Väčšina podnikateľov, malých a stredných firiem nemá čas, aby sa popri podnikaní mohli venovať aj iným povinnostiam. Ochrana osobných údajov podľa nariadenia GDPR však vyžaduje ich pozornosť. Ochrana dát je citlivá téma a do budúcnosti jej firmy budú musieť venovať veľkú pozornosť. Ako sa na GDPR v malej firme pripraviť ? Tu je stručný návod.

Oboznámte sa s GDPR a zostavte pracovný tím.

Bude potrebné sa s problematikou GDPR vo firme zoznámiť a na úrovni vedenia zostaviť pracovný tím.  Tím by mal pozostávať z pracovníkov, ktorý poznajú firmu s zvnútra čo najlepšie a najdlhšie, aby mali prehľad o tom čo sa s údajmi deje, kde sú a pod. Môže to byť majiteľ, starší zamestnanec čo má prehľad o tom čo sa robí a prečo/načo. Môže to by dvojica účtovníčka a správca IT.

Vo väčších firmám bude potrebné tímy zostaviť podľa oddelení. Iné dáta a na iné účely spracováva HR, iné obchod, iné marketing, iné logistika, iné financie a vymáhanie pohľadávok.

Zostavte prehľad dát a informačných systémov

Zdokumentuje všetky toky ako osobné údaje získavate a spracovávate ako miesta kde ich  uschovávate. Zakreslite si ich napríklad do prehľadného diagramu, alebo mapy. Zaklasifikujte aj informačné systémy a to podľa účelu. Nepozerajte sa na informačný systém ako na počítačový program, alebo aplikáciu. Z pohľadu GDPR je informačný systém charakterizovaný účelom spracovania a môže ho tvoriť súbor viacerých aplikácií. (Napríklad mzdový systém, marketingový systém, fakturačný systém, a pod.)

Analyzujte riziká

Zamyslite sa nad spracovaním údajov, ich tokom a ukladaním a zostavte zoznam rizík, ktoré im hrozia a navrhnite opatrenia na ich zníženie. (Napríklad či pri získavaní osobných údajov postupujem podľa zákona, či pri ich prenose do systému ich ani náhodou neprečíta, neskopíruje, či pri ich ukladaní je úložisko bezpečne zašifrované, či pri ich archivovaní nehrozí ich strata, aj či sa pri ich likvidovaní nedostanú do nepovolaných rúk). V prípade väčších projektov postupujte podľa metodiky ISO a vytvorte komplexnú DPIA. (Data Protection Impact Analyse)

Vytvorte rozdielovú (GAP) analýzu

Váš pracovný tím musí zmapovať súčasný stav spracovania a ochrany osobných údajov, na aké účely sa zbierajú, odkiaľ pochádzajú, komu sa posielajú, aké sú právne tituly (dôvody) na ich spracovanie, ako sú chránené, ako sú informované dotknuté osoby a pod. Z týchto podkladov vytvoria rozdielovú analýzu (GAP), ktorá porovná súčasný stav s tým čo má byť poľa GDPR.

Súčasťou GAP analýzy môže byť aj prehľad požiadaviek, ktoré musia byť splnené pre dosiahnutie súladu s GDPR a tieto požiadavky budú kladené napríklad na nové funkcionality softvéru, alebo nové pracovné postupy.

Vytvorte plán implementácie

Na základe GAP analýzy navrhnite riešenie (Plán implementácie GDPR), ktorý bude obsahovať zoznam úloh a harmonogram, toho čo sa musí vykonať. Tento plán musí obsahovať zdroje (ľudí) aj financie (nákup softvéru napríklad).

Zrealizujte projekt GDPR podľa plánu

Plán ktorý vytvoríte bude potrebné vykonať. Môžete napríklad predpokladať, že bude treba zrevidovať a nastaviť prístupové práva k počítačom a sieti, preveriť zálohovanie, zabezpečiť šifrovanie, dokúpiť a nainštalovať nový bezpečnostný softvér.

Budete sa musieť vo firme pripraviť na nové povinnosti, ako sú informovanie dotknutých osôb o ich právach, upraviť webovú stránku, objednávkové formuláre,  všeobecné obchodné podmienky a pod.
Nevyhnete sa vytvoreniu postupov pre oznamovaciu povinnosť, ak dôjde k strate, ale krádeži dát. Vaše smernice budú musieť určovať kedy a ako informovať dotknuté osoby, kedy úrad pre ochranu osobných údajov, kedy verejnosť a médiá.

Aj vaši zamestnanci sa budú musieť počas realizácie zapojiť a preškoliť. Školenia sa budú týkať dvoch oblastí, a to pravidiel pre spracovanie údajov a IT bezpečnosti. Budú si musieť osvojiť, ako správne s osobnými údajmi pracovať, ale j to ako bezpečne používať počítač, email, internet a ako rozpoznať kybernetické hrozby.

Dokumentácia a priebežné vylepšovanie

Na záver bude treba všetko riadne zdokumentovať, a priebežne sledovať, vyhodnocovať a vylepšovať ochranu osobných údajov v prípade zmien, zavádzania nových systémov, alebo ako reakcie na bezpečnostné incidenty pre ich minimalizáciu do budúcnosti.