GDPR: Praktický průvodce implementací
slouží dotazník, který je třeba vyplnit pro každé identifikované zpracování. Vhodný nástroj k tomu vyvinuli Antonín Šefčík a Roman Dubravský, jehož vzor je, se svolením autorů, uveden v příloze této publikace. Momentem identifikace zpracování je velká část práce hotova. Pro dobře zpracovanou identifikaci je nezbytné provést cca dvou hodinové školení a zaměstnancům vysvětlit, jak je třeba při vyplňování identifikačního dotazníku postupovat. Chybně stanovená identifikace může způsobit nedozírné škody v případě incidentu a následné sankce ze strany dozorového orgánu. V tomto případě lze jen doporučit, aby za finální identifikaci zpracování a autorizaci zodpovídal skutečně odborně zdatný zaměstnanec nebo konzultant. Po provedení identifikace zpracování lze přistoupit k analýze datových toků. Datové toky je vhodné zobrazit v grafické podobě, nejlépe nějakým vhodným softwarovým nástrojem. Při konzultacích obvykle využíváme Libre Office Draw nebo Microsoft Visio, které jsou pro znázornění datových toků zcela dostačující. Pokud máte seznam zdrojových uzlů osobních dat, identifikována zpracování a znázorněny a definovány toky dat, včetně adresátů, zaměstnanců a pracovních pozic, které přijdou s daty do styku, včetně aplikací, které data zpracovávají, pak máte v zásadě popsán současný stav zpracování dat ve své organizaci. Následně je třeba identifikovat soulad vstupních formulářů, identifikovat smluvní vazby a doložit dokumentaci s těmito vazbami související. GDPR jasně ukládá povinnost správcům údajů mít zpracovatelské činnosti smluvně podchyceny. Je třeba ověřit platnost a relevantnost udělených souhlasů se zpracováním. Další krok by měl směřovat k popsání bezpečnosti dat ve společnosti. Tedy ověřit stav ochrany osobních údajů jak v listinné, tak digitální podobě. S tím souvisí analýza směrnic vztahujících se ke skartaci, nakládání s osobními a citlivými údaji, směrnice o archivaci, směrnice o stížnostech, v případě státních organizací a veřejných úřadů také směrnice o vyřizování dotazů dle zákona 106/1999 Sb., o svobodném přístupu k informacím, atd. Teprve po zhodnocení všech těchto vstupních dat, jejich analýze a následné syntéze souvislostí, lze přistoupit k sepsání GAP analýzy. Tato vstupní analýza by měla dát jasnou odpověď na stav zpracování a zacházení s osobními údaji v organizaci, včetně základních návrhů na řešení a přijetí opatření. Tento dokument může být ještě doplněn jednoduchým posouzením vlivu na svobodu a práva fyzických osob, které je uvedeno v příloze této publikace. Následným krokem po provedení analýzy je z hlediska požadavků plynoucích z GDPR přistoupení k posouzení vlivu na ochranu osobních údajů, pokud to má správce či zpracovatel za povinnost nebo se tento postup jeví jako vhodný. Obecně lze jen doporučit, aby takové posouzení bylo provedeno. Kromě toho lze souběžně pracovat na přijetí různých opatření plynoucích z GAP analýzy, aby byla ochrana dat co nejlépe zajištěna pro každý případ. Vhodným prostředek ochrany dat se může jevit například nasazení ISMS113 systému.
6.2 Posouzení vlivu na ochranu osobních údajů (DPIA) Smysl ustanovení o Data Protection Impact Assessment (DPIA nebo jen PIA), tedy posouzení vlivu na ochranu osobních údajů114 (DPIA) vychází z jednoho ze základních principů GDPR, tedy zodpovědnosti správce. Organizace by měla na základě sestavení DPIA identifikovat a zhodnotit rizika o hrozby plynoucí ze zpracování osobních údajů pro subjekty těchto údajů, tedy 113
114
Systém řízení bezpečnosti informací (Information Security Management System – ISMS) je dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována. GDPR, článek 35
98 Ukázka elektronické knihy, UID: KOS240263