotlivé skupiny dotknutých osôb, ktorých údaje sú spracovávané. Pri každej z nich potom obvykle má plnenie povinností podľa GDPR odlišné aspekty, či už kvôli sektorovej legislatíve, odlišným účelom spracovania alebo s ohľadom na ďalšie špecifiká.
Klienti: Či už ide o tých súčasných, alebo bývalých. Spracovanie ich dát je nevyhnutné na splnenie zmluvy či na ochranu oprávnených záujmov organizácie, ale osobitná právna úprava, či už v oblasti zdravotníctva, telekomunikácií alebo poisťovníctva, môže ich spracovanie na určité účely takisto vyžadovať.
Zamestnanci: Či už bývalí, súčasní alebo budúce. Spracovanie osobných údajov zamestnancov či uchádzačov o zamestnanie má rad špecifík vyplývajúcich z pracovnoprávnych predpisov a tieto špecifiká je pri zavádzaní GDPR nutné zohľadniť.
Potencionálni klienti: Inak povedané neklienti, ktorých údaje sú spracovávané za účelom priameho adresného marketingu. Pri tomto spracovaní údajov je nutné vziať do úvahy aj ďalšie predpisy, ktoré upravujú niektorý druh marketingovej komunikácie.
Návštevníci internetových stránok: Spracovanie informácií o návštevníkoch internetových stránok či užívateľoch ďalších online produktov je stále intenzívnejšie, z úrovne Európskej únie je na to reagované detailnejšou reguláciou, či už sa jedná o GDPR alebo pripravované nariadenie o ochrane súkromia a elektronických komunikáciách, tzv. EPrivacy. Aj tejto oblasti, resp. skupine osôb, je preto potrebné venovať pozornosť.
Ďalšie osoby, ktorých údaje organizácia spracováva: Napríklad za účelom ochrany svojich práv. Môže sa jednať o osoby zachytené kamerovým systémom či iným sledovacím systémom, evidovanie návštevníkov budovy či zariadenia určitej organizácie atď.
Aj spracovanie informácií o týchto osobách, hoci v niektorých prípadoch organizácia sama nie je schopná ich identifikovať, typicky pri kamerovom sledovaní verejných priestorov, je totiž v režime GDPR a je pri ňom nutné v primeranom rozsahu plniť všetky povinnosti, ktoré GDPR prináša.