Většina firem, které se k novému nařízení postavily čelem a daly si osobní údaje do kupy, s úlevou vydechly, když byl generální úklid za nimi a mohly se začít zase naplno věnovat podnikání. Často přitom ale zapomínají na to, že jednorázově proškolit tým ohledně nakládání s osobními údaji je sice záslužné, ale jakmile vám do firmy přibývají nové tváře, je potřeba zaškolovat znovu a znovu. Nebo jim připravit srozumitelný GDPR manuál, který zvládnou nastudovat sami. A ověřit si, že to opravdu udělali.
GDPR manuál by neměl být jen formalita
Proč? Když své zaměstnance dobře seznámíte s tím, jak (ne)mají s osobními údaji, se kterými přijdou při své práci do styku, nakládat, výrazně snížíte riziko úniku dat, poškození reputace a důvěry u zákazníků. A když k průšvihu přece jenom dojde, lépe se vám budou napravovat škody a úřadům budete schopni prokázat, že jste udělali všechno, co je ve vašich silách, abyste úniku osobních údajů zabránili, a splnili tak svoji zákonnou povinnost.
Co by měl vlastně takový manuál obsahovat?
Jaké osobní údaje se ve vaší firmě zpracovávají, kdo je jejich správce a kdo zpracovatel. Vysvětlete základní pojmy, ať se všichni dobře orientují a mluví “stejnou řečí”.
Kdo je za co ve firmě odpovědný
Uveďte, jaké má kdo v oblasti osobních údajů kompetence, na koho se v jaké situaci obrátit a kdo je pověřenec pro ochranu osobních údajů, pokud ho máte. Nezapomeňte objasnit odpovědnost samotných zaměstnanců a důsledky porušení zásad nakládání s osobními údaji.
Seznam vnitřních předpisů
Souvisí práce s osobními údaji s nějakými dalšími předpisy ve firmě? Např. s normami ISO apod.
Zásady pro nakládání s osobními údaji
Vysvětlete základní principy práce s osobními údaji podle GDPR na praxi vaší firmy nebo oddělení – pojmy jako zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost jsou alfou a omegou práce s osobními údaji.
Postupy v konkrétních situacích
Popište, jak mají zaměstnanci postupovat, když někdo bude požadovat výmaz nebo přenos svých osobních údajů nebo informaci o tom, jak s nimi nakládáte, a především co a v jakých lhůtách mají přesně dělat, když dojde k úniku osobních údajů.
Instrukce k záznamům o činnostech zpracování
Nezapomeňte, že především zpracovatelé mají povinnost vést aktuální přehled o činnostech pro správce. A každý zaměstnanec by měl vědět, že například po uzavření nové smlouvy se zákazníkem musí tuto informaci někam zanést nebo někomu předat.
Informace k uzavírání smluv
Připomeňte, že některé smluvní vztahy můžou vyžadovat zvláštní ujednání týkající se osobních údajů a uveďte, na koho se mohou zaměstnanci v takovém případě obrátit, nebo vysvětlete, jak to poznají sami.
Bezpečnostní opatření
Specifikujte pravidla týkající se práce s tištěnými dokumenty, zamykání kanceláří a kartoték nebo používání informačních a komunikačních technologií, pokud je nemáte jasně stanovená v jiném dokumentu.
Specifika vašeho podnikání
Některé firmy nebo oddělení (např. účetní, IT, security, marketing apod.) mohou vyžadovat specifické postupy. Nezapomeňte je v manuálu vysvětlit.
Vytvořit takový manuál, který bude opravdu praktický, srozumitelný a zaměstnanci budou po jeho pročtení skutečně vědět, co a jak, není hračka. Když si s ním ale dáte práci a zařadíte jej do svých onboardingových materiálů, ušetří vám v budoucnu spoustu práce a především starostí.
