Zavádění GDPR v organizaci

08.08.2017

Do účinnosti nařízení o ochraně osobních údajů GDPR (Nařízení) zbývá necelý rok času a z reformy ochrany osobních údajů se stává velice diskutované téma soukromého i veřejného sektoru České republiky. Důvodem velkého zájmu o Nařízení je především velké množství změn v povinnostech správců i zpracovatelů osobních údajů, které Nařízení přináší, a skokové navýšení správních sankcí, které za porušení těchto povinnosti hrozí. Sankce za nedodržení tohoto nařízení mohou být, dle charakteru a závažnosti incidentu, až 4 % z celkového obratu společnosti (konsorcia společností), nebo 20 milionů EUR, podle toho, která částka je vyšší.

Příprava na účinnost Nařízení může být s ohledem na rozsah zpracování správce nebo zpracovatele velmi náročným projektem, a to jak finančně, tak časově. Nařízení se totiž dotkne celé řady procesů, dokumentů a informačních systémů fungujících v rámci organizace dovnitř i navenek.

Je především důležité ujasnit si svou roli při zpracování osobních údajů. Jiné povinnosti čekají na správce, tedy ty, kteří zpracovávají osobní údaje pro své vlastní účely a jiné na zpracovatele, kteří zpracovávají osobní údaje pro správce.

Zavádění Nařízení v organizaci by mělo být realizováno jako projekt s jasně vymezenými fázemi, časovým horizontem a vyjasněnou odpovědností zúčastněných osob. Lze doporučit, aby s tímto projektem bylo započato co nejdříve. Zejména první kroky zjišťování současného stavu souladu s Nařízením totiž mohou zabrat velice dlouhou dobu.

Tento projekt je možné rozplánovat různými způsoby, jelikož není žádný univerzální projekt, který by seděl na všechny organizace. Plán projektu nemusí být použitelný pro každou organizaci stejně a taktéž popis námi nabízených služeb není vyčerpávající.