GDPR aplikace - Krok za krokem€¦ · je potřeba u každé skupiny osobních údajů definovat...

GDPR aplikace - Krok za krokem Zpracoval: Tomáš Halász, 2H C.S. s.r.o., Haškova 996, Kopřivnice 742 21 Dne: 26.04.2018

2H C.S. s.r.o. – GDPR - aplikace

www.gdpr-dpo.consulting - návod k obsluze aplikace strana 2 z 31

Obsah ANALÝZA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ....................................................................................................................... 3

A můžeme se do toho pustit. ........................................................................................................................... 4 Jaké osobní údaje zpracováváte?.................................................................................................................... 4 Jaké jsou zákonné důvody vašeho zpracování? .............................................................................................. 4 Nyní vezměme tyto první dvě otázky dohromady. .......................................................................................... 4

JAK JE TO V GDPR APLIKACI ........................................................................................................................................ 6 Registrace a základní nastavení ...................................................................................................................... 6 GDPR analýza – příklad zaměstnanců ............................................................................................................. 8 První oddíl – skupina osobních údajů ............................................................................................................ 11 Nová skupina osobních údajů ....................................................................................................................... 13 Druhý oddíl – zákonnost zpracování a doba uložení ..................................................................................... 13 Třetí oddíl – osoby s přístupem ..................................................................................................................... 14 Čtvrtý oddíl – místo a způsob uložení............................................................................................................ 17 Pátý oddíl – příjemci ...................................................................................................................................... 19 Rizika ............................................................................................................................................................. 21 Technická a organizační opatření ................................................................................................................. 22 Vlastní skupina subjektů údajů ..................................................................................................................... 23 Přehled opatření ............................................................................................................................................ 23

FINÁLNÍ REPORT...................................................................................................................................................... 25 Záznamy o činnostech zpracování ................................................................................................................ 26

AGENDA GDPR ...................................................................................................................................................... 27 Práva subjektů údajů..................................................................................................................................... 27 Typy událostí ................................................................................................................................................. 29 Bezpečnostní incidenty .................................................................................................................................. 30

DOKUMENTY KE STAŽENÍ .......................................................................................................................................... 31 FIRMY A UŽIVATELÉ ................................................................................................................................................. 31 ZÁVĚR ................................................................................................................................................................... 31

http://www.gdpr-dpo.consulting/



Analýza zpracování osobních údajů Stále tápete a nevíte, jak si s osobními údaji a GDPR ve vaší firmě poradit? Není to tak těžké, jak by se mohlo zdát. V podstatě je potřeba jen odpovědět na pár otázek a zjištěné skutečnosti zapsat do GDPR aplikace.

1) Jaké osobní údaje zpracováváte 2) Jaké jsou zákonné důvody vašeho zpracování 3) Kdo má k osobním údajům přístup 4) Kde jsou osobní údaje uloženy 5) Kdo jsou další příjemci osobních údajů

Než začneme, musíme si vysvětlit několik základních pojmů, které budeme dále používat:

Osobní údaje Je to jakýkoliv údaj, který vede nebo může vést k jednoznačné identifikaci fyzické osoby (subjektu údajů).

Zpracování Je to jakákoliv činnost, kterou s osobními údaji provádíte. Je to například shromáždění, uložení, nahlížení, třídění, automatizované zpracování, vyhledávání, použití, zpřístupnění přenosem.

Subjekt údajů Je to fyzická osoba jejíž osobní údaje zpracováváte.

Správce Je ten, kdo určuje účely a prostředky zpracování, tedy zejména vy respektive vaše firma.

Zpracovatel Zpracovává osobní údaje pro správce na základě pověření správcem.




A můžeme se do toho pustit.

