Co je „GDPR ready“ software

U našich klientů jsme se setkali s mnohými dotazy na dostatečné zabezpečení dle GDPR, na správné způsoby uchovávání osobních údajů a podobně. Většinou se otázky týkaly toho, zda musí být zámek nejen na dveřích od místnosti, nebo i na skříních (je pravda, že uzamykatelné skříně se staly s účinností GDPR nařízení hitem tak trochu jako vedlejší produkt) nebo zda musí mít hesla na počítačích.

Málokdo se ale zabýval tím, zda jím používaný program nebo jiný software splňuje podmínky dostatečné ochrany osobních údajů. Většinou se uživatelé spoléhají na prohlášení poskytovatele programu, že je program „v souladu s GDPR“. V tomto textu se zaměřím na to, co to konkrétně znamená a jaké obecné standardy by měl splňovat „GDPR ready software“, například CRM systém.

Bezpečné úložiště

Tak jako je třeba uchovávat osobní údaje v písemné podobě na bezpečném místě, také elektronická úložiště musí být dostatečně chráněna. Pokud využíváte počítačový program, jehož prostřednictvím jsou ukládána data na jiný server, pak byste se měