I kdybychom dnes firmám prodali všechny naše technologie, ochráníme je v rámci GDPR maximálně v rozsahu 5 procent. Na prvním místě jsou totiž skutečně procesy, technologie jsou až za nimi.
Marek Bražina, Systems Engineer ze společnosti VMware.
Nejasný výklad, vysoké sankce. Skvělá kombinace, že?
Patříte mezi firmy, které nakládají s osobními údaji zaměstnanců a zákazníků? Jak by ne, nelze si představit obor, ve kterém by tato situace nebyla aktuální. Moc času už nezbývá a podle vzrůstajícího počtu dotazů od našich zákazníků a školení, které u nás probíhají to vypadá, že se lidé začínají zajímat, co je vlastně v příštím roce čeká za změny.
Nové nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR) vstoupí v platnost už 28. května 2018 a jak se zdá mnoho lidí je zmateno a neví co si s osobními údaji svých zaměstnanců a zákazníků počít. Jedno je jasné, pokud dojde k pochybení a nenaplnění této legislativy hrozí sankce až 20 000 000 € nebo půjde-li o podnik, tak až do výše 4% jeho celosvětového ročního obratu. Což řekněme si na rovinu, může být zásadní čára přes rozpočet.
Na obranu nás všech, kterých se to týká, jistá výkladová stanoviska již byla evropskými orgány publikována, ale stále jsou podklady velmi nedostačující a v praxi za nás nepoužitelné. Co si tedy vlastně za tím magickým pojmem GDPR představit?
Předně si definujte procesy
Jak to vypadá v praxi. Na většině webových stránek na Vás vyskočí několika stránkový popis problematiky GDPR se všemožnými odkazy na jednotlivé legislativní nařízení, věstníky EU, ohromným tučně zvýrazněným datem, kdy vstupuje GDPR v platnost, ale co Vám nikde neřeknou a co si nikde nepřečtete je: stanovte si firemní procesy! Divili byste se, kolik firem stále ještě pracuje s Office nástroji. Mnohostránkové listy, které přeposílá Andula Pepíkovi emailem, nezamčené a nechráněné s duplicitními údaji, bez jakéhokoliv řádu a konceptu.
V dnešním moderním světě, kdy už ERP řešení nestojí majlant si může dovolit chytrý informační systém doopravdy kdokoliv. Certifikát zabezpečení, přístup jen pro uživatele, kteří s informacemi musí přijít do styku, dále úroveň oprávnění a hlavně PROCESY. Proč nechat obsluhu výrobního stroje nakukovat do objednávek nebo CRM, kde jsou veškeré citlivé údaje naservírované jako na stříbrném podnose. Zkrátka, proč se takto trápit?
Zabezpečení
V samotném nařízení stojí, že po firmách je možné spravedlivě požadovat jen to, co je pro ně v rámci zabezpečení možné. Což znamená, že pokud máte krámek se zeleninou a Váš roční obrat činí pár set tisíc korun českých, nikdo po Vás nebude požadovat investici, která tuto hodnotu přesahuje. Když zabezpečení, tak v rámci Vašich možností.
Ideálním v tomto směru je přejít do Cloudu. Poskytovatel, který vlastní cloudové služby, si bezpečnost velmi dobře a pečlivě hlídá. Data tak jsou v naprosté většině případů lépe zabezpečená, ať už máte bezpečnost na svých serverech řešenou jakkoliv. Výhodou cloudových služeb je navíc to, že servery, úložiště, služby a aplikace, jsou uživatelům dostupné vzdáleně přes síť nebo internet.
Edukace zaměstnanců
Jak jsme již jednou zmiňovali, nastavení procesů na prvním místě. Hned v závěsu za ním je povědomí zaměstnanců a obecně všech osob, které přicházejí do styku s osobními údaji o této problematice. Protože, ačkoliv systém bude perfektně, precizně a pečlivě zabezpečený, nikdo nezabrání tomu, aby osoba v černém přišla, vzala a odnesla pryč. Může to být třeba paní uklízečka, ale i průvan.
ANO, ANO, ANO
Jako u oltáře, kdy si slibujete věrnost i tady je potřeba mít souhlas druhé strany. Dostatečně konkrétní! "Souhlasím se zpracováním údajů" doopravdy nestačí. Je potřeba, aby Vám zaměstnanec dal výslovný souhlas s uvedením k jakému citlivému údaji je dáván. Co je citlivý údaj?
Co se týče ožehavého tématu zakomponování souhlasu se zpracováním osobních údajů do VOP na Vašich internetových stránkách. bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností, bude muset být od těchto ostatních skutečností na první pohled jednoduše odlišitelný. Například na samostatné straně dokumentu nebo jako samostatné zaškrtávací políčko na webových stránkách. A to pozor na nezletilé děti, kdy souhlas bude muset být poskytnutý se souhlasem rodičů (to však v praxi nijak ošetřitelné není a GDPR tyto nejasnosti podchycené nemá).
Anonymizace
Anonymizované údaje jsou takové údaje, které ani nepřímo nepomáhají v identifikaci určitého člověka a nejsou s ním tedy nijak spojitelná. Opatření s tím spojená by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.
Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
To ovšem neplatí o informacích, které jsou nezbytně nutné uchovávat v návaznosti na českou legislativu. Tedy například personální a mzdová agenda, dále také informace potřebné pro uzavření pracovní smlouvy, DPP, DPČ vedené v rámci osobního spisu zaměstnance, který obsahuje pracovní smlouvu, platové výměry, doklady o vzdělání apod.
Shrnutí
Předně najděte informační systém, který Vám bude sedět a uspokojí Vaše potřeby. Nemusí to být ERP, stačí DMS nebo CRM systém. Vybírejte uvážlivě s ohledem na to, co využijete a jaké jsou Vaše cíle.
Jestli chcete s výběrem poradit, dejte nám vědět. Máme totiž peckový systém Odoo.
Ať už ERP systém máte nebo nemáte, tak:
zjistěte s jakými údaji ve firmě přicházíte do styku,
kde je uchováváte,
kdo s nimi pracuje a zda mu mají být přístupné.
zjistěte s jakými údaji ve firmě přicházíte do styku,
kde je uchováváte,
kdo s nimi pracuje a zda mu mají být přístupné.
Vytvořte si mapu toku informací ve Vaší společnosti včetně osob, které k nim mají přístup a podle toho pak:
nastavte smluvní podmínky, ustanovení na webových stránkách a udělejte si pořádek v obchodních podmínkách,
vytvořte strukturu oprávnění pro Vaše zaměstnance,
poučte Vaše zaměstnance o možných úskalích GDPR nebo je pošlete k nám na GDPR školení,
zajistěte si souhlasy se zpracováním osobních údajů,
evidujte (ideálně najděte systém, který to zvládne za Vás) záznamy o tom, kdo s údaji nakládá a kde teď leží.
Není to zrovna málo, co musíte splnit, ale tohle je alespoň základní přehled.
Pokud se více zajímáte o téma GPR a chcete se dozvědět více o možnostech informačních systémů, dejte nám vědět. Rádi vám pomůžeme.
