Zavádíme GDPR
krok za krokem

Chcete si zavést GDPR sami? Rádi Vám pomůžeme. Provedeme Vás jednotlivými kroky a zároveň Vám poskytneme potřebnou dokumentaci.

Krok 1 - sběr dat

Nejdříve je potřeba zmapovat veškeré osobní údaje, které ve Vaší společnosti zpracováváte.

  • Osobní údaje zaměstnanců (Jméno, Příjmení, Adresa, E-mail, Telefonní číslo, Rodné číslo, Číslo bankovního účtu, Neschopenky, Výplatní pásky apod.)
  • Osobní údaje koncových zákazníků nebo OSVČ (Jméno, Příjmení, Adresa, E-mail, Telefonní číslo, Rodné číslo, Číslo bankovního účtu apod.)
  • Osobní údaje firemních zákazníků - kontaktní osoby (Jméno, Příjmení, E-mail, Telefonní číslo apod.)
Dále si sepište všechna umístění, kde osobní údaje zpracováváte nebo uchováváte. Například:

  • Osobní složky zaměstnanců - Šanony v mojí kanceláři
  • Evidence zákazníků - Excelová tabulka v mém počítači
  • Faktury - Externí účetní
  • Objednávky - E-mail
Sepište si seznam všech zaměstnanců, kteří zpracovávají osobní údaje ve Vaší společnosti.

  • Pokud některý zaměstnanec odejde a na jeho místo nastoupí jiný, seznam aktualizujte
  • Není potřeba evidovat zaměstannce, kteří nemají přístup k osobním údajům
Nakonec zaevidujte způsoby ochrany osobních údajů ve Vaší společnosti. Například:

  • Pravidelná záloha serveru
  • Elektronické zabezpečení sídla firmy
  • Každý uživatel s přístupem k informačnímu systému má vlastní přihlašovací údaje
  • Veřejné prostory jsou monitorovány kamerovým systémem

Krok 2 - mapování pohybu osobních údajů

Zaznamenejte, jak osobní údaje "proplouvají" Vaší firmou. Odkud přichází a kde končí. Například:

  • Od dodavate přes vaší společnost k odběrateli
  • Z Číny do Evropy
  • Z poštovní schránky na stůl pana ředitele
Popište životní cyklus osobních údajů. U každého cyklu posuďte:

  • Jsou po celou dobu zpracování osobní údaje zabezpečeny? Neztrácíte je po cestě na chvilku z dohledu? (Posílání poštou, e-mailem apod.)
  • Důvěřujete všem osobám, které příjdou do styku s osobními údaji, a jsou tito náležitě proškoleni?
  • Které osobní údaje zpracujete hned a které v budoucnosti?
U každého pohybu dat zaevidujte následující údaje:

  • Jaké osobní údaje se zpracovávají (jméno, e-mail apod.)
  • V jakém formátu "cestují" (papírový dokument, digitální záznam, databáze, USB, Smartphone apod.)
  • Jak získáváte osobní údaje (například životopis přichází poštou nebo e-mailem), jak se data předávají interně v rámci Vaší společnosti a jak externě (například externí zpracování mezd)
  • Kde probíhá zpracování osobních údajů (kanceláře, šanony, server, cloud, u externích zpracovatelů apod.)
  • Kdo odpovídá za zabezpeční osobních údajů v jednotlivých fázích zpracování
  • Kdo má k osobním údajům přístup během zpracování

Krok 3 - doba zpracování, účel zpracování, právní základ

Každý osobní údaj můžete zpracovávat, dokud nedosáhnete účelu, pro který tento údaj zpracováváte. Například:

  • Daňová evidence - 10 let
  • E-mail - do odvolání souhlasu
  • Záznamy kamerového systému - 1 týden
Účel zpracování je důvod, pro který osobní údaje zpracovávate (shromažďujete). Prostě kvůli čemu či za jakým cílem chcete osobní údaje evidovat a pracovat s nimi. Například:

  • Shromažďování údajů o potenciálních klientech, jejich oslovení za účelem marketingového či obchodního sdělení
  • Zpracování osobních údajů za účelem ochrany majetku a zdraví (např. kamerové systémy)
  • Vedení personální evidence zaměstnanců pro účely plnění pracovněprávních smluv a povinností dle zákoníku práce a dalších předpisů
Pro každé zpracování musíte určit právní základ. Vyberte z následujících možností:

  • Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů
  • Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
  • Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
  • Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
  • Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany
  • Subjekt údajů udělil souhlas pro jeden či více konkrétních účelů

Krok 4 - gap analýza

Projděte si informace, které jste nashromáždili v předcházejících krocích. Našli jste rizika? Například:

  • Notebook, na kterém mám soubor s kontakty, není zálohovaný
  • Nemám smlouvu s firmou, která nám spravuje webové stránky
  • Faktury vozím externí účetní v papírové podobě autem
  • Místnost s osobními složkami zaměstnanců není dostatečně zabezpečena
Definujte nápravná opatření tak, abyste dostatečně technicky a organizačně chránili osobní údaje. Například:

  • Data z notebooku budou zálohována
  • Zrevidujeme smlouvy s externími zpracovateli
  • Faktury budeme zasílat zašifrované elektronicky
  • Místnost s osobními složkami zaměstnanců vybavíme kamerovým systémem
Definujte časový plán a určete odpovědné osoby pro realizaci jednotlivých opatření. Tím, že znáte rizika a máte plán pro jejich odstranění, prokazujete svůj soulad s GDPR.

  • Definujte projektový plán pro ostranění rizik
  • Pro zjednodušení můžete použít připravený formulář
  • Realizujte

GDPR je chytrá správa osobních údajů a my vám rádi pomůžeme stát se chytrou firmou.

Kontakt