Nové nařízení Evropské unie o ochraně osobních údajů, tzv. GDPR, vejde v platnost v květnu 2018 a již nyní dělá firmám starosti. Většina z nich se rozhodla plnění požadavků na zabezpečení dat zatím nijak neřešit a čeká, jak se situace vyvine. Přinášíme přehled 5 oblastí, jejichž bezpečnost můžete začít řešit už nyní a usnadnit si budoucí splnění požadavků EU.
- Obchodní vztahy a právní oddělení – popište si všechny procesy týkající se smluv s klienty, dodavateli, zaměstnanci. Stanovte ve firemních směrnicích, kde budou uchovávány originály těchto dokumentů a kdo všechno má práva je procházet. Popište, kde jsou tyto dokumenty uloženy v elektronické podobě a kdo k nim má přístup na základě jakých práv. Revidujte si i obchodní podmínky uvedené na webových stránkách.
- HR – určete ve firmě někoho, kdo bude mít ochranu osobních údajů na starosti a bude se jí zabývat. Stanovte mu písemně pracovní náplň – zahrnovat může například zpočátku analýzu procesů, později kontrolu dodržování směrnic a hledání úzkých míst. V budoucnu tato data poslouží DPO – Data Protection Officer, jehož úkolem bude dohlížet nad řádným zacházením s osobními údaji a hlásit možné úniky dat či porušení zákona.
- Marketing – Marketing je na osobních datech závislý – rozesílání obchodní sdělení, souhlasy se zpracováním osobních údajů při marketingu a jejich vyžadování, databáze kontaktních informací. Nechte prověřit marketingové oddělení, jak s daty klientů nakládá a navrhněte bezpečnostní opatření. Je opravdu nutné, aby brigádník měl přístup k databázi Vašich klientů, navíc uloženou v tabulce v Excelu?
- Mapa IT – vytvořte si přehled používaných IT systémů a dat, která konkrétní firemní IT systémy obhospodařují. Seznamy klientů, kontaktní adresáře, objednávky, přehledy servisních úkonů. To vše je s GDPR úzce spojeno. Zkuste vytvořit mapu, kde jsou tato data skutečně uložena a s jakým zabezpečením. Zaměřte se na cloudová řešení, ukládání dat a anonymizaci – zpracovávejte osobní údaje způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací.
- Monitoring a kamerové systémy – pokud vizuálně monitorujete nějaké prostředí, ohlídejte si, že návštěvníci prostor s tímto souhlasí a opět popište, jak se s uloženými daty nakládá a kdo k nim má přístup.