Jaké osobní údaje zpracováváte? Zamyslete se nad tím, co všechno může být ve vaší firmě osobní údaj. Může to být nejen jméno a příjmení, emailová adresa, ale také fotografie, videozáznam, IP adresa počítače, zdravotní dokumentace, velikost boty. Jednoduše jakýkoliv údaj, který může vést k identifikaci fyzické osoby. Příklad 1 Firma zaměstnává 5 obchodníků. Mzdovou evidenci firmě zpracovává externí mzdová účetní. V případě osobních údajů zaměstnanců použitých pro účely mzdové evidence se jedná o zpracování na straně zaměstnavatele, protože údaje od zaměstnanců získal a určuje účel a způsob jejich zpracování. Příklad 2 Firma podniká ve velkoobchodu s potravinami a nakupuje a prodává pouze právnickým osobám. Osobními údaji jsou v tomto případě jména a příjmení kontaktních osob, jejichž prostřednictvím uskutečňuje obchod.

Jaké jsou zákonné důvody vašeho zpracování? Zde je potřeba najít zákonný důvod proč osobní údaje zpracováváte. Může se jednat o jeden z těchto šesti:

- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů - máte oprávněný zájem na zpracování osobních údajů - zpracování je nezbytné pro splnění právní povinnosti správce - subjekt údajů vám udělil souhlas se zpracováním svých osobních údajů - zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo

jiné fyzické osoby - zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při

výkonu veřejné moci

Nyní vezměme tyto první dvě otázky dohromady.

Máte zaměstnance? Pak určitě zpracováváte jejich osobní údaje pro účely mzdové evidence.

Máte zákazníky? Pak zpracováváte jejich osobní údaje pro účely plnění smlouvy.




Máte dodavatele? Pak zpracováváte osobní údaje kontaktních osob (email, telefon) pro účely plnění smlouvy.

Máte e-shop? Pak zpracováváte osobní údaje nakupujících pro účely plnění smlouvy.

Registrují se vám návštěvníci na webu? Rozesíláte na takto získané kontakty newslettery a jiná obchodní sdělení? Pak zpracováváte osobní údaje těchto návštěvníků a potřebujete jejich souhlas.

Máte na webu kontaktní formulář? Pak zpracováváte osobní údaje zaslané v tomto formuláři.

Máte kamerový systém? Pak zpracováváte osobní údaje ve formě videozáznamu pro účely ochrany majetku a zdraví.




Jak je to v GDPR aplikaci Teď, když už víte, co jsou osobní údaje a že musíte mít zákonný důvod k jejich zpracování, se můžeme podívat na to, jak vše zapíšete do GDPR aplikace.

Registrace a základní nastavení Nejprve je potřeba provést registraci do GDPR aplikace. Registrace se provádí na adrese: https://gdpr-dpo.consulting/login/new-registration/

Stačí zadat Váš platný email a poté dvakrát stejné heslo. Po kliknutí na tlačítko „Registrovat“ vás aplikace automaticky přihlásí. Také vám bude odeslán email s odkazem k potvrzení platnosti emailu. Na odkaz v emailu klikněte, abychom měli jistotu, že email, který jste zadali při registraci je správný. Protože bereme ochranu osobních údajů vážně, je jako první krok potřeba nastavit heslo, kterým budou šifrovány osobní údaje, které zadáte v GDPR aplikaci. Na následující obrazovce tedy vyplňte heslo po šifrování osobních údajů.


https://gdpr-dpo.consulting/login/new-registration/



Toto heslo bude použito pro šifrování osobních údajů v právě aktivní firmě. GDPR aplikace umožňuje pracovat s více firmami a přepínat se mezi nimi. Každá firma pak může mít své heslo pro šifrování osobních údajů. Jakmile kliknete na tlačítko „Nastavit heslo“, aplikace otevře stránku „Údaje o firmě“ a nahoře bude okno pro odemknutí osobních údajů heslem, které jste v předchozím kroku zadali.

Zadejte tedy znovu heslo a klikněte na „Odemknout“. Nyní už bude stránka „Údaje o firmě“ připravena k zadání všech údajů. Zapište tedy vše o své firmě.

Jakmile budete mít hotovo, klikněte úplně dole na tlačítko „Uložit“.




GDPR analýza – příklad zaměstnanců A nyní už se můžeme pustit do opravdové práce na GDPR. Pod odkazem „GDPR 2018“ v horním menu najdete hlavní část GDPR aplikace, pomocí které vytvoříme GDPR analýzu.

