I kdybychom dnes firmám prodali všechny naše technologie, ochráníme je v rámci GDPR maximálně v rozsahu 5 procent. Na prvním místě jsou totiž skutečně procesy, technologie jsou až za nimi.
Marek Bražina, Systems Engineer ze společnosti VMware.
Nejasný výklad, vysoké sankce. Skvělá kombinace, že?
Patříte mezi firmy, které nakládají s osobními údaji zaměstnanců a zákazníků? Jak by ne, nelze si představit obor, ve kterém by tato situace nebyla aktuální. Moc času už nezbývá a podle vzrůstajícího počtu dotazů od našich zákazníků a školení, které u nás probíhají to vypadá, že se lidé začínají zajímat, co je vlastně v příštím roce čeká za změny.

Předně si definujte procesy
Jak to vypadá v praxi. Na většině webových stránek na Vás vyskočí několika stránkový popis problematiky GDPR se všemožnými odkazy na jednotlivé legislativní nařízení, věstníky EU, ohromným tučně zvýrazněným datem, kdy vstupuje GDPR v platnost, ale co Vám nikde neřeknou a co si nikde nepřečtete je: stanovte si firemní procesy! Divili byste se, kolik firem stále ještě pracuje s Office nástroji. Mnohostránkové listy, které přeposílá Andula Pepíkovi emailem, nezamčené a nechráněné s duplicitními údaji, bez jakéhokoliv řádu a konceptu.
V dnešním moderním světě, kdy už ERP řešení nestojí majlant si může dovolit chytrý informační systém doopravdy kdokoliv. Certifikát zabezpečení, přístup jen pro uživatele, kteří s informacemi musí přijít do styku, dále úroveň oprávnění a hlavně PROCESY. Proč nechat obsluhu výrobního stroje nakukovat do objednávek nebo CRM, kde jsou veškeré citlivé údaje naservírované jako na stříbrném podnose. Zkrátka, proč se takto trápit?
Zabezpečení
V samotném nařízení stojí, že po firmách je možné spravedlivě požadovat jen to, co je pro ně v rámci zabezpečení možné. Což znamená, že pokud máte krámek se zeleninou a Váš roční obrat činí pár set tisíc korun českých, nikdo po Vás nebude požadovat investici, která tuto hodnotu přesahuje. Když zabezpečení, tak v rámci Vašich možností.
Ideálním v tomto směru je přejít do Cloudu. Poskytovatel, který vlastní cloudové služby, si bezpečnost velmi dobře a pečlivě hlídá. Data tak jsou v naprosté většině případů lépe zabezpečená, ať už máte bezpečnost na svých serverech řešenou jakkoliv. Výhodou cloudových služeb je navíc to, že servery, úložiště, služby a aplikace, jsou uživatelům dostupné vzdáleně přes síť nebo internet.
Edukace zaměstnanců
Jak jsme již jednou zmiňovali, nastavení procesů na prvním místě. Hned v závěsu za ním je povědomí zaměstnanců a obecně všech osob, které přicházejí do styku s osobními údaji o této problematice. Protože, ačkoliv systém bude perfektně, precizně a pečlivě zabezpečený, nikdo nezabrání tomu, aby osoba v černém přišla, vzala a odnesla pryč. Může to být třeba paní uklízečka, ale i průvan.
ANO, ANO, ANO
Jako u oltáře, kdy si slibujete věrnost i tady je potřeba mít souhlas druhé strany. Dostatečně konkrétní! "Souhlasím se zpracováním údajů" doopravdy nestačí. Je potřeba, aby Vám zaměstnanec dal výslovný souhlas s uvedením k jakému citlivému údaji je dáván. Co je citlivý údaj?
Co se týče ožehavého tématu zakomponování souhlasu se zpracováním osobních údajů do VOP na Vašich internetových stránkách. bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností, bude muset být od těchto ostatních skutečností na první pohled jednoduše odlišitelný. Například na samostatné straně dokumentu nebo jako samostatné zaškrtávací políčko na webových stránkách. A to pozor na nezletilé děti, kdy souhlas bude muset být poskytnutý se souhlasem rodičů (to však v praxi nijak ošetřitelné není a GDPR tyto nejasnosti podchycené nemá).
Anonymizace
Anonymizované údaje jsou takové údaje, které ani nepřímo nepomáhají v identifikaci určitého člověka a nejsou s ním tedy nijak spojitelná. Opatření s tím spojená by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.
Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
To ovšem neplatí o informacích, které jsou nezbytně nutné uchovávat v návaznosti na českou legislativu. Tedy například personální a mzdová agenda, dále také informace potřebné pro uzavření pracovní smlouvy, DPP, DPČ vedené v rámci osobního spisu zaměstnance, který obsahuje pracovní smlouvu, platové výměry, doklady o vzdělání apod.
Shrnutí
Předně najděte informační systém, který Vám bude sedět a uspokojí Vaše potřeby. Nemusí to být ERP, stačí DMS nebo CRM systém. Vybírejte uvážlivě s ohledem na to, co využijete a jaké jsou Vaše cíle.
Jestli chcete s výběrem poradit, dejte nám vědět. Máme totiž peckový systém Odoo.
Ať už ERP systém máte nebo nemáte, tak:
zjistěte s jakými údaji ve firmě přicházíte do styku,
kde je uchováváte,
kdo s nimi pracuje a zda mu mají být přístupné.
zjistěte s jakými údaji ve firmě přicházíte do styku,
kde je uchováváte,
kdo s nimi pracuje a zda mu mají být přístupné.
Vytvořte si mapu toku informací ve Vaší společnosti včetně osob, které k nim mají přístup a podle toho pak:
nastavte smluvní podmínky, ustanovení na webových stránkách a udělejte si pořádek v obchodních podmínkách,
vytvořte strukturu oprávnění pro Vaše zaměstnance,
poučte Vaše zaměstnance o možných úskalích GDPR nebo je pošlete k nám na GDPR školení,
zajistěte si souhlasy se zpracováním osobních údajů,
evidujte (ideálně najděte systém, který to zvládne za Vás) záznamy o tom, kdo s údaji nakládá a kde teď leží.
Není to zrovna málo, co musíte splnit, ale tohle je alespoň základní přehled.
