Jak se vyrovnat s GDPR efektivně?

Že je mezi nařízením GDPR a informačními technologiemi úzký vztah, je nad slunce jasné. Vždyť vlastně v důsledku jejich masivního rozšíření GDPR vzniklo. K řešení jeho jednotlivých požadavků je nepochybně nějaká úroveň technologické podpory nutná. Sice to na první pohled vypadá jako hašení požáru výbušninou, ale jinak to nepůjde. Ostatně hořící ropná pole se taky hasí právě za pomoci výbušnin.

Nařízení GDPR postavilo každého správce osobních údajů před otázku, jak jeho požadavky naplnit. Co vlastně potřebuje zajistit? Měl by si někde pro každý subjekt údajů evidovat zákonné důvody zpracování a s tím související účely. Pak by měl také umět reagovat na jeho požadavky například ve smyslu získání přehledu o zpracovávaných údajích, eventuálně jejich přenosu k jinému správci. Kromě toho by měl umět tyto požadavky a případné stížnosti evidovat, zpracovávat a hlídat lhůty pro jejich vyřízení. Jinak řečeno musí být správce schopen realizovat „GDPR práva“ subjektu údajů.

O něco komplikovanější to mají ti správci, kteří osobní údaje předávají třetím osobám. Musí je totiž průběžně informovat o veškerých jejich změnách. Někomu předat, byť legálně, něčí osobní údaje, znamená totiž nejednu starost navíc.

A v neposlední řadě je tu také množina požadavků na provádění kontrol, školení, řešení bezpečnostních incidentů a reportování ÚOOÚ. Tyto všechny záležitosti má správce, případně DPO (Data Protection Officer – Pověřenec pro ochranu osobních údajů) nejenom prakticky provádět, ale hlavně o nich musí být někde veden záznam. Bez provedení záznamu například o kontrole totiž jako by žádná kontrola ani neproběhla (dokladování činnosti je mnohdy zkrátka důležitější než činnost samotná).

Jak se k těmto potřebám může správce postavit? Leckoho určitě napadne, že evidovat zákonné důvody zpracování nemůže přeci být žádná věda. U každé osoby někde v databázi klientů se připadají nějaká políčka a je vymalováno. Pokud existuje jen jedna databáze klientů a používá se jen na jednom místě, tak by to fungovat mohlo. Potíž je v tom, že těch systémů a databází je obvykle víc, různé „zastrčené“ excelovské tabulky nepočítaje. Pokud by chtěl správce postupovat metodou „přidání políčka“ všude, kde osobní údaje zpracovává, tak se nutně nevyhne situaci, kdy eviduje jeden údaj na více místech. Což ještě nikdy v historii neskončilo dobře.

Je třeba si také uvědomit, že zákonné důvody zpracování (respektive účely) existují pro daný subjekt údajů napříč celou firmou správce, a nejen v systému, kde je třeba zpracovávána největší část osobních údajů. Takže by to chtělo zákonné důvody také napříč celou firmou evidovat. Tedy ideálně na místě, které není součástí žádného ze systémů určených pro podporu byznysu správce, ale kam na ně bude ze všech těchto systémů „vidět“.

Evidencí zákonných důvodů to ale nekončí. Představme si situaci, kdy přijde subjekt údajů s požadavkem na získání přehledu, jaké jeho údaje vlastně správce zpracovává. Je samozřejmě možné „oběhnout“ všechny systémy a databáze, z nich data „ručně vytahat“, pak je uspořádat do nějakého dokumentu a ten subjektu údajů předat. Je to ale zjevně poměrně pracné, nehledě na to, že ruční zpracování je náchylné k chybám. Daleko vhodnější je proces vytváření takového výstupu (který může být i velmi rozsáhlý) dělat z jednoho místa, automatizovaně a včetně auditních záznamů dokládající, že byl požadavek subjektu údajů splněn. Je přitom zřejmé, že čím víc systémů správce používá, tím silněji se z možnosti realizovat vše z „jednoho místa“ stává nutnost.

