Sběr podkladů pro analýzu zpracování osobních údajů

Prvním krokem (a současně jedním z nejdůležitějších) při přípravě na Implementaci GDPR do praxe úřadu je sběr informací o zpracování osobních údajů od relevantních zaměstnanců. Pokud nemá úřad kompletně popsané (a v ideálním případě i zmapované) procesy, představuje tato cesta nejsnazší způsob, jak získat podklady pro analýzu rizik ohrožujících osobní údaje a návrh nejvhodnějších protiopatření.

Zpracování osobních údajů je nutné mít pod kontrolou. Zhruba tak by se do jedné krátké věty dala shrnout podstata Nařízení Evropského parlamentu 2016/679 o ochraně osobních údajů, pro kterou se používá tolik oblíbená zkratka GDPR. Jenže jak toho dosáhnout bez detailního rozboru všech procesů a následného vyhledání všech situací, v jejichž rámci dochází ke zpracování osobních údajů? Řešení existuje a překvapivě není nijak složité. Stačí od všech zaměstnanců úřadu, kteří zpracovávají osobní údaje, získat potřebné podklady, identifikovat rizika a navrhnout nejvhodnější způsob jejich řešení.

Proč to všechno?

Nařízení (EU) 2016/679 o ochraně osobních údajů (GDPR) začne platit 25. května 2018 (součástí unijní legislativy je pro zajímavost od 24. května 2016). Právě k tomuto datu by měly všechny organizace působící na území EU zavést opatření směřující k ochraně osobních údajů dle pravidel GDPR. A to mimo jiné znamená, že do té doby musí získat dokonalý přehled o všech činnostech zpracování osobních údajů, navrhnout a zavést opatření k jejich ochraně, vyškolit pracovníky, kteří s osobními údaji přicházejí do styku a připravit se na nová práva držitelů osobních údajů, respektive novinky, které Nařízení zavádí. (Ano, vyšší sankce za porušení pravidel GDPR nejsou ani zdaleka jedinou změnou, kterou Nařízení zavádí. Právě naopak…)

Nová práva Subjektů údajů

GDPR do unijní legislativy zavádí nová práva těch, jejichž osobní údaje se zpracovávají. Když už nic jiného, tak Subjekty údajů (fyzické osoby) získají jednodušší přístup k informacím o zpracování jejich osobních údajů. Nařízení vysloveně říká, že Subjekty údajů mají právo získat přístup k informacím jednoduchým a srozumitelným způsobem. Pokud nebudete vědět, kdo, jak a proč zpracovává osobní údaje, nemůžete požadavek dost dobře splnit. A že se najdou lidé, kteří si o informace požádají, o tom asi nepochybují ani ti největší optimisti.

Informacemi o zpracování však nová práva nekončí. Subjekty údajů si mohou také požádat o výmaz zpracovávaných údajů, případně o omezení zpracování. Jistě, v případě městských a obecních úřadů jim to nebude moc platné, protože se údaje – až na výjimky – zpracovávají ze zákona. Nicméně, tuto skutečnost musíte mít potvrzenou a někde zaznamenanou. Na požadavek se musí reagovat v rozumné době.

Pravidla, opatření, osvěta

Kromě výše zmiňovaných novinek zavádí Nařízení také další povinnosti. Patří mezi ně i zpracování pravidel a opatření, která efektivně minimalizují popsaná rizika ohrožující zpracování osobních údajů, respektive osobní údaje. Tyto změny je navíc nezbytné prokazatelně předat zaměstnancům – ideálně formou školení. Jen tak totiž bude možné prokázat, že úřad splnil to, co mu GDPR stanovuje.

Pověřenec získá přehled

Dalším důvodem pro kompletní zmapování zpracování osobních údajů je prostý přehled o všech událostech a situacích, které se týkají osobních údajů. Tím, kdo přehled ocení, je především Pověřenec pro ochranu osobních údajů. Pracovníka na tuto pozici musí jmenovat každý úřad. A vzhledem k tomu, že Pověřenec mimo jiné zajišťuje podporu pracovníkům, kteří osobní údaje zpracovávají a vyjadřuje se také k některým dokumentům, musí mít velmi dobrý přehled.

Osobní údaje jsou téměř všude

Městské a obecní úřady zpracovávají osobní údaje skutečně ve velkém množství. Dokonce by se dalo říct, že neexistují procesy, které by nezahrnovaly zpracování osobních údajů alespoň v malém množství. Získat přehled o všem činnostech zpracování proto není úplně jednoduché. Přesto věříme, že lze tuto etapu přípravy zvládnout téměř výhradně vlastními silami. Stačí zvolit správný přístup a dostatečně vysvětlit zaměstnancům, proč mají svůj čas věnovat mimopracovní činnosti.


Článek byl původně publikován na serveru Služby pro města a obce.

Sběr podkladů pro analýzu zpracování osobních údajů