Návod na auditní tabulku

 

Prvním krokem, který je třeba udělat při přechodu na GDPR, je zjistit, kde a jaká data máte a jak s nimi zacházíte. Bude se jednat o tzv. datový audit. V GDPR se to nazývá záznam o činnostech zpracování.  Z vyplněného auditu potom vyplynou jednotlivé kroky a opatření. Nebojte se začít! Provedeme vás jednoduchou částečně předvyplněnou tabulkou, se kterou si snadno poradíte. To vše zdarma.

Udělejte si sami "datový audit"

Tabulka je rozdělena do několika tzn. datasetů, což jsou v podstatě jednotlivé úseky vaší firmy, které spravují určitý typ dat (např. personalistka vyplní dataset osobní složka zaměstnance, účet zaměstnance a uchazeč o zaměstnání, ředitel obchodního oddělení potom například smlouvy se zákazníky a seznam zákazníků). Datasety jsou rozděleny podle toho, zda jsou v papírové (listinné) podobě nebo elektronicky v počítačích. V zabezpečení obou typů bude obrovský rozdíl, proto není dobré slučovat je do jednoho. Doporučujeme, aby tabulku za každý úsek vyplnila kompetentní osoba, tedy ten, kdo má dobrý přehled a ví, kde jsou data uchovávána a jak jsou zabezpečena. Cílem je si uvědomit, odkud data získáváte, jak je zpracováváte a komu jsou dále poskytována. Datasety si můžete vybrat z rozbalovacího menu. Tabulka je navržena tak, aby si s ní i v základní podobě vystačilo asi 90 % menších a středních firem, pokud však narazíte na typ dat, který tato tabulka nepojímá, je nutné jej ručně doplnit.

Dataset: soubory osobních údajů o jednotlivých skupinách a kdo je má na starosti

Sekce: které oddělení za zpracování odpovídá

Forma: listinná či elektronická

Úložiště: kde jsou údaje uloženy (např. v archivu, kanceláři účetní, na lokálním serveru v servrovně)

Subjekt údajů: koho data týkají (např. Zaměstnanci, dodavatelé,...)

Rozsah údajů: jmenovitě vypsané všechny dokumenty, kde jsou uvedeny osobní údaje

Citlivé údaje: jmenovitě vypsané všechny údaje, které jsou považovány za citlivé

Doba zpracování: jak dlouho data uchováváte - obvykle jsou dodržovány skartační lhůty, zde obvykle uvádíme dobu dle nejdéle uchovávaného dokumentu, je možné ale i rozepsat lhůty jednotlivých dokumentů

Účel zpracování: za jakým účelem data zpracováváte, například vedení databáze klientů za účelem plnění smlouvy nebo provozování kamerového systému v rámci ochrany majetku, podle GDPR by data neměla být zpracována, není-li k tomu dobrý důvod. Ujasnit si účel je jedním ze základních principů GDPR.

Právní titul: zákonem podložený důvod, proč je v pořádku, že data zpracováváte. Právní důvody jsou více vysvětleny v odstavci níže.

Zdroj: kdo mi data poskytl (např. subjekt údajů, třetí strana apod.)

Je subjekt údajů informován?: jedná se o informaci, zda jsou subjekty údajů o zpracování informovány. Vztahuje se k současnému stavu, neřeší, zda bychom měli či neměli, ale jaká je praxe.

Je vyžadován souhlas se zpracováním?: jedná se o informaci, zda od subjektů údajů vyžadujete souhlas se zpracováním. Vztahuje se k současnému stavu.

Zpracovatel: které další osoby mimo firmu jsou zpracovateli (např. externí IT firma, auditor,...). S těmito osobami/subjekty byste měli mít uzavřenou zpracovatelskou smlouvu.

Příjemce: komu data dále poskytujeme, obvykle to jsou minimálně orgány veřejné moci

Předávání do zahraničí: zpracováváme a předáváme data do zahraničí, pokud ano, je dobré uvést konkrétní státy.

Poznámka: bližší specifikace výše zmíněných polí (např. poznámky k zabezpečení, od kdy je vyžadován souhlas,...)

Zabezpečení ke dni auditu: jaká všechna opatření byla provedena, aby bylo zamezeno ztrátě dat (např. zamykatelné skřínky, noční hlídač, pult centrální ochrany, antivirový software, přístupy, oddělené interní a návštěvnické wi-fi nebo i třeba hlídací pes)

Zabezpečení po provedení opatření: co vše plánujete udělat (např. zabezpečení mobilních telefonů, uzamknout servrovnu, zamykat kancelář,...)

