Strašák GDPR: Jak začít?

Jak na implementaci GDPR? Podnikatelům přinášíme návod, jak začít

Podnikáte a lámete si hlavu nad tím, jak postupovat při implementaci obecného nařízení GDPR? Média nařízením GDPR s oblibou straší. Pro většinu malých a středních podnikatelů však nepřináší zásadní změny, implementace je zdarma a stihnout se dá za dvě tři odpoledne. Právě menším podnikatelům z řad našich zákazníků přinášíme stručný návod, jak začít. Poradíme, které kroky nevynechat, a přidáme i vzor dokumentu analýzy rizik a bezpečnostních opatření.

Asi nejvýznamnější novinkou v oblasti legislativy IT za poslední dobu je bezesporu GDPR (General Data Protection Regulation – Obecné nařízení o ochraně osobních údajů). Nejpozději do 25. května 2018 musí být tato zákonná norma plně implementována. Dotýká se chodu všech firem, které uchovávají či jinak nakládají s osobními daty uživatelů. Zpracováváte u vás ve firmě jména, příjmení, e-maily, telefonní čísla nebo fotografie zákazníků či zaměstnanců? Pak v případě nedodržení povinností vyplývajících z tohoto obecného nařízení hrozí vysoké pokuty, jimiž média s oblibou straší, i vám. Ale nebojte, předejít jim lze řádnou přípravou, která nemusí být nutně složitá. A pokud nejste nemocnice pracující s citlivými údaji či korporát s tisíci zaměstnanci, zvládnete první kroky v implementaci třeba ještě dnes.

Na úvod trocha teorie

V České republice nahrazuje nařízení GDPR dosud platnou právní úpravu ochrany osobních údajů v podobě směrnice z roku 1995 (95/46/ES) a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Pokud znáte znění těchto zákonů, tak víte, že naše právní úprava je už nyní nastavena poměrně přísně. GDPR ji v řadě věcí vlastně zjednodušuje.

Pro běžný provoz e-shopu opravdu nepotřebujete pověřence pro ochranu osobních údajů nebo speciální uzamykatelné skříně na dokumenty.

Cílem nařízení není udělování přemrštěných likvidačních pokut, jak se často můžeme dočíst. Vymáhat bude Úřad pro ochranu osobních údajů (ÚOOÚ) v prvé řadě nápravu. Ministr vnitra v demisi Lubomír Metnar navíc uklidňuje, že pokud firmy dodržují dosud platný zákon o ochraně osobních údajů, v zásadě zároveň naplňují i povinnosti z nového nařízení. Nenechte se tedy vystrašit. Pro běžný provoz e-shopu opravdu nepotřebujete pověřence pro ochranu osobních údajů nebo speciální uzamykatelné skříně na dokumenty. A ani často skloňované šifrování dat není dle Úřadu pro ochranu osobních údajů povinné. Litera nařízení je v mnohém volná a jak v Masteru k tématu GDPR s oblibou říkáme, postačí zapojit selský rozum.

Týká se GDPR nařízení i vás?

Jak jsme zmínili v úvodu, GDPR zasáhne do chodu všech firem, které jakýmkoliv způsobem zpracovávají osobní údaje svých zaměstnanců či klientů. Naopak nedopadá na činnosti zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. A nedotýká se ani vás jako fyzické osoby, která zpracovává osobní údaje výlučně pro své vlastní účely. Tedy takové to domácí žvýkání...

Příprava? Čtyři, tři, dva, jedna, hotovo

Ještě v prosinci 2017 se třetina firem na GDPR nechystala a další více než čtvrtina uvedla, že nařízení ani nezná. Letos v březnu se situace zlepšila, ale třetina podnikatelů podle šetření Hospodářské komory stále neví, jaká opatření zavést.

Kdekdo by řekl, že včera bylo pozdě, ale i necelé dva měsíce před platností nařízení ještě pořád stíháte základní přípravu. Jak na ni?

Ukážeme si ji na příkladu malé firmy s 10 zaměstnanci a externí účetní sídlící ve vlastní kancelářské budově. Budova je vybavena kamerovým bezpečnostním systémem. Firma provozuje webové stránky s malým e-shopem od externího dodavatele. V něm sbírá základní údaje nutné k vyřízení objednávky, jako jsou adresa, telefon, e-mail a IP adresa. Na svých stránkách využívá i remarketing a nasazeny má měřicí kódy od Google a Sklik. Pro e-maily využívá Google mail, jako centrální úložiště slouží NAS server, ale některá data a nabídky jsou uloženy i na lokálních discích počítačů v kancelářích. Webové stránky firmy běží na spravovaném cloud serveru Master Internet, v účetním software Pohoda pracuje firma s adresářem cca 8 tisíc subjektů. Čas od času rozesílá newsletter s pozvánkou na akce pořádané v sídle firmy a jednou ročně přání do nového roku. Data o zákaznicích naše fiktivní firma neposkytuje žádným třetím stranám.

