Obsah přednášky Metodika pro dosažení souladu s GDPR pro Ing. Pavel Kreipl, CSc. Valtice, 16. února, 2018 1
Obsah přednášky Co je třeba udělat, abychom byli v souladu s GDPR? 1) Dokumentace GDPR, která dokládá soulad 2) Dokumentace, která popisuje skutečný stav = pokud něco není v souladu, je třeba to do něj uvést. 2
1) Interní registr osobních údajů Katalog osobních údajů, které zpracováváme pro naplnění určitého, konkrétního a jasně popsaného účelu, s respektováním právního základu pro zpracování. Jeho účelem je doložit, jaký je rozsah osobních údajů a jaké jsou právní tituly k tomu je zpracovávat. A to výčtem jejich kategorií (druhů, typů...), pro každý účel zvlášť!! (nelze zpracovávat osobní údaje jen tak ) 3
1) Interní registr osobních údajů - příklad Jsme malá firma, která neřeší nic specifického. Jen vyrábíme a prodáváme. Takže si můžeme nadefinovat ÚČELY zpracování OÚ takto: 1) Agenda odběratelů klienti 2) Agenda dodavatelů nákup surovin a služeb 3) Zaměstnanci práce a mzdy pokud máme zaměstnance 4) Vedení účetnictví to musíme 5) Archivace dokumentů to také musíme Každý účel musíme popsat, co v rámci něho přesně děláme. Až tento účel pomine, OÚ už dále zpracovávat nesmíme!!! 4
1) Interní registr osobních údajů - příklad Vezměme si první ÚČEL zpracování a tím je: 1) Agenda odběratelů klienti V rámci ní budeme evidovat několik kategorií Subjektů údajů a) podnikající fyzická osoba, u které budeme zpracovávat tyto kategorie OÚ: a) jméno, příjmení, obchodní název, adresa, IČO, DIČ, bankovní spojení, telefon, email b) zástupce právnické osoby, které budeme zpracovávat tyto kategorie OÚ: a) jméno, příjmení, pracovní zařazení, telefon, e-mail c) kontaktní osoba právnické osoby, u které budeme zpracovávat tyto kategorie OÚ: a) jméno, příjmení, telefon, e-mail Podobně bychom připravili i pro další účely zpracování 5
1) Interní registr osobních údajů - příklad Pro každý účel zpracování si musíme zjistit, jaký je právní základ (právní důvod), na základě kterého smíme OÚ zpracovávat. Ty důvody jsme si říkali v první části přednášky. 1) Agenda odběratelů klienti Pro tento účel je možné použít jako právní důvod uzavření a plnění smlouvy. Je to uzavření smlouvy, její dodání, vyfakturování. V rámci plnění smlouvy může být i poskytnutí záruky. Účtování už bude v jiném účelu. Nejlépe je se odvolat na příslušný zákon a tím je v případě takovéto smlouvy Občanský zákoník (nebo i další). Můžeme zde použít i další právní důvod, a tím oprávněný zájem (např. v případě soudního sporu), nebo plnění první povinnosti (pokud bychom museli osobní údaje našeho klienta předávat někomu dalšímu např. u hotelů je to kniha ubytovaných. 6
1) Interní registr osobních údajů - příklad Posledními údaji, které budeme potřebovat pro každý účel zpracování je: 1) Doba zpracování tedy plánovaná doba zpracování a nejlépe s odkazem na právní předpis 2) Musíme si odpovědět na otázku, zda rozsah OÚ je minimální možný, zda OÚ jsou relevantní k účelu zpracování a zda jsou aktuální, kde je zdroj OÚ (veřejné atd.) 3) Musíme vědět, zda tyto OÚ plánujeme předat někomu dalšímu (definovat příjemce) a zda je budeme zpracovávat sami, nebo je někomu necháme zpracovat (zpracovatel). 4) Musíme vědět, zda existují i třetí strany, které s OÚ přicházejí do styku 5) Důležité (ale okrajové) je předávání OÚ mimo EU (GDPR platí jen v EÚ) a podmínky ochrany v zemi, kam chceme předávat (platí to i pro mezinárodní organizace) A máme katalog osobních údajů pro jeden účel zpracování 7