Analýza rizik: do tohoto sloupce se přímo nic nevyplňuje, odděluje informativní a analytickou část. Analýze rizik se budeme ještě podrobněji věnovat.

Riziko subjektu (hodnota aktiva): jaké je riziko, že data ztratíte, jak dobře jste je zabezpečili

Počet záznamů v evidenci: kolik údajů v dané skupině uchováváte

Dopad (v případě ztráty): zhodnocení citlivosti a zneužitelnosti dat, pokud by došlo k jejich ztrátě.

Výsledná hodnota: koeficient vypočítaný z tří výše zmíněných faktorů udává, v jakém pořadí je třeba zabezpečení řešit a čemu dát přednost.

Akce: funkce tabulky - řádky lze upravovat, mazat a přesouvat

 

Registrujte se na našich stránkách a získejte ZDARMA přístup k tabulce Záznamů o zpracování. Pro lepší představu naleznete níže náhled.

 

Účel

Z hlediska GDPR je nutné si ujasnit, zda zpracovávané údaje opravdu potřebujete a využíváte je. Pokud nevíte, proč máte data v databázi a nevyužíváte je, doporučujeme je smazat. Nejčastějšími důvody zpracování dat jsou:

Personální agenda: týká se obvykle dat zaměstnanců, pozor na aktuálnost dat, pokud evidujeme např. velikost obuvi zaměstnance po skončení pracovní smlouvy, je to považováno za bezúčelné.
Ochrana majetku: nejčastější důvod u kamerových záznamů
Plnění smlouvy, ochrana práv: k tomuto účelu zpravidla slouží data zákazníků
Marketing: data slouží k propagaci naší firmy, v případě marketingu je dobré klást důraz na právní titul zpracování (viz níže)
Plnění smlouvy se správcem: jsme-li vůči jinému správci v pozici zpracovatele

Právní titul

Jak jsme výše uvedli, právní titul v podstatě řeší, zda existuje zákonem uznaný důvod určitá data zpracovávat. GDPR rozlišuje šest právních titulů, přímý souhlas subjektu údajů je až na posledním místě.

plnění smlouvy: aby mohla být smlouva řádně plněna, je třeba data zpracovávat (např. v případě objednávky zboží či reklamace).
právní povinnost podle obecně závazných právních předpisů: říká, že je naší povinností data zpracovávat, jedná se zejména o mzdovou agendu, plnění skartačních lhůt.
ochrana životně důležitých zájmů subjektu údajů: osobní údaje musíme zpracovávat, pokud je to pro subjekt údajů důležité (týká se například lékařských zpráv v centrálním registru, úřadu práce pro vyplácení dávek, …)
zpracování ve veřejném zájmu:  jedná se zejména o činnost orgánů veřejné správy (např. věznice apod.)
oprávněné zájmy správce: řeší, zda je ve vašem zájmu tato data zpracovávat. Může se jednat i o jisté formy e-mailingu, pokud se domníváme, že pro příjemce jsou naše informace relevantní a zajímavé. Oprávněný zájem je poměrně kontroverzním důvodem, lze jej využít v podstatě v momentě, kdy nelze určit žádný jiný důvod. Je však třeba si dát pozor, aby  oprávněnost zájmu nebyla v rozporu se základními právy subjektu údajů. Proti oprávněnosti může subjekt údajů vznést námitku.

souhlas subjektu údajů se zpracováním: obvykle je vyžadován, pokud nemáme jiný právní důvod, příkladem může být zveřejnění fotografií zaměstnanců na firemních stránkách, marketingové kampaně či kopie dokladů.

Příklad:

Prodejce automobilů pan Rychlý si vede tabulku kontaktů na klienty, se kterými v minulosti již jednal. V tuto chvíli se jedná o jeho oprávněný zájem. Je pravděpodobné, že si klient od pana Rychlého objedná automobil znovu. Pokud si však zákazník přeje, aby byly jeho údaje smazány a vznese námitku, musí pan Rychlý obhájit uchovávání dat jiným právním titulem (např. plnění smlouvy).


Určení právního důvodu

Možná vás již napadla otázka, který právní titul zvolit, existuje-li jich více. Příkladem může být situace, kdy si zákazník zakoupil zboží a my data uchováváme např. pro případnou reklamaci (plnění smlouvy), jsme povinni nákup nahlásit orgánům veřejné moci (EET) (právní povinnost) a zároveň je naším oprávněným zájmem tato data uchovávat.  V takové situaci jsou dvě možnosti. První z nich je v tabulce zaškrtnout všechny právní tituly, druhou použít jen nejpádnější důvod. Obecně jsou za nejsilnější důvody považované plnění smlouvy, právní povinnost podle obecně závazných právních předpisů, ochrana životně důležitých zájmů subjektu údajů a zpracování ve veřejném zájmu. Se dvěma posledně jmenovanými se však v běžném podnikání příliš často nesetkáte. Pokud nemáme ani oprávněný zájem, je třeba vyžádat si od subjektu údajů souhlas. Souhlas musí být účelný a časově ohraničený. Není-li splněn ani jeden právní důvod, je třeba data vymazat.


