25 / 04 / 2018

5 kroků, jak se (nejen ve školách) připravit na GDPR

Zmapovat aktuální situaci, zkontrolovat platné smlouvy, nastavit interní procesy, zajistit pověřence a připravit potřebné informace na web. To je pět základních kroků, které dle ministerstva školství vedou ke snadné přípravě nejen škol na vstup Obecného nařízení o ochraně osobních údajů v platnost.

Ministerstvo školství, mládeže a tělovýchovy České republiky připravilo dokument nastiňující pracovní postup, kterým by se měly školy řídit, budou-li být chtít připraveny na vstup GDPR v platnost. Představuje povinnosti, které s novým nařízením souvisejí, a klade si za cíl pomoci školám se v těchto povinnostech zorientovat.

Součástí návodu je také řada vzorových šablon, schémat a dalších dokumentů, které budou pro školní zařízení od května nutné.

Protože ministerstvem navržené kroky mohou být návodem i pro jiné instituce, sepsali jsme jejich krátký přehled.

1. Zmapujte aktuální situaci
Podívejte se, jak se ve vaší firmě momentálně nakládá s osobními údaji. Proveďte analýzu činností, při kterých tyto údaje zpracováváte, a připravte tzv. karty záznamů o činnosti zpracování (ty blíže definuje článek 30 nařízení).

2. Zkontrolujte smlouvy
Podívejte se na veškeré aktuální platné smlouvy s poskytovateli informačních systémů, vstupních čipových karet a dalšími zpracovateli osobních údajů. Zkontrolujte také kupní smlouvy, smlouvy o dílo a další smlouvy obsahující osobní údaje. Tyto smlouvy mají přesně dané povinné náležitosti.

3. Nastavte interní procesy
Vnitřní procesy zacházení s osobními údaji bude nutné přenastavit nebo nastavit zcela nově. Budete muset revidovat směrnice o nakládání s osobními údaji nebo přijmout nové.

4. Zajistěte pověřence
Každá větší instituce bude muset mít od května svého pověřence pro ochranu osobních údajů (DPO). O tom, jak pověřence vybrat a na co si dát při přípravě následné smlouvy s ním pozor, jsme psali v únoru. 

5. Informujte
Nezapomeňte informovat o způsobu zpracování osobních údajů na svých webových stránkách. Připravte si veškeré potřebné podklady a zpracujte je, a to pokud možno co nejsrozumitelnějším způsobem.

Dokument Stručný návod na zabezpečení procesů souvisejících s GDPR najdete na stránkách MŠMT ČR. Narazíte-li při jeho čtení na nějakou specifickou situaci, s níž si nebudete vědět rady, neváhejte se na nás obrátit. Rádi vám pomůžeme se na vstup GDPR v platnost připravit.

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.