Mnozí podnikatelé se stále potýkají s otázkou, zda mají dostatečné zabezpečení dle GDPR a jak správně uchovávat osobní údaje.
Málokdo se ale zabývá tím, zda jím používaný program nebo jiný software splňuje podmínky dostatečné ochrany osobních údajů. Většinou se uživatelé spoléhají na prohlášení poskytovatele programu, že je program „v souladu s GDPR“.
Jak je to s bezpečným úložištěm
Tak jako je třeba uchovávat osobní údaje v písemné podobě na bezpečném místě, také elektronická úložiště musí být dostatečně chráněna. Pokud využíváte počítačový program, jehož prostřednictvím jsou ukládána data na jiný server, pak byste se měli zajímat, jak je tento server zabezpečen.
Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud
Když je server umístěn mimo Evropskou unii, dochází také k tzv. předávání do třetího státu. V tom případě je třeba ověřit, zda se jedná o zemi, jejíž úroveň ochrany osobních údajů posoudila Evropská komise a označila je jako tzv. „safe harbor“. Nebo jsou zaručeny dostatečné záruky zpracování osobních údajů v souladu s GDPR. Tuto informaci si můžete vyžádat od poskytovatele programu.
Obecně i pro servery uvnitř Evropské unie platí, že by měly být dostatečně zabezpečeny. Jiné zabezpečení bude vyžadovat server s desítkami tisíc kompletních identifikačních údajů osob a naopak úložiště stovek nebo tisíců e-mailových adres. Přesto je třeba myslet na základní ochranu úložišť, jako je například zálohování dat, firewall, používání bezpečných protokolů apod. Zjistěte si, jakou ochranu zajišťuje poskytovatel programu.
Nezbytné funkcionality ve vztahu k osobním údajům
Program by měl umožnit, aby každá osoba s přístupem měla vlastní přístupové údaje nebo ještě lépe diferenciaci přístupů pro administrátory a pro ty, kteří jen nahlíží apod. (aneb princip minimalizace zpracování).
S výše uvedeným souvisí také možnost logovat přístupy, tedy zpětně určit, kdo s programem v dané chvíli pracoval. Protože porušení zabezpečení často spočívá v selhání lidského faktoru, je vhodné mít možnost zpětně dohledat, kdo k uniklým datům v poslední době přistupoval.
Osoby, jejichž údaje zpracováváte, mají právo na nahlížení, omezení zpracování, jejich výmaz atd. V praxi je nezbytné, aby si vámi využívaný software uměl poradit s tím, pokud tyto osoby svých práv využijí.
- Prakticky se může jednat o možnost vygenerování osobních údajů a jejich export, využije-li subjekt své právo na přístup k osobním údajům nebo v odůvodněných případech právo na přenos osobních údajů. V případě velkého počtu subjektů, jejichž osobní údaje jsou zpracovávány, je nereálné (nebo minimálně časově velmi náročné), abyste vyhledávali jednotlivé údaje a postupně je ukládali na jedno místo za účelem například jejich vymazání.
- Je-li třeba omezit zpracování na žádost subjektu (tedy nezpracovávat ani nemazat), je vhodné, abyste v programu mohli připojit například příznak „zpracování OÚ omezeno“.
- Program by měl být schopen vymazat veškeré údaje o subjektu, ale zároveň také předem nadefinovat, které konkrétní kategorie údajů mají zůstat zachovány (podle článku 17 odst. 3 GDPR) k plnění právních povinností správce, k obhajobě právních nároků, respektive z důvodu archivace ve veřejném zájmu apod.
- Samozřejmostí obvykle bývá možnost opravit chybně zadané osobní údaje.
Ne všechna práva ale mohou být uplatněna vždy. Proto při výběru programu musíte vědět, proč a na základě jakých právních titulů osobní údaje zpracováváte, abyste věděli, jaká práva subjekty mají, a podle toho vybrat daný program.
Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu
Likvidace nebo archivace dat poté, co je již není potřeba zpracovávat
Jakmile odpadnou veškeré účely, k nimž byly údaje zpracovávány, měl by správce údaje o dané osobě bezodkladně vymazat nebo alespoň anonymizovat. Prakticky to software může zabezpečit tak, že umožní vložit k souboru osobních údajů datum, ke kterému byla například ukončena spolupráce, nebo označit soubor za ukončený.
V takovém případě je možné poté nastavit standardizovanou dobu (základní doporučení 3,5 roku vyplývající ze základní tříleté promlčecí doby a rezervy). Po tuto dobu budou údaje v programu nadále uchovávány, ale dostupné budou již pouze osobě s úzce vymezenými oprávněními (např. administrátor) a běžní uživatelé by je již neviděli.
Smluvní vztah s poskytovatelem softwaru
Předmětem diskuzí je, zda poskytovatel softwaru, který má teoretický přístup k osobním údajům za účelem správy daného programu, je zpracovatelem ve smyslu GDPR, a zda má povinnost s vámi jako správcem uzavřít tzv. zpracovatelskou doložku. I když se takový poskytovatel za zpracovatele neprohlašuje, ale má přístup k těmto osobním údajům, doporučujeme s ním uzavřít takovou dohodu (smlouva nebo součást obchodních podmínek poskytovatele), která z jeho strany zajistí dostatečnou ochranu těchto údajů.
Obecně by v takové dohodě (stejně jako ve zpracovatelské smlouvě) mělo být obsaženo následující:
- Nezapojení dalšího zpracovatele – poskytovatel softwaru by neměl bez vašeho souhlasu zapojit další externí subjekty do práce, při které pracovníci mají přístup k vámi zpracovávaným osobním údajům.
- Poskytovatel softwaru zajistí mlčenlivost zaměstnanců nebo jiných spolupracovníků.
- Poskytovatel softwaru bude součinný při výkonu práv osob či obecně při zajišťování souladu zpracování s GDPR, a to i při kontrole ze strany státních orgánů.
- Dohoda, co se má stát s osobními údaji po ukončení užívání dodaného softwaru.
Dále čtěte: 3 důvody, proč nekupovat ve firmě software a používat cloud
Pokud tedy chcete využívat software, který vám „pomůže“ naplňovat požadavky GDPR, pak je důležité zaměřit se na 1. bezpečnost a 2. funkcionality, které vám usnadní práci s osobními údaji při výkonu jednotlivých práv osob.
V druhém případě nejde ani tak o „splnění povinností dle GDPR“, ale
spíše o to, jak vám program může práci usnadnit.