Praktický průvodce přípravou na GDPR: Část I. Plánování projektu

Vydáno: 10 minut čtení

Díky čím dál tím větší mediální pozornosti se z Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) stalo velké téma, které řeší nejen odborná veřejnost, ale především všichni ti, kteří budou muset od jara roku 2018 dodržovat povinnosti, jež jsou tímto novým nařízením uloženy. GDPR je nové nařízení Evropské unie, jež s účinností od května 2018 zavádí nová často přísnější pravidla pro zpracování osobních údajů, která jsou přímo závazná na celém území Evropské unie.

Praktický průvodce přípravou na GDPR: Část I. Plánování projektu
Mgr.
Michal
Nulíček,
LL.M.,
CIPP/E
Čas zbývající do účinnosti GDPR se již povážlivě tenčí a stále více organizací si uvědomuje, že dosažení souladu s GDPR je projekt, který si žádá často rozsáhlé změny v procesech, vysoké investice i velké množství času. Obecně přitom platí, že organizace, které již dnes splňují podmínky zpracování osobních údajů dle zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále „ZOOÚ“), budou mít s implementací GDPR daleko jednodušší práci. Praktické zkušenosti však prokazují, že organizací, které by skutečně ZOOÚ plně dodržovaly, není mnoho. Obtížné může být pro některé z nich také přijmout fakt, že ne všechny obchodní aktivity, zejména co se týče vytěžování, sdružování, prodeje a nákupu dat, bude možné provozovat i nadále bez větších změn.
Příprava na účinnost nového nařízení je několik měsíců trvajícím projektem, u kterého je klíčové správně navrhnout obsah a harmonogram jednotlivých etap a jasně stanovit odpovědnost zainteresovaných stran za různé části projektu. Samotné implementaci, tedy skutečnému provádění změn v procesech a dokumentech, by mělo předcházet pečlivé zmapování procesů souvisejících se zpracováním osobních údajů. Detailní zmapování těchto procesů přitom může být časově náročné a velmi pracné, a to zejména v případě organizací provádějících rozsáhlá a různorodá zpracování, popř. v případě organizací bez jasně definovaných procesů. Vzhledem ke stále se zkracujícímu času, který do účinnosti GDPR zbývá, by tak měly organizace, které ještě s přípravou nezačaly, projekt urychleně zahájit.
Tento článek je prvním ze série článků, které by měly všem organizacím, které vystupují v roli správců osobních údajů, tj. určují účely a prostředky zpracování nebo jim tyto účely a prostředky byly učeny zákonem, pomoci s úspěšným zvládnutím celé přípravy. Tentokrát se zaměříme na to, jak nastavit klíčové parametry projektu a čeho se naopak vyvarovat (tento článek nicméně nemá za cíl poskytovat obecné informace o řízení projektů). V dalších článcích se budeme posléze podrobně věnovat jednotlivým etapám projektu a specifickým ustanovením GDPR s výrazným dopadem na činnost organizací.
 
Příprava projektu
Zásadním krokem, bez kterého se implementace GDPR neobejde, je samotné
vytvoření projektového plánu.
Projekt je ideální rozdělit do několika etap, přičemž každá tato etapa by měla mít určený
harmonogram, rozpočet a odpovědnosti zainteresovaných stran.
V rámci některých etap je rovněž potřeba počítat s nutností zapojení externích poradců, právních i technických (procesní, bezpečnostní, IT), přičemž tyto je nutné poptat a zajistit jejich spolupráci. S ohledem na to, že podobné projekty bude v nejbližší době provádět takřka každý podnikatel a kapacitní možnosti odborníků na tuto problematiku jsou omezené, je potřeba také počítat s tím, že cena za služby kvalifikovaných poradců bude minimálně do poloviny příštího roku jen růst – i proto je vhodné začít co nejdříve.
V rámci naší praxe jsme dospěli k rozdělení projektu do 6 základních etap:
1.
dosažení konsenzu ohledně plánu projektu a zvýšení povědomí o GDPR,
2.
zmapování procesů zpracování v organizaci,
3.
vytvoření GAP analýzy,
4.
vypracování dopadové analýzy,
5.
implementace a
6.
spuštění pilotního provozu v novém režimu a dolaďování celého systému.
1. Dosažení konsenzu ohledně plánu a zvyšování povědomí o GDPR
V první fázi projektu je nutno seznámit klíčové osoby v organizaci s plánem dalších etap projektu a tento plán na základě specifik organizace a připomínek těchto osob případně upravit. Význam a obsah tohoto plánu, jakož i nutnost provedení změn (a vynaložení potřebných finančních zdrojů) by měl vzít za svou především management a klíčoví zaměstnanci ve všech relevantních odděleních, kterých se GDPR nejvíce dotkne. Typicky se bude jednat o HR, IT,
marketing
či např. účetní oddělení. Za účelem zvýšení povědomí o chystaném projektu a jeho smyslu by měla v této fázi proběhnout také školení zaměřená na nejrůznější aspekty GDPR. Důležité je nicméně školení správně nastavit a zacílit, aby zaměstnanci získali právě a pouze ty informace, které jsou pro ně skutečně potřebné.
 
2. Zmapování zpracování v organizaci
Ve druhé etapě by mělo dojít k důkladnému zmapování všech procesů zpracování a datových toků v rámci organizace. Zvlášť by měly být zmapovány osobní údaje a citlivé osobní údaje, na které se vztahuje přísnější právní úprava. Mapování by mělo pokrývat celý
životní cyklus osobních údajů, od shromáždění do jejich likvidace.
Tato fáze může být u některých organizací vůbec tou nejnáročnější. Mapování by mělo být rozděleno do určitých sekcí, které budou odpovídat faktickému fungování organizace. Zvlášť by proto mělo být mapováno zpracování např. v HR, prodeji, marketingu apod. Výstupem mapování však musí být komplexní a provázaný přehled zpracování v organizaci, nikoli několik partikulárních, odlišných a vzájemně si odporujících dokumentů. Nezbytné je také zapojení technických poradců, kteří provedou mapování procesů zpracování v rámci informačních systémů.
Výsledek mapování by měl být verifikován s právními a technickými poradci, aby bylo ověřeno, že skutečně poskytuje dostatečný podklad pro realizaci dalších etap projektu. Proces mapování může významně usnadnit využití dotazníkových formulářů, které dnes v praxi využívají mnohé poradenské společnosti a advokátní kanceláře.
 
3. GAP analýza
V následující fázi je nutné provést tzv. GAP analýzu, tj.
rozdílová analýza mezi zmapovaným stavem a stavem, který je nutné dosáhnout pro soulad s GDPR.
V rámci tohoto kroku je nutné analyzovat, tedy právně posoudit, veškeré procesy a dokumenty (vzorová smluvní dokumentace, obchodní podmínky, smlouvy se zaměstnanci, interní předpisy a další dokumenty, které mohou být z hlediska ochrany osobních údajů
relevantní
), a to na základě zjištění z předchozí etapy. Výsledkem by měla být jasná a přehledná zpráva, ze které budou zřejmé nedostatky v jednotlivých oblastech činnosti organizace, které je nutné v následujících fázích odstranit.
 
