Vlákno názorů k článku Princip založený na riziku a odpovědnosti. Dva základní pilíře GDPR od Jarda Kuba - Co to vzít trochu praktičtěji?

Co to vzít trochu praktičtěji?

To platí do 24. května 2018. V GDPR je snaha celou problematiku řešit na vyšší úrovni zabezpečení. To však předpokládá, že správci osobních údajů a jejich zpracovatelé budou plnit své povinnosti.

Já měl na mysli praktičtěji zaměřený článek. U článků o GDPR si vždy vzpomenu na film Studujeme za školou, kde padla památná věta: "Co je platné, že umím 2 stránky o dodacím listu, když ho neumím vyplnit". Myslím, že článků o tématu bylo již dost, čtenář by jistě ocenil článek více k tématu (jak GDPR řešit). :-)

Problém je v tom, jak již sám název GDPR uvádí, že se jedná o OBECNÉ nařízení o ochraně osobních údajů. Tedy možnost psát o GDPR praktičtěji zaměřený článek je problém, neboť se nejedná o ten dodací list. Není možné zpracovat univerzální řešení, neboť u každého bude jiné.

Lze uvést, že je nutné analyzovat současný stav ochrany osobních údajů, tzn. zjistit s kterými osobními údaji se nakládá, jakým způsobem a kde; zjistit zda a proč je nutné je zpracovávat a na základě toho stanovit své povinnosti; zjistit nedostatky shody s GDPR, především ve vztahu k novým povinnostem (ustanovení pověřence atd.); stanovit si priority řešení zjištěných problémů; stanovit způsob ochrany (zabezpečení) osobních údajů (nejlépe v nějaké směrnici), provést školení osob nakládajících s osobními údaji.

Já myslím, že to prakticky jde. Příklad: Zaměstnanec přinese neschopenku, kde je rodné číslo. Co se s tím má stát? Odpověď: Převezme to odpovědná osoba a do spisovky udělá záznam, co kdo přinesl, kdo to převzal atd. Tím si začínáme hlídat "životní cyklus" a toky osobních údajů na neschopence, takže není nepořádek v tom, co se s neschopenkou děje a je přehled o tom, kdo k osobním údajům přistupoval. Samozřejmě, že dobrá spisovka by měla hlídat nejen to, co se nám s dokumenty děje, ale měla by včas upozornit i na to, že máme danou neschopenku skartovat. S tím souvisí doporučení pořídit si dobrý software pro spisovou službu. Také by šlo napsat, že se s neschopenkou zachází v souladu s koncepcí ochrany osobních údajů, kterou má firma zpracovanou. Zákon o zpracování osobních údajů se do 25.5. schválit vysoce pravděpodobně nestihne, takže v rámci přípravy jedeme podle toho, co je. Je tak třeba přeložit GDPR z právničtiny a obecných formulací do jednotlivých vnitropodnikových procesů a postupů - GDPR vyložit prakticky musí být možné.