Kdy je nutné dbát zvýšené pozornosti

GDPR vymezuje případy, ve kterých je třeba klást zvláštní pozornost při jejich zpracování. Nároky na správce jsou vyšší a kontrola přísnější. Jedná se o osobní údaje dětí nebo zvláštní kategorii dat - citlivá data.

Osobní údaje dětí do 15 let

Pokud zpracováváte údaje dětí do 15 let (GDPR mluví o 16 letech, v České republice však bude tato hranice s nejvyšší pravděpodobností o rok snížena), je třeba získat souhlas zákonného zástupce (pokud získáváme data k marketingovým účelům nebo za účelem vytvoření uživatelského profilu) nebo jej o této skutečnosti alespoň informovat (a to i v momentě, kdy je sběr prováděn elektronicky). Výjimkou je případ poradenských a preventivních služeb, které jsou nabízeny přímo dětem, tam souhlas nutný není. Informace o zpracování údajů by měla být komunikována srozumitelně a jednoduše, aby jí rozuměly i děti. Pokud se tedy chystáte uveřejnit na web zájmové organizace fotografie např. z tábora, je nutné získat souhlas rodiče, pokud evidujeme osobní údaje dětí kvůli prezenční listině volnočasové aktivity, je nutné, aby byl rodič o tomto zpracování informován. Děti starší 15 let zodpovídají za zpracování svých dat samy, je však nutné souhlas i informaci podávat jednoduše, srozumitelně a stručně.


Citlivá data

Citlivé údaje jsou takové osobní údaje, které mohou znevýhodnit nebo diskriminovat jejich nositele. Jedná se zejména o rasový či etnický původ, náboženské vyznání, politické názory, údaje o sexuální orientaci nebo sexuálním životě, podrobné údaje o zdravotním stavu nebo členství v odborech. Za citlivé údaje jsou považovány také genetické a biometrické údaje, které slouží k identifikaci osoby.

Na citlivé údaje je třeba brát vždy zvláštní zřetel, podmínky pro zpracování těchto dat jsou daleko přísnější. Citlivá data lze zpracovávat například v případě, že subjekt údajů vysloví jasný souhlas,  data jsou zpracovávána na základě oprávněného zájmu neziskovou organizací či nadací a nejsou předávána třetím osobám nebo zpracování ve veřejném zájmu (třeba v případě epidemií či monitorování šíření nemocí).

 

Informace o zpracování osobních údajů

Jednou z nejdůležitějších povinností správce je bez vyzvání informovat subjekt údajů o tom, že jeho osobní data zpracováváme, v jakém rozsahu, za jakým účelem a zda dochází k předávání dat třetím osobám. Šablona Informace o zpracování osobních údajů je jedním ze základních dokumentů v Právní dokumentaci GDPR, která součástí balíčků Start a Standard. Informace o zpracování zpravidla obsahuje poučení o právu na opravu, výmaz či přístupu k datům. Informace musí být jednoznačná, kompletní a srozumitelná a musí být přidána k souhlasu (informace se může vyskytovat samostatně, souhlas je ale bez informace neplatný). Pokud tedy klient souhlasí se zpracováním osobních údajů, ale nebyl dostatečně informován, je souhlas neplatný. Ze souhlasu musí být patrné, kdo je správce, jaká data shromažďuje, za jakým účelem, komu je předává, jak dlouho je budete zpracovávat, jaký je právní titul, který ho ke zpracování opravňuje, zda budou data zpracovávána automaticky či dojde k profilování, a odkud údaje získal (není-li zdrojem subjekt údajů).

 

Analýza rizik příklady

Pro názornost uvádíme několik praktických příkladů z auditů, jak riziko vyhodnotit.

Riziko subjektu

  • zasílání kompletní databáze klientů nezabezpečenou, nešifrovanou komunikací=4
  • uzamčená společná kancelář s omezeným přístupem 3 osob, neuzamykatelné skříňky = 2

Počet údajů v databázi

  • firma má dlouhodobě kolem 5 stálých zaměstnanců = 1
  • firma nabízí provoz a servis e-shopů = 4

Dopad ztráty:

  • osobní složka zaměstnance, ve které je archivována lékařská zpráva = 4
  • seznam klientů odpovídající pomocí formuláře na webu (jen e-mail a jméno) = 2