Zdroj: Asociace malých a středních podniků a živnostníků ČR
Každý podnikatel by si měl zanalyzovat, které povinnosti na něj budou dopadat a dle toho provést implementaci nutných změn.
Změny se určitě budou týkat právní dokumentace (souhlasy se zpracováním, zpracovatelské smlouvy, vnitřní předpisy), dále je třeba myslet na bezpečnostně technickou stránku věci, využívat dostatečně zabezpečené informační systémy a vhodně nastavit interní procesy zpracování osobních údajů. Efektivitu a praktičnost přijatých opatření je třeba pravidelně ověřovat, a to jak technickou úroveň, tak pravidelné školení zaměstnanců.
Implementaci GDPR by podnik neměl podceňovat. Doba potřebná pro přípravu GDPR se může pohybovat v rozmezí od 2 do 24 měsíců, u malých a středních podniků je tato doba kratší – od 2 do 12 měsíců. Implementaci můžeme rozdělit do 3 základních fází:
- mapování a rozdílová (GAP) analýza;
- dopadová analýza; a
- implementace GDPR.
1. Mapování a rozdílová (GAP) analýza
Nejprve podnik musí posoudit, jaké informace zpracovává a jak splňuje v současnosti požadavky dle GDPR. Následně se bude posuzovat, jak podnik splňuje právní a technické požadavky GDPR. Nesoulad se předpokládá tam, kde GDPR zavádí nové povinnosti (např. při povinnosti jmenování pověřence).
2. Dopadová analýza
Poté se musí analyzovat dopady, které změny vyvolané nutností zajištění souladu přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. V rámci dopadové analýzy by měly malé a střední podniky zhodnotit, zda a v jakém rozsahu se jich bude týkat jediná relevantní výjimka (právě pro malé a střední podniky) z povinnosti vést záznamy o činnosti zpracování podle čl. 30 GDPR. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, tyto organizace nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Je třeba také celkově posoudit rizika konkrétního zpracování. Je to důležité pro zvolení takových opatření k zajištění souladu, která jsou vzhledem k úrovni rizika potřeba, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Musí se také zjistit riziko zpracování např. při posouzení oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, posouzení slučitelnosti účelů dle čl. 6 odst. 4 GDPR, splnění požadavků dle čl. 25 GDPR atd. Dále je nezbytné posoudit bezpečnostní rizika podle čl. 32 GDPR a je namístě navrhnout vhodná technická a organizační opatření k zajištění integrity a bezpečnosti zpracování. Dále se pak nelze vyhnout nutnosti posoudit, jestli má podnik povinnost jmenovat pověřence pro ochranu osobních údajů. U malých a středních podniků k tomu nebude často docházet. Pokud podnik dojde k závěru, že musí pověřence jmenovat, měl by tak učinit ještě před zahájením samotné implementace navržených kroků z dopadové analýzy. Pověřenec tak bude moci dát podniku kvalifikované stanovisko k tomu, jestli jsou navrhovaná opatření dostatečná, či nikoliv.
3. Implementace GDPR
Po dokončení analýzy dopadů podnik začne postupně provádět všechna opatření, která byla v jejím rámci navrhnuta.
- Mělo by dojít k úpravě externí dokumentace. Měly by se upravit souhlasy se zpracováním, obchodní podmínky, podmínky ochrany osobních údajů, zpracovatelské smlouvy apod.
- Je třeba upravit interní dokumentace jako např. vnitřní předpisy a jinou dokumentaci určenou zaměstnancům, vytvořit koncepci ochrany osobních údajů, podle potřeby provést a zdokumentovat různá posouzení.
- Dále je vhodné upravit procesy zpracování osobních údajů, a to jak uvnitř společnosti, tak navenek.
- Nelze se vyhnout ani úpravě informačních systémů. Aby byl správce schopen plnit povinnosti podle GDPR, pak musí mít pořádek v datech.
- Musí být vytvořen plán pro případ porušení zabezpečení osobních údajů. Musí se vytvořit procesy interního reportování, vyšetřování a mírnění důsledků porušení zabezpečení.
- Správce se musí připravit na výkon práv subjektů údajů. Musí se zavést nutná organizační a technická opatření k tomu, aby byl subjektům údajů umožněn a usnadňován výkon jejich práv.
- Správce se také neobejde bez vytvoření komplexního accountability mechanismu. Procesy správce by měly automaticky generovat potřebnou dokumentaci, která se uchovává. Správce je totiž povinen vždy být schopen prokázat soulad s GDPR. Proto je důležité, aby byla veškerá zpracování podrobně a přehledně dokumentována.
- Správce musí implementovat zásady záměrné a standardní ochrany osobních údajů. Musí se zavést technická a organizační opatření k zajištění naplňování základních zásad zpracování.
