Dnes tu mám pro vás nikoliv článek, ale dotazník zaměřený na GDPR (General data protection regulation) tj nařízení platné od 25.5.2018. Tímto nařízením se ruší Zákon č. 101/2002 Sb. o ochraně osobních údajů a přináší mnoho nových povinností. Pokud nemáte základy GDPR nastudované, tak doporučuji začít jinde a na tento GDPR dotazník se později vrátit.
GDPR dotazník, který jsem vypracoval, obsahuje 32 otázek a měl by pomoci zjistit, do jaké míry jste nebo nejste GDPR ready. Pomůže vám také udělat si představu o oblastech, na které GDPR bude klást nároky. V případě, že na některé z otázek bude odpověď “NE“, doporučuji se na danou oblast více informovat, připadně se na ni připravit třeba ve spolupráci s nějakým konzultantem. V závislosti na velikosti organizace a složitosti procesů mohou být některé otázky více či méně relevantní. Případné návrhy na doplnění prosím do komentáře.
1) ZÁKLADNÍ PRÁVA SUBJEKTU ÚDAJŮ
- Je možné na vyžádání klienta umožnit přístup ke všem osobním údajům vyskytujícím se v systému (v tištěné, elektronické podobě)? Je možné zajistit na vyžádání transport klientských údajů třetí straně?
- Je možné na vyžádání klienta provést opravu klientských údajů v systému
- Je možné zajistit výmaz klientských údajů pokud k jejich evidenci neexistují zákonné, smluvní nebo jiné důvody ke zpracování?
- Je možné zajistit odvolání se zpracováním osobních údajů pro marketingové účely?
- Je možné zajistit odvolání klienta se zpracováním svých údajů pro automatizované procesy, profilování?
- Je možné umožnit klientovi vznést námitku v souvislosti se zpracováním svých osobních údajů?
- V případě, že je možné určit po jakou nezbytně krátkou dobu mohou být osobní údaje klientů a zaměstnanců zpracovávány, jsou takové lhůty stanoveny?
- Jsou všechny získané osobní údaje evidovány pouze v nezbytném rozsahu k poskytnutí služby nebo splnění zákonných požadavků (např. u zaměstnanců)?
2) SALES & MARKETING & WEB
- Existuje u každého klienta, jehož osobní údaje jsou zpracovávány, souhlas se zpracováním osobních údajů v momentě získání osobních údajů (tzn. i retrospektivně)? Pozor dle GDPR musí klient AKTIVNĚ souhlasit, tzn. např. v případě webu nestačí pouze pasivně potvrdit předzaškrtnuté tlačítko jako dosud.
- Jsou na webu aktuální informace o zpracování osobních údajů a informace o právech klientů v souvislosti s ochranou osobních údajů a povinnostech správce OÚ?
- Je v organizaci interně stanoveno, na základě jakého právního titulu jsou osobní data zpracovávána? Smluvní vs zákonný titul.
- Existuje správně nastavená cookies policy?
- Dochází k distribuci marketingových materiálů klientům a v případě že ano, existuje souhlas se zpracováním osobních údajů pro marketingové účely u každého klienta (i zpětně)?
- Zpracovávají se (a jsou vůbec identifikovány) citlivé údaje ve zvláštním režimu ochrany tj. osobní údaje dětí, biometrické údaje, údaje o zdravotním stavu, sexuální orientaci, náboženství, atp.?
3) DOKUMENTY & PROCESY
- Je jmenován Pověřenec pro ochranu osobních údajů (v případě povinnosti)? Jaké má kompetence, úkoly, není ve střetu zájmů?
- Je v organizaci implementována politika privacy by design, tzn. schvalování KAŽDÉHO nového procesu souvisejícího se zpracováním osobních údajů Pověřencem pro potvrzení toho, že proces je z hlediska GDPR OK?
- Existuje vnitropodniková směrnice upravující nakládání s osobními údaji klientů a jejich ochranu?
- Existují procesy a dokumenty pro vypořádání práv, které může uplatňovat subjekt údajů v souladu s GDPR (vč. písemné formy)
- Existuje evidence toho, kde všude se osobní údaje klientů vyskytují, kdo s nimi pracuje a kde jsou uložena?
- Vyhodnocují se pravidelně osobní údaje, které jsou v informačních systémech bez existence smluvního nebo zákonného titulu pro zpracování osobních údajů a tyto data se pravidelně mažou?
- Jsou zaměstnanci průběžně školeni o právech a povinnostech?
- Existuje seznam zaměstnanců, kteří osobní údaje ve společnosti zpracovávají?
- Existuje (a je pravidelně aktualizován) v organizaci přehled o Typech zpracováváných údajích (v případě že má povinnost vést) alespoň v rozsahu:
4) INFORMAČNÍ SYSTÉMY & BEZPEČNOST
- Existuje pravidelně aktualizovaný seznam v jakých informačních systémech a umístěních jsou uloženy osobní údaje
- Jsou osobní údaje zabezpečeny proti zneužití nebo ztrátě? Je možné data ze zálohy obnovit?
- Mohou zaměstnanci přistupovat do vnitropodnikového systému nebo emailu ze soukromých zařízení a v případě že ano, je toto spojení zabezpečeno/šifrováno pro zabránění neoprávněného vniknutí?
- Nachází se všechna data na serverech ležících v EU?
- Existuje osoba zodpovědná za informační bezpečnost organizace? Existují nějaké bezpečností směrnice?
- Provádí se pravidelně testy zabezpečení systému, archivace dat?
- Je možné při obnovení ze zálohy zpětně upravit systém o dříve uplatněná práva subjektů údajů (výmazy, opravy)
5) VZTAH SPRÁVCE OSOBNÍCH ÚDAJŮ VS ZPRACOVATEL – DODAVATEL
- Je smluvně zabezpečena ochrana poskytnutých osobních údajů ve vztahu ke zpracovatelům/dodavatelům (třetí strany)?
- Je technicky a procesně možné uplatnit práva subjektů údajů (právo na informování, opravu, výmaz, odvolání souhlasu s MKT) u zpracovatelů/dodavatelů?
Disclaimer: GDPR dotazník je zveřejněn jako ilustrativní a je vyjádřením názoru a interpretace autora. Neslouží, ani není určen jako návod k plnění povinností souvisejících s implementací GDPR. Jako autor nenesu žádnou odpovědnost za případně škody vzniklé špatnou interpretací nebo neúplností dotazníku. Použití dotazníku pro soukromé účely je bez písemného souhlasu autora zakázáno.
Nařízení (EU) 2016/679 – Struktura, obsah a odkaz
- KAPITOLA I – Obecná ustanovení
- KAPITOLA II – Zásady
- KAPITOLA III – Práva subjektů údajů
- KAPITOLA IV – Správce a zpracovatel
- KAPITOLA V – Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím
- KAPITOLA VI – Nezávislé dozorové úřady
- KAPITOLA VII – Spolupráce a jednotnost
- KAPITOLA VIII – Právní ochrana, odpovědnost a sankce
- KAPITOLA IX – Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování
- KAPITOLA X – Akty v přenesené pravomoci a prováděcí akty
- KAPITOLA XI – Závěrečná ustanovení
Celé znění Nařízení (EU) 2016679 (GDPR) v češtině ke stažení zde
Úřední věstník Evropské unie L119 najdete třeba zde