Víte, na které dokumenty si dát pozor při GDPR?
Zavedení GDPR do praxe úřadu či společnosti bude vyžadovat aktualizaci smluv, řádů, předpisů a další dokumentace.
Zkrátka nic jednoduchého. Proto jsme pro vás připravili návod, na co všechno byste se měli zaměřit.
Smlouvy
Pracovní smlouvy se samotnými vlastními zaměstnanci i specifické smlouvy s externími
subjekty (právní kancelář, účetní, IT provider, dodavatelé softwaru). Tyto všechny
druhy smluv by měly zmiňovat, jakým způsobem bude daná organizace i druhá smluvní
strana přistupovat ke svěřeným osobním údajům. Často dochází k tomu, že jsou osobní
údaje zaměstnanců umístěny z obchodních důvodů na webu společnosti. Nebo, že externí
účetní disponuje osobními údaji o zaměstnancích smluvené firmy. Daná skutečnost
jednoznačně musí být zahrnuta i ve smlouvě mezi subjekty. V rámci implementace GDPR
by tak mělo dojít k revizi vašich stávajících smluv. Do všech byste měli umístit odstavec, který bude přesně popisovat
jaké osobní údaje o zaměstnanci či jíném subjektu údajů zpracováváte, a nezapomeňte také definovat k jakým účelům
a na jakou dobu tyto osobní údaje poskytujete..
Organizační řády a bezpečnostní dokumenty
I ty nejmenší organizace by si měly zavést vlastní organizační řády a bezpečnostní
dokumenty, které by jasně vymezovaly, kdo je za co odpovědný a jaká bezpečnostní
pravidla platí na pracovišti. V případě ochrany osobních údajů doporučujeme vytvořit
dokument, který se bude zabývat jak samotnou ochranou osobních údajů, tak i celkově
kybernetickou bezpečností, protože tyto dva fenomény spolu úzce souvisí. Na vypracování těchto směrnic by se
měl podílet i nezávislý subjekt, který dokáže zhodnotit skutečný stav organizace, včetně nastavených procesů
a softwarového vybavení. Což zvládnete i díky naší analýze GDPR.
Faktury, žádosti, dovolenky, CV….
Společnost či úřad v rámci své denní činnosti pracuje s obrovským množstvím
papírových dokumentů. Menším organizacím postačí, když jasně definují, kdo k těmto
dokumentům má přístup a jakým způsobem jsou zabezpečeny proti zneužití. Střední
a větší organizace, zaměstnávající 250 a více lidí, by již měly zavést spisovou službu,
která jim dokáže zajistit bezpečí veškerých dat v papírových dokumentech a jednoznačně
určí, kdo disponuje jakým oprávněním. Zavedená spisová služba by ovšem měla pokrývat
nejen nařízení GDPR, ale i další legislativu např. Zákon na ochranu osobních údajů,
Zákon o kybernetické bezpečnosti a Zákon o archivnictví a spisové službě.
V praxi bohužel společnosti i instituce na ochranu osobních údajů v papírových dokumentech často zapomínají.
Tím se nicméně vystavují obrovskému riziku, které díky výše zmíněným opatřením mohou snížit.
Pokud potřebujete při zavádění GDPR poradit, neváhejte se na nás obrátit.
Typ dokumentu
Opatření
Smlouvy (pracovní, o dílo, s externími subjekty např. účetní, právní kancelář, správce sítě…)
Zahrnutí bodu o specifikující nakládání s osobními údaji do všech smluv
Organizační řády a bezpečností dokumenty
Zpřesnění pravidel a povinností zaměstnanců v oblasti zpracování OÚ a kybernetické bezpečnosti
Faktury, žádosti, dovolenky, CV a další interní dokumenty
Jasně vymezit přístup zaměstnanců k dokumentům, větší organizace zavést spisovou službu
Mohlo by Vás zajímat:
Je lepší zajistit interního nebo externího Pověřence pro ochranu osobních údajů (DPO)?
5 pomocníků, díky kterým zvládnete GDPR
Jak by měla vypadat analýza GDPR? Aneb inventarizační tabulka není vše