Ideálním řešením je tedy mít systém, který bude na jednom místě evidovat veškeré zákonné důvody zpracování a s nimi související účely. Kromě toho bude realizovat veškerá „GDPR práva“ subjektů údajů a povinností správce při zpracování jejich osobních údajů. Takovým řešením je GDPR Modul od společnosti Creasoft s.r.o.

Jde o unikátní systém sloužící k řízení zpracování osobních údajů. Ve zkratce jej lze charakterizovat jako databázi zákonných důvodů a s nimi souvisejících účelů. Je možné jej propojit s libovolným systémem, aplikací, nebo databází, ve kterých jsou samotné osobní údaje zpracovávány. Kromě toho realizuje také procesy naplňující práva subjektu údajů z GDPR vyplývající, stejně jako plnění povinností správce souvisejících třeba s bezpečnostními incidenty, prováděním kontrol, nebo pravidelným reportingem vůči ÚOOÚ, nebo jiným orgánům dohledu.

Funkčnosti GDPR Modulu je možné integrovat do stávajících systémů tak, že jeho uživatel vlastně ani nemusí poznat, že je řízení procesu předáváno z jednoho systému na druhý a zase zpět. Vše probíhá na pozadí, bez výrazné změny funkčnosti z pohledu uživatele, a tedy i bez snížení efektivity jeho práce.

Jak to vlastně funguje, je nejlépe ilustrovat na příkladu. Pokud je třeba GDPR Modul propojen s nějakým nástrojem umožňujícím uzavírat smlouvy (například se systémem na sjednání pojištění), funguje to tak, že tento nástroj v rámci svého procesu zajistí „sběr“ zákonných důvodů a účelů zpracování (může i včetně souhlasů), které na pozadí předá GDPR Modulu. Ten data vyhodnotí a vytvoří „Zprávu o zahájení zpracování osobních údajů“ (respektive „Zprávu o zahájení zpracování osobních údajů pro nový účel“ pokud už u subjektu údajů nějaký účel zpracování existuje). Dokument předá zpět zmiňovanému nástroji, který jej přidá k dalším dokumentům, které v rámci sjednání smlouvy vznikají a zajistí jejich předání subjektu údajů, tedy v tomto případě klientovi.

Řídit zpracování osobních údajů není úplně triviální věc. Pokud jsou uložené v nějaké databázi, je to za vynaložení určitého, a někdy ne úplně malého úsilí ještě nějak realizovatelné. Ovšem opravdovým strašákem a skutečným oříškem je otázka, jakým způsobem řídit zpracování těch osobních údajů, které nejsou v žádné databázi, ale třeba v nějaké excelovské tabulce. GDPR Modul umí vyřešit i tento ožehavý problém. Umožňuje totiž provádět asynchronní kontrolu těchto dat a tímto způsobem ověřit, zda jsou zpracovávána v souladu s danými účely. Provádění těchto kontrol, stejně jako všech operací, je evidováno a lze tak zpětně dokladovat, jakým způsobem se s osobními údaji pracovalo.

Nařízení GDPR však vedle procesů a evidence znamená také generování celé řady dokumentů a zpráv. GDPR Modul má v sobě naimplementovánu podporu generování těchto výstupů z přednastavených a modifikovatelných šablon. Lze tak reagovat i na požadavky správce na jednotný grafický vzor a formát generovaných dokumentů.

Každá regulace obvykle znamená pro toho, kdo je povinen ji implementovat, čistě nákladovou položku. Proto je snaha hledat řešení co možná nejlevnější z hlediska pořízení. Což ovšem mnohdy znamená vyšší náklady provozní. Implementací GDPR Modulu lze obojí tyto náklady optimalizovat.

http://www.opojisteni.cz/tema/jak-se-vyrovnat-s-gdpr-efektivne/

Napsat komentář