4. Dopadová analýza
Na základě vypracované GAP analýzy je možné zahájit další etapu, a to dopadovou analýzu – u menších projektů lze tyto etapy spojit. Zde by měly být připraveny konkrétní návrhy opatření, kterými budou odstraněny nedostatky zjištěné v GAP analýze, a to s uvedením konkrétních dopadů vyplývajících pro organizaci. Na veškeré dokumentaci by mělo být jasně označeno co a jak upravit a měly by být připraveny návrhy potřebných změn v procesech organizace. Navržen by měl být také komplexní compliance systém, jehož provádění zajistí plný soulad prováděného zpracování s GDPR a který bude správce předkládat v případě kontroly Úřadu pro ochranu osobních údajů. Tento systém by měl vycházet z konkrétních rizik, která představuje prováděné zpracování pro subjekty údajů (osoby, k nimž se osobní údaje vztahují), jelikož dle GDPR by přijatá opatření měla odpovídat riziku vyplývajícímu ze zpracování pro subjekty údajů.
V této fázi by také mělo být zjištěno, jestli na organizaci dopadá povinnost jmenovat pověřence pro ochranu osobních údajů. Pokud ano, měl by být ještě před zahájením samotné implementace pověřenec jmenován, aby mohl od počátku dohlížet na proces implementace a mohl poskytnout organizaci svůj názor na to, jestli jsou jí navržená opatření dostatečná, či nikoliv.
 
5. Implementace změn
V předposlední fázi by mělo dojít k samotné implementaci změn, tedy k provedení plánu vytvořeného v předchozí fázi. V rámci tohoto kroku by mělo dojít v první řadě k úpravě externí dokumentace (souhlasy se zpracováním, VOP (všeobecné obchodní podmínky), podmínky ochrany osobních údajů, zpracovatelské smlouvy apod.) a k úpravě či vytvoření interní dokumentace (vnitřní předpisy a jiná dokumentace určená zaměstnancům, koncepce ochrany osobních údajů, různá posouzení podle potřeby). Důležité také je, aby organizace vytvořila mechanismus pro vyřizování žádostí subjektů údajů v rámci výkonu jejich práv dle GDPR. Dále by měl být vytvořen plán pro případy bezpečnostních incidentů, a to včetně mechanismů pro interní reportování těchto zjištění a minimalizaci rizik plynoucích z těchto incidentů. Vytvořen a uveden do chodu by měl být také komplexní compliance mechanismus již zmíněný výše, který bude zajišťovat jednak zajištění souladu zpracování s GDPR, jednak vytváření potřebných záznamů a dokumentů pro prokázání takového souladu s GDPR.
 
6. Spuštění pilotního provozu
V poslední etapě by mělo dojít ke spuštění pilotního provozu upravených procesů zpracování a vytvořeného compliance systému. To znamená, že by měl být zahájen výkon činnosti organizace dle upravených procesů, včetně provádění příslušných technických a organizačních opatření ochrany, a dále by měly být využívány nové dokumenty, interní předpisy, smluvní a obchodní podmínky apod. K tomuto by mělo dojít ideálně s dostatečným časovým odstupem před účinností GDPR, aby měla organizace dostatek času pro zjištění případných nedostatků a jejich nápravu bez rizika nesouladu s účinnou právní úpravou. Po dokončení implementace lze soulad s GDPR prokázat osvědčením o ochraně osobních údajů.
Výše uvedené rozdělení do etap je samozřejmě možné upravit podle potřeb dané organizace. Každá organizace, ať už se jedná o podnik, spolek či orgán veřejné správy, má totiž odlišné potřeby a fungování. V naší praxi při provádění projektů implementace či některých jeho fází se však osvědčilo tento postup dodržovat. Jak je v tomto článku již několikrát akcentováno, času do účinnosti GDPR zbývá již málo a v případě mnohých organizací méně, než by celý projekt vyžadoval. Harmonogram jednotlivých fází by tedy měl být postaven tak, aby se stihla implementace dokončit ještě před účinností. V případě, že by nebylo možné projekt v plném rozsahu dokončit do nabytí účinnosti GDPR, lze v poslední etapě implementovat
tzv.
quick-fix
změny,
které zajistí časově efektivní odstranění zásadních a nejvíce patrných nedostatků s tím, že plný soulad s GDPR bude zajištěn co nejdříve poté. O tomto však podrobněji až v některých z dalších částí našeho seriálu.
Pokračování příspěvku:
Část II. Analytická část projektu
Část III. Dopad některých povinností dle GDPR na činnost podnikatelů
Část IV. Shrnutí nejdůležitějších povinností
Zdroj: Odborný portál DAUC.cz, 2017.