S přípravou na GDPR můžete vy i naše fiktivní firma začít ve čtyřech krocích:

1. Zmapujte, jak nakládáte s osobními údaji. Jinými slovy proveďte audit údajů, které zpracováváte

Které údaje patří mezi osobní, jsme shrnuli v boxu níže. Ale jak chápat proces jejich zpracování? Podle ÚOOÚ se pod zpracováním rozumí jakákoli operace, která je prováděna s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, uložení a tak dále. Ve smyslu GDPR se však musí jednat o sofistikovanější činnost, „kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.“ Pokud například obdržíte e-mail s podpisem odesílatele, ještě se nejedná o zpracování jeho osobních údajů. K tomu dojde až v okamžiku, kdy se rozhodnete tyto údaje přepsat do nějaké databáze či CRM systému.

U každého osobního údaje bychom měli znát zdroj, odkud data bereme. Z úvodu víme, že naše fiktivní firma sbírá údaje:

  • Nutné ke zprocesování objednávky z e-shopu v okamžiku, kdy návštěvník zadá poptávku
  • O chování uživatelů na webových stránkách
  • Na osobních schůzkách/networkingu při převzetí vizitky
  • Uzavřením smlouvy či dohody, a to nejen se zákazníky, ale spadají sem i osobní údaje zaměstnanců a jejich rodinných příslušníků
  • Prostřednictvím kamer formou videozáznamu z prostor sídla firmy

Co jsou osobní údaje

Osobní údaje jsou veškeré informace o fyzické osobě, díky kterým lze přímo či nepřímo konkrétní fyzickou osobu identifikovat. Mezi údaje, s nimiž nakládá většina malých a středních podnikatelů, patří:

  • Jméno a příjmení
  • Datum narození
  • Věk
  • Pohlaví
  • Rodinný stav
  • E-mail
  • Telefon
  • Fotografie
  • Obrazové a zvukové záznamy, lokační údaje a další charakteristiky
  • IP adresa je osobním údajem od okamžiku, kdy ji spojíte s konkrétním člověkem
  • Podobně cookies a veškeré další údaje o chování uživatele na webu v případě, že ho cíleně monitorujete

Zvláštní kategorii tvoří takzvané citlivé údaje typu rasový či etnický původ, zdravotní stav, sexuální orientace a další.

2. Pokračujte v inventuře osobních údajů

Ve druhé fázi se na osobní údaje z prvního kroku podívejte detailněji. Ujasněte si, že máte přehled o tom, kde jsou data uložena a kdo k nim má přístup. Jsou vytištěna a uložena v papírové podobě v archivu? Nebo na cloudovém serveru v zabezpečeném datacentru? Přistupují k nim pouze vaši zaměstnanci, nebo je předáváte třetím subjektům? Používáte k jejich zpracování software třetí strany?

Z naší fiktivní firmy přistupují k osobním údajům tyto pozice:

  • Jednatel
  • Personalista
  • Obchodník
  • Fakturantka
  • Mzdový účetní (externí)
  • Technik
  • Projektant
  • Pracovník příjmu a výdeje zboží

Ptejte se také, za jakým účelem dané údaje zpracováváte a zda je předáváte dalším subjektům, takzvaným zpracovatelům (v našem případě je zpracovatelem externí účetní, dodavatel e-shopu, provozovatel cloudu, Google a další) či dokonce příjemcům (tím by byla třetí strana – fyzická či právnická osoba – jíž by naše firma data poskytla; k tomu ale v našem konkrétním případě nedochází a předpokládáme, že ani vy data svých zákazníků neprodáváte dalším subjektům). Nejpraktičtější bude vytvořit kompletní seznam služeb, které využíváte. V případě naší fiktivní firmy by seznam vypadal následovně:

  • Cloud server od Master Internet
  • Dodavatel e-shopového řešení
  • Účetní systém Pohoda
  • G suite od Google
  • Mailchimp pro hromadné rozesílky
  • Sociální sítě Facebook, Twitter, Linkedin
  • Reklamní systémy Adwords, Sklik

3. Zpracujte analýzu rizik a aplikujte bezpečnostní opatření

GDPR vnáší do problematiky ochrany osobních údajů nový přístup založený na riziku. Rozlišuje přitom pouze riziko a vysoké riziko. Jako správce máte povinnost při zpracování osobních údajů přihlédnout k pravděpodobným rizikům pro práva fyzických osob a tomuto riziku i přizpůsobit ochranu dat.

