ABRA Software a.s.

GDPR: kdo je za co odpovědný a jaká opatření musí přijmout

GDPR: kdo je za co odpovědný a jaká opatření musí přijmout

Štítky: LegislatívaGDPR

Vlasta Tichá / 19.2.2018

Informace jsou jednou z nejcennějších položek v majetku firmy. Nyní se však mohou stát také jednou z nejrizikovějších. Porušení pravidel stanovených novým evropským nařízením může představovat hrozbu pokut až ve výši 20 milionů EUR či 4 % z celkových tržeb. Přitom stačí málo – třeba nepozornost či nevědomost řadového zaměstnance.

Koho a jak ve firmě správně informovat o GDPR, aby byla rizika často likvidačních pokut minimální?

Firmy uchovávají data o svých zaměstnancích, obchodních partnerech, dodavatelích i zákaznících, včetně těch potenciálních. Využívají je k různým účelům, od plnění zákonných povinností až po rozesílku obchodních sdělení. S novým předpisem přichází nové povinnosti a nové postihy.

Od firem se přitom očekává nejen přijetí preventivních ochranných opatření, ale také průběžná aktivní kontrola. Vyhovění GDPR tedy není jednorázovou záležitostí a dotkne se všech osob ve firmě – od majitele po brigádníky.

V mnoha oborech se v běžné praxi na osobní údaje nebere příliš ohled, což však může vyústit ve fatální potíže. Jinak řečeno, je konec kopírování občanských průkazů na recepcích hotelů nebo předávání hesel mezi zaměstnanci. Kdo se ale ve firmě postará o to, aby každý zaměstnanec věděl, jak se má chovat a firmu neohrozil? Kdo má přijmout jaká opatření?

V každé firmě je obsah jednotlivých pozic definován odlišně, hlavní náplň a odpovědnost však bývají obdobné. Jak se dotkne GDPR právě vás?

Výkonný ředitel (CEO) a správní rada

Čeká vás kompletní vyhodnocení dopadu GDPR na chod firmy a revize všech firemních procesů s ohledem na využívaná data. Dílčí procesy lze delegovat, ale klíčové strategické kroky a rozdělení úkolů je nutné přijmout jako první.

Důležité bude také vyhodnocení efektivity nákladů vynaložených na revizi procesů a implementaci účinné strategie ochrany dat. Ptejte se, kde všude a jak uchováváte a zpracováváte osobní nebo jinak citlivá data či zda jich neshromažďujete více, než skutečně využijete. Uchovávání velkého množství nepoužívaných a potenciálně rizikových dat klade zvýšené nároky na jejich ochranu, čímž významně rostou náklady.

Pro analýzu firemních procesů můžete využít interaktivní formulář, který je zdarma ke stažení.

Vedoucí oddělení HR

V rámci řízení agendy lidských zdrojů přicházíte do styku s mnoha osobními údaji, často velmi citlivé povahy, od životopisů přes smlouvy až po zprávy ze vstupních lékařských prohlídek.

Ideální postup bude třeba koordinovat s dalšími složkami firmy, typicky se mzdovou účtárnou, ale také například s recepcí, pokud má přístup k obecnému firemnímu e-mailu, kam mohou přicházet přihlášky uchazečů o zaměstnání.

Manažer řízení rizik

Články 5 a 6 nařízení GDPR definují, co vás bude zejména zajímat. Vaším úkolem bude analýza možných rizik úniku citlivých dat v návaznosti na provedenou celofiremní analýzu a následně zajištění, aby všechna osobní data byla ve firmě zpracovávána v souladu se zákonem.
Požadavky nařízení bude třeba správně implementovat do firemních procesů (někdy tuto problematiku řeší tzv. Chief Compliance Officer), určit kompetence, rozdělit odpovědnost a nastavit závazné procesy ve spolupráci s dalším managementem (například školení zaměstnanců ve spolupráci s oddělením HR apod.).

Součástí vašich příprav by měly být krizové plány pro případ, že k úniku dat dojde, protože závažnost postihu ze strany kontrolních orgánů může do značné míry záviset i na vaší reakci po úniku dat.

GDPR předpokládá také aktivní kontrolu a předcházení možnému úniku dat – zde budete pravděpodobně spolupracovat zejména s ředitelem IT. Mnoho kroků lze automatizovat a data zabezpečit v rámci informačních systémů.

Finanční ředitel

Přestože do vaší agendy spadá povětšinou správa údajů neosobního charakteru, i vy budete řešit GDPR, zejména s účtárnou a v oblasti daňové agendy.

Po důkladné analýze procesů může být vhodným řešením spolehlivý informační systém, který velkou část finanční, mzdové i daňové agendy automatizuje s ohledem na aktuální legislativní požadavky a tak, aby nikde nezůstali přísloveční „kostlivci ve skříni“.

Ředitel IT

V této pozici budete čelit nelehkému úkolu analyzovat všechny využívané informační systémy a aplikace, které nakládají s osobními údaji, tedy od účetního softwaru po nástroje pro hromadnou korespondenci. Po důkladné analýze bude vhodné řešit zejména bezpečnost všech systémů

Staré nosiče dat bude třeba revidovat a zvážit jejich další osud. Které z nich můžete dále využít a které bude třeba zlikvidovat? Jak bezpečně uložit obsažená data a zajistit jejich dostatečné šifrování?

Pověřenec pro ochranu osobních údajů (DPO)

Nová funkce podle oddílu 4 nařízení GDPR (články 37 – 39) bude nově povinná pro některé společnosti. Podle konkrétní situace zajišťuje poskytování informací a poradenství v oblasti GDPR či monitorování souladu firemních procesů s požadavky nařízení. Spolupracuje také s dozorovými úřady. Zda je či není nutné takového pověřence ustanovit, je namístě konzultovat s právním poradcem.

Office Manager

Administrativní personál přichází do styku s citlivými údaji až překvapivě často. Věnujte pozornost interním postupům a pečlivě nastavte procesy a odpovědnosti.

Marketing Manager

Oslovení nových zákazníků se děje mnoha způsoby. Pokud přitom využíváte v jakékoliv míře jejich osobní data, budete ke každému takovému využití potřebovat souhlas, smlouvu či jiný právní titul v souladu s GDPR. Se sběrem souhlasů můžete začít již nyní a pečlivě evidovat jeho charakteristiky pro pozdější potřeby.

Se správou osobních údajů a jejich využitím může i v marketingu do značné míry pomoci informační systém. Ten by měl zvládnout evidovat nejen původ, ale také účel a časové či věcné omezení poskytnutého souhlasu či jiného právního titulu, na jehož základě máte oprávnění s údaji nakládat (např. smlouva apod.).

Předejděte rizikům – důkladně analyzujte firemní procesy a objevte všechna riziková místa v nakládání s osobními údaji. Nezapomeňte na nic důležitého a vytvořte si akční plán.

Správně zvolený firemní informační systém vám může s ochranou osobních údajů významně pomoci, od HR po marketing. Zjistěte jak.

bez komentářů

comments powered by Disqus

Odebírejte naše články prostřednictvím RSS