GDPR pro lajdáky

Nejhorší je radit v oblasti GDPR někomu, kdo nechce věnovat přílišnou pozornost čtení samotného GDPR a jeho výkladům, kdo nechce utrácet několik desítek tisíc Kč za různá školení a vytváření nějakých manuálů na míru, ale kdo na druhou stranu chce alespoň něco málo pro ochranu osobních údajů udělat.

Pro ty je určeno toto řešení, které sice nebude stoprocentní, to ani být nemůže, ale bude alespoň nějaké.

Tedy, co máte dělat?

1) Je třeba roztřídit všechny agendy, které s osobními údaji provádíte, pojmenovat je podle účelů zpracování a přiřadit k nim informace, které Vaše zpracování osobních údajů popisují. Nejjednodušší je k tomu využít Klíč k ochraně osobních, který je k dispozici zde.

2) K použití Klíče se musíte nejdříve zaregistrovat (zde - http://oou.cloud/registration), pak si zakoupit kredit, abyste mohli Klíč používat. To uděláte v sekci objednávky. Na řešení malého podnikatelského subjektu Vám stačí objednat 30 -50 kreditů, pokud máte vlastní zaměstnance, tak objednejte tak 70 – 100. (1 kredit je za 50 Kč + DPH, ceník je zde – http://oou.cloud/cenik).

3) Až budete mít kredit, tak ze Vzorů vyberte agendy, které provádíte (např. vedení soudních sporů, vedení osobních spisů zaměstnanců, evidence smluv o dodávkách zboží) a klikněte na tlačítko, které najdete úplně na spodku zadávacího formuláře „Dokončit“. Po té dejte tlačítko „Zaplatit“ a dostanete se ke všem dokumentům (pdf souborům), které lze v rámci použitého vzoru vygenerovat.

Těmito soubory jsou:

Souhlas se zpracováním osobních údajů

Informace poskytované na žádost subjektu údajů

Informace poskytované v případě, že osobní údaje jsou získány od subjektů údajů

Informace poskytované v případě, že osobní údaje nebyly získány od subjektů údajů

Sestava informací zveřejňovaná na webu kvůli trasparentnosti

Definování nezbytných atributů pro zpracování osobních údajů

Vás bude zajímat především Definování nezbytných atributů pro zpracování osobních údajů, tento soubor si stáhněte, podepište a uložte někde do šanonu. Tento dokument pak bude třeba při eventuální kontrole Úřadu pro ochranu osobních údajů ohledně toho, jakým způsobem jste si jako správci osobních údajů stanovili účel zpracování a rozsah zpracovávaných osobních údajů, včetně pojmenováni zákonného důvodu zpracování osobních údajů.

Pak Vás bude zajímat rovněž dokument nazvaný Sestava informací zveřejňovaná na webu kvůli trasparentnosti, tento zveřejněte na svých webových stránkách, případně můžete kliknout na tlačítko „Zveřejnit“ a tento dokument bude zveřejněn na stránkách http://oou.cloud/katalog/ v sekci Databáze informací o zpracování osobních údajů.

Tohle budete muset udělat u všech agend (účelů zpracování), které provádíte.

4) Dále byste měli přijmout potřebná technická a organizační opatření k ochraně osobních údajů. Tím minimem by mělo být stanovit zaměstnancům povinnost mlčenlivosti (ke stažení zde) a rovněž přijmout nějaký vnitřní předpis, který by ochranu osobních údajů řešil, ve kterém nějaká technická a organizační opatření stanovíte, např. to, že se dokumenty obsahující osobní údaje budou uchovávat v uzamčených skříních a v uzamčených místnostech a ty, co jsou v počítači, budou chráněny heslem, rovněž je vhodné upravit tzv. pravidlo čistého stolu. Vzor vnitřního předpisu je ke stažení zde.

5) Pokud provádíte zpracování osobních údajů prostřednictvím zpracovatele (např. externí účetní), je třeba mít rovněž uzavřenou smlouvu o zpracování osobních údajů, která je k dispozici zde.