2) Odpovědnost správce Při zpracování musí správce doložit (v rámci své odpovědnosti), že celé zpracování má pod kontrolou. Tedy že ví: Jaké prostředky k tomu využívá a jak jsou popsány Jaké činnosti (a ty by měly být popsány, protože by měly být opakovatelné) při tom vykonává Jakým rizikům může být zpracování OÚ vystaveno 8
2) Odpovědnost správce - prostředky Prostředky se rozumí vše, co (kdo) se na zpracování nějak podílí: 1) Software, aplikace, kde jsou OÚ zpracovány 2) Hardware, media, sítě..., na kterým běží příslušné SW, nebo kudy se OÚ mohou přenášet 3) Listiny s OÚ 4) Osoby, které s OÚ přicházejí do styku Říká se tomu informační aktiva. Ta je třeba evidovat, protože u každého by mělo být známa jeho funkce v rámci zpracování OÚ, ochrana, která je u něj pro OÚ použita... Říká se tomu evidence informačních aktiv Toto je dobré doložit jako podklad plnění povinnosti správce. 9
2) Odpovědnost správce - procesy Procesem se rozumí popis činností (trochu jako popis práce pro pracovníka), ale z hlediska OÚ: 1) Jak se OÚ získávají 2) Jak se zpracovávají (a zálohují) 3) Jak se aktualizují 4) Jak se archivují 5) Jak se vymazávají / skartují Pro každý účel zpracování je třeba napsat popis, který obsahuje výše uvedené části. Říká se tomu evidence obchodní procesů... Toto je dobré doložit jako podklad plnění povinnosti správce. 10
2) Odpovědnost správce - rizika Každé zpracování bude (určitě) vystaveno rizikům. Tato rizika je třeba znát a snažit e je snížit. V rámci jednotlivých účelů zpracování je tedy dobré mít hodnocení rizik... 1) Jaké riziko evidujeme (jsou naštěstí předepsány) 2) Jaká (si myslíme) je pravděpodobnost toho, že nastane 3) Jaký může být dopad takového rizika, pokud nastane 4) Co můžeme udělat pro to, aby se míra rizika snížila Je nutné si uvědomit, že každé riziko se váže k nějakému prostředku a k nějakému procesu. A pokud je riziko příliš velké, pak víme, kde hledat nápravu Pro každý účel zpracování je třeba napsat popis, který obsahuje výše uvedené části. Říká se tomu Analýza rizik procesů... Toto je dobré doložit jako podklad plnění povinnosti správce. 11
3) Záznam o činnosti zpracování Záznam o činnosti zpracování je povinný dokument, který musíme mít a při kontrole předložit. Obsahuje v podstatě popis toho, co jsme uváděli nahoře (resp. to jsou podklady pro to, abychom doložili). Připravuje se pro každý účel zpracování. Obsahuje: Popis kategorií subjektů údajů, kategorií osobních údajů, zákonného důvodu zpracování osobních údajů, kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích, informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk a plánované lhůty pro výmaz jednotlivých kategorií údajů jsou uvedeny v interní dokumentaci Toto je dobré doložit jako podklad plnění povinnosti správce. 12
3) Záznam o činnosti zpracování Obsahuje dále: Popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, přijali jsme jako správce následující technická a organizační opatření, abychom zajistili úroveň zabezpečení odpovídající danému riziku, včetně: Toto je povinná dokumentace jako podklad plnění povinnosti správce. 13
4) Ale přece jen ještě něco... GDPR ale není jen o schopnosti doložit. Je o schopnosti něco dělat jinak, a to tak, aby to bylo souladu s tímto Nařízením. Jako vodítko nám mohou sloužit další dokumenty jako: - vzor souhlasu se zpracováním osobních údajů - vzory směrnice na ochranu osobních údajů - vzory procesů pro poskytování informací subjektům údajů - vzory hlášení bezpečnostních incidentů... Toto je další dokumentace jako podklad plnění povinnosti správce. 14
15
16
17
18
19
20
Toto se týká webové verze. Nabízíme službu asistovaného řešení, kde formuláře jsou v tiskové verzi a společně je vyplníme. 21
Děkuji Vám za pozornost Thank you for your attention! Otázky... 22