Zjednodušeně řečeno – u každého jednotlivého osobního údaje si sepište, jaké je riziko jeho ztráty / úniku / odcizení a zanalyzujte, jak data chráníte, a jak riziku úniku předcházíte. Pokud dojde k úniku citlivých údajů, jako jsou například zdravotní stav nebo třeba číslo kreditní karty, lze míru rizika vyhodnotit jako vysokou. Ve všech ostatních případech se jedná o riziko.

Jedním z rizik naší fiktivní firmy může být právě únik dat zákazníků z účetního systému. Analýza rizika by pak mohla vypadat následovně:

Analýza rizika

Únik zákaznických dat z účetního systému Pohoda
Jak k němu může dojít Prolomení přihlašovacích údajů útočníkem; lidská chyba / únik přihlašovacích údajů; technická chyba / živelní pohroma
Jaké jsou důsledky Ztráta / smazání dat; změna dat v databázi; únik osobních údajů neoprávněné osobě a jejich případné zneužití; zveřejnění dat na internetu
Jak riziku předcházíme Metodika pro tvorbu silných hesel; hesla pravidelně měníme; přístup k osobním údajům zákazníků má pouze část zaměstnanců; přístup pouze z autorizovaných zařízení (firemní PC či notebook); data zálohujeme; přístup umožněn pouze z interní sítě
Jak postupovat při úniku 1. Informovat jednatele, 2. Do 72 hodin informovat dozorový úřad, 3. Je-li to potřeba informovat i subjekt údajů (zákazníka / zaměstnance)
Možná vylepšení (nasazení těchto vylepšení je závislé na externím zpracovateli) Nasazení mechanismu, který vyhodnotí nestandardní přístup do systému (např. v nepracovní den, z lokality mimo Evropu, apod.); zavedení dvoufaktorové autentifikace; část údajů ukládat v šifrované podobě

Podobným způsobem doporučujeme projít všechna rizika úniku dat ve vaší společnosti. Uděláte si ve věcech pořádek a nejspíš zjistíte, že vše funguje, jak má. Nic horšího, než že odhalíte nedostatky s předstihem, se nestane.

Analýza rizik není povinným dokumentem, ale pokud už ji budete provádět, proč toho nevyužít a nevypracovat jako jeden z dokumentů? Nezapomeňte na hlavičku s kontaktními údaji, datem a dalšími náležitostmi. Jakmile dokument vyhotovíte, doporučujeme ho vytisknout a uložit. Vzorovou ukázku fiktivní firmy jsme připravili ke stažení zde.

Analýza rizik ke stažení zde

4. Vypracujte Záznamy o činnostech zpracování

Finišujeme. Právě takzvané Záznamy o činnostech zpracování jsou totiž hlavním výstupem a představují do jisté míry náhradu za oznamovací povinnost. Všechny tři předchozí kroky nám pomohly připravit se na zpracování tohoto nezbytně nutného dokumentu.

Litera nařízení je v mnohém volná a jak v Masteru k tématu GDPR s oblibou říkáme, postačí zapojit selský rozum.

Forma dokumentu není nijak stanovena a sám Úřad pro ochranu osobních údajů předpokládá, že se budou v konkrétních případech lišit. Je tedy na uvážení každé firmy, jakou podobu tomuto dokumentu vtiskne.

S klidným svědomím můžeme doporučit tabulku, ve které ke každému ze zpracovávaných osobních údajů přehledně shrnete:

  • Účel zpracování
  • Bezpečnostní opatření k zajištění bezpečnosti osobních údajů
  • Popis osobních údajů včetně stanovené lhůty pro jejich výmaz
  • Příjemce a další zpracovatele – předáváte-li tyto údaje dalším subjektům

V dalším díle seriálu o GDPR se budeme detailněji věnovat právě dokumentu Záznamů o činnostech zpracování. Prozatím doporučujeme nechat si všechny informace projít hlavou, domluvit schůzku s kolegy a vyhotovit interní audit včetně analýzy rizik.

Máte už nyní dotazy k tématu ochrany osobních údajů a obecnému nařízení? V Master Internet jsme – byť nám to Nařízení přímo neukládá – jmenovali pověřence pro ochranu osobních údajů, který zákazníkům rád zodpoví dotazy související s GDPR.

Správné místo pro vaše data

NAŠE DATACENTRA NALEZNETE V PRAZE I V BRNĚ