Nyní si popíšeme jednotlivé části celé stránky. Hned na začátku je třeba říci, že v celé aplikaci je spousta nápověd. Najdete je vždy pod ikonou otazníku v kolečku.




Úplně nahoře na stránce vidíte ukazatel vašeho postupu v analýze GDPR.

Jak budete postupně vyplňovat jednotlivé části aplikace, budou se plnit jednotlivé body ukazatele. Vpravo nahoře pak jsou k dispozici tlačítka pro vygenerování PDF sestav „Finální report“ a „Záznamy o zpracování“. Tlačítko „Přehled opatření“ otevírá evidenci přijatých opatření, která budete plnit pro dosažení souladu s GDPR. Je to taková evidence úkolů.

Pod „ukazatelem postupu“ následuje to nejdůležitější: „Skupiny subjektů údajů“.

Celá GDPR analýza probíhá tak, že si jednotlivé osobní údaje, které v rámci firmy zpracováváte, rozdělíte do logických skupin podle společného jmenovatele zpracování.




Při registraci vaší firmy vám GDPR aplikace vytvoří první „skupinu subjektů údajů“ nazvanou „zaměstnanci“. Je předpoklad, že většina firem má jednoho a více zaměstnanců, a proto jsme předpokládané zpracování osobních údajů zaměstnanců již vyplnili za vás. Pokud zaměstnance nemáte, berte tuto skupinu jako příklad. Můžete ji kdykoliv vymazat. Skupina subjektů údajů ještě neříká, o jaké osobní údaje konkrétně jde. Ty jsou určeny v následujícím žlutém rámečku nazvaném opět „Zaměstnanci“.

„Zaměstnanci“ jsou „skupinou osobních údajů“ a mají u sebe definováno jaké konkrétní údaje u této skupiny zpracováváte. Takovýchto „skupin osobních údajů“ může být v jedné „skupině subjektů údajů“ libovolné množství. V případě zaměstnanců jsou skupiny osobních údajů například tyto: zaměstnanci – jméno, příjmení, adresa a vše pro mzdovou evidenci uchazeči o zaměstnání – jméno, příjmení, adresa, životopis a vše pro výběrové řízení propagace firmy – jméno, příjmení, fotografie, videa z firemních akcí V prvním řádku skupiny „zaměstnanci“ vidíte pět oddílů. Každý z nich slouží pro jednu část analýzy.




V každém oddílu je kromě ikony s otazníkem pro otevření nápovědy také několik dalších ovládacích prvků: Přidat záznam – přidá nový záznam do zvoleného oddílu (např. další zákonnost zpracování, příjemci, místo a způsob uložení)

Při najetí myší se ukáží souhrnné informace o záznamu.

Po kliknutí se otevře editační okno záznamu.

Po kliknutí bude záznam vymazán.

První oddíl – skupina osobních údajů

Zde je ve výchozích datech nastavena skupina „zaměstnanci“. Po kliknutí na tlačítko pro editaci se otevře okno, v kterém můžete vybrat jinou skupinu osobních údajů a také doplnit další důležité údaje.




Jaké konkrétní osobní údaje patří do této skupiny můžete nastavit v menu „Katalogy a nastavení“ pod volbou „Skupiny OÚ“.

V katalogu „skupiny OÚ“ jsou vidět všechny skupiny osobních údajů, které jsou v aplikaci definovány. Můžete si přidávat vlastní a do každé skupiny osobních údajů lze vepsat konkrétní osobní údaje, které do dané skupiny patří. Může to vypadat například takto.

Právě do tohoto katalogu skupin osobních údajů doplníte další své vlastní skupiny. Například „kamerové záznam“, „návštěvníci eshopu“ apod.




Nová skupina osobních údajů Novou skupinu osobních údajů vložíte tak, že kliknete na tlačítko „Nová skupina OÚ“, které najdete dole pod celým oddílem skupiny osobních údajů.

Druhý oddíl – zákonnost zpracování a doba uložení

V tomto oddílu je potřeba zvolit zákonný důvod pro zpracování osobních údajů z prvního oddílu. Opět jsou zde stejné ovládací prvky pro úpravu záznamu, vymazání nebo přidání nového záznamu. Zákonností zpracování může být pro jednu skupinu osobních údajů více. Po kliknutí na odkaz pro přidání záznamu se otevře následující editační okno, v kterém můžete zvolit důvod zpracování, doplnit dobu uložení a případnou poznámku.




Zákonné důvody zpracování se vybírají z katalogu, který si můžete sami upravit a naplnit. Najdete jej v nabídce „Katalogy a nastavení“.

Třetí oddíl – osoby s přístupem Dostáváme se k třetí části a tou je definice osob s přístupem. Aby byla analýza GDPR úplná, je potřeba u každé skupiny osobních údajů definovat kdo k údajům má přístup a jaké má kdo práva. K tomu slouží právě definice osob s přístupem.

V této části nenajdete žádné předvolené údaje, protože osoby, které mají přístup k vašim datům aplikace nezná. Musíte tedy nejprve naplnit „Katalog -> osoby s přístupem“.




Jakmile kliknete na „Osoby s přístupem“, otevře se následující stránka, kde můžete přidat nový záznam.

Po kliknutí na přidat nový záznam se může stát, že pole pro zápis jména, příjmení, emailu a telefonu jsou neaktivní. To je proto, že jste nemáte odemčeny osobní údaje pro zápis.

Odemknout je můžete kliknutím na položku „Osobní údaje“ v horním menu.




Otevře se okno pro zadání hesla k osobním údajům. To je to heslo, které jste nastavovali hned po registraci do aplikace.

Po zadání hesla budete moci upravovat i pole s osobními údaji. Doplňte tedy všechny zaměstnance vaší firmy, kteří mají přístup k osobním údajům. Nezapomeňte také na externisty a jiné spolupracovníky. Jakmile máte osoby definovány, můžete se vrátit zpět k třetímu oddílu GDPR analýzy a kliknutím na odkaz „Přidat záznam“ otevřít editační okno, kde přidáte potřebné pracovníky.




Čtvrtý oddíl – místo a způsob uložení

V tomto oddíle je třeba definovat kde jsou data aktuální skupiny osobních údajů uložena. Z pohledu zabezpečení osobních údajů, které je pro GDPR stěžejní, je nutné vědět kde a jak jsou data uložena / zabezpečena. Nejprve je opět potřeba v „Katalogy a nastavení“ kliknout na „Místa a způsoby uložení“.




Tímto otevřete evidenci míst a způsobů uložení kde můžete přidat nový záznam, nebo upravovat stávající záznamy. Karta „místa uložení“ pak vypadá takto.

Doplňte zde vaše místa, kde jsou vámi spravované osobní údaje uloženy. Může to být fyzický disk vašeho počítač, sdílený disk vašeho serveru, sdílený disk na google drive apod.. Všimněte si, že je zde rozbalovací seznam „Fyzický server“. To je seznam fyzických počítačů/serverů/diskových polí, na kterých mohou být data uložena. Tento seznam můžete naplnit v nabídce „Katalogy a nastavení -> Fyzické servery“. Nyní máte doplněny všechny místa, kde se vaše osobní údaje vyskytují. Můžete tedy přejít zpět ke čtvrtému oddílu a upravit nebo přidat místa a způsoby uložení.




Pátý oddíl – příjemci

Dostáváme se k poslednímu oddílu, a to jsou příjemci. Příjemcem osobních údajů může být kdokoliv komu vámi spravované údaje dále poskytujete k dalšímu zpracování. V případě zaměstnanců a zpracování mezd to je určitě OSSZ, zdravotní pojišťovna, případně vaše externí mzdová účetní. Jak je vidět na případu zdravotních pojišťoven, nemusí zde být jen konkrétní firma, ale může jít o celou skupinu/kategorii firem. Seznam příjemců, z kterého pro tento oddíl můžete vybírat je opět v „Katalogy a nastavení -> Příjemci a kategorie příjemců“.




Po kliknutí se otevře přehled již zapsaných příjemců.

Když kliknete na „nový záznam“, nebo na již zapsaný záznam pro jeho editaci, otevře se následující karta.

Zde je důležité zvolit v jakém vztahu je k vám příjemce. Jestli jde o správce, nebo zpracovatele. Po doplnění potřebných příjemců se můžete vrátit zpět k pátému oddílu GDPR analýzy a doplnit nově zapsané příjemce po kliknutí na odkaz „Přidat záznam“. Pak se otevře karta s výběrem příjemce.




Můžete zde kromě poznámky doplnit také případná bezpečnostní rizika, které předání osobních údajů představuje.

Rizika Nyní máte základní informace ke skupině osobních údajů zapsány. Dále můžete pokračovat popsáním případných rizik.

Po kliknutí na tlačítko pro editaci se otevře karta pro zápis analýzy rizik. Zde nejprve definujte klasifikaci rizika, pokud nějaké je. Dále můžete popsat riziko, a dále definovat případná doporučení.




Technická a organizační opatření A jsme u posledního oddílu v rámci celé skupiny osobních údajů. Jde o „Technická a organizační opatření“.

Zde doplňte popis přijatých technických a organizačních opatření, která jste přijali pro dosažení souladu s GDPR.




Vlastní skupina subjektů údajů Doposud jsme pracovali s předdefinovanou skupinou subjektů údajů „Zaměstnanci“. Do aplikace můžete vložit své vlastní skupiny subjektů údajů. Například máte webové stránky, takže další skupina subjektů údajů může být „návštěvníci webu“. Novou skupinu vložíte kliknutím na tlačítko „Nová skupina subjektů“.

Přehled opatření Abyste mohli prokázat případné kontrole ze strany dozorového úřadu jednotlivé kroky, které jste pro soulad s GDPR provedli, je zde „Přehled opatření“. Otevřete jej kliknutím na tlačítko „Přehled opatření“.

Otevře se následující stránka s přehledem již zapsaných opatření, kde kliknutím na tlačítko „Nový záznam“ vytvoříte nový zápis.




Karta nového zápisu a také editační karta pak vypadá takto.

Ke každému přijatému opatření můžete zapsat prioritu, datum požadovaného ukončení, datum skutečného ukončení. Celý přehled opatření se zobrazí na závěr finálního reportu analýzy GDPR.




Finální report Gratulujeme! Pokud jste poctivě doplnili údaje o všech vašich zpracováních osobních údajů, definovali jste případná rizika a doplnili přijatá opatření, máte analýzu GDPR hotovou. Nyní stačí přijatá opatření opravdu splnit, a i dále v budoucnu se řídit nařízením GDPR. Abyste měli podklad o provedené analýze a připravenosti na GDPR, je zde tisková sestava „Finální report“ a „Záznamy o zpracování“. Po kliknutí na tlačítko „Finální report“ aplikace vygeneruje PDF dokument, který obsahuje všechny informace z provedené analýzy a také přehled opatření.

PDF dokument pak slouží jako podklad pro případné kontroly plnění GDPR a vypadá například takto.




Pokud před vytvořením PDF neodemknete osobní údaje, budou všechny osobní údaje v PDF nahrazeny hvězdičkami. Odemknutí se provádí v horním menu aplikace po kliknutí na „Osobní údaje“.

Záznamy o činnostech zpracování Dle nařízení GDPR musí správce vést záznamy o zpracování. V nařízení je stanovena výjimka, že záznamy o činnostech zpracování nemusí vést podniky nebo organizace zaměstnávající méně než 250 zaměstnanců, ledaže zpracování, které provádí představují riziko pro práva a svobody subjektů údajů, zpracování není příležitostné. Z tohoto vyplývá, že tato výjimka ve většině případů nelze pro malé firmy a OSVČ uplatnit, neboť většina zpracování není příležitostná. GDPR aplikace umí vygenerovat ze zapsaných údajů požadovanou sestavu. Stačí kliknout na tlačítko „Záznamy o zpracování“.

Výsledná sestava pak vypadá takto. V uvedeném příkladu je jen jedna kategorie subjektů údajů. Ve vašem případě zde bude určitě více kategorií subjektů údajů.




Agenda GDPR Aplikace GDPR vám pomůže plnit i následné povinnosti, které pro vás z nařízení GDPR vyplývají. Zejména jde o:

- plnění práv subjektů údajů - evidenci bezpečnostních incidentů

Práva subjektů údajů

- přístup k osobním údajům - právo na opravu - právo na výmaz - právo na omezení zpracování - právo na přenositelnost údajů

Abyste mohli kontrolnímu úřadu doložit, že plníte práva subjektů údajů, musíte mít každý případ kdy subjekt údajů požádá o plnění svých práv, evidován. A právě k tomu slouží „Agenda GDPR“. Jakmile nějaký subjekt údajů požádá například o přístup ke svým osobním údajům, zapíšete tyto informace do „Agendy GDPR“. Nový záznam o subjektu údajů vložíte na kartě „Subjekty údajů a jejich události“ kliknutím na tlačítko „Nový záznam“.

Otevře se karta pro zápis nového subjektu údajů.




Jakmile je subjekt údajů zapsán, můžete vyplnit novou evidovanou událost. Klikněte na tlačítko „Přidat záznam“.

Otevře se následující karta události.




Dokud nemá událost zapsáno datum řešení a není zvoleno „vyřešeno“, bude se ukazovat na záložce „Události k řešení“.

Události, jejichž termín vyřešení se bude blížit zákonnému limitu 30 dní, budou zvýrazněny červeně. Kliknutím na událost se otevře její karta a můžete událost dále řešit. Přehled událostí je možné ze záložky „Subjekty údajů a jejich událostí“ ukládat do PDF souboru.

Typy událostí Abyste mohli upravit seznam typů událostí, z kterých se vybírá v kartě události, máte k dispozici v „Katalogy a nastavení“ definici „Typy událostí“.

Najdete zde předvolené hodnoty, které si aplikace nastaví sama při vaší registraci. Můžete je však upravit a doplnit podle vaší potřeby.




Bezpečnostní incidenty Pod záložkou „Bezpečnostní incidenty“ najdete evidenci všech bezpečnostních incidentů.

Kliknutím na tlačítko „Nový záznam“ vytvoříte nový incident a otevře se jeho karta.

Přehled incidentů je také možno tisknout do PDF souboru.




Dokumenty ke stažení V sekci „Dokumenty ke stažení“ v menu „Katalogy a nastavení“ najdete předlohy dokumentů důležitých pro GDPR. Seznam dostupných dokumentů není konečný. Postupně zde budou přibývat další. Jde o dokumenty, které mohou sloužit jako předloha pro vaše interní směrnice a pokyny.

Firmy a uživatelé V aplikaci GDPR můžete zpracovávat analýzu GDPR i agendu pro více firem. Záleží pouze na počtu firem zakoupených ve vaší licenci. Založení nové firmy a změnu firmy provedete v nabídce „Katalogy a nastavení“ po kliknutí na „Firmy“. Pokud potřebujete udělit přístup svým spolupracovníkům, jděte do nabídky „Katalogy a nastavení“ a zde klikněte na „Uživatelé“. Zde můžete přidávat další uživatele a přidělovat jim oprávnění k přístupu do více vašich firem. Osobní údaje uživatelů jsou chráněny heslem, takže před editací nebo přidáním nového uživatele je nezapomeňte odemknout kliknutím do nabídky „Odemknutí OÚ“.

Závěr Věřím, že vám tento návod pomohl k pochopení GDPR aplikace. Pokud budete mít jakékoliv dotazy, napište nám. Tomáš Halász – 2H C.S. s.r.o.


Date post:	17-Oct-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

GDPR aplikace - Krok za krokem€¦ · je potřeba u každé skupiny osobních údajů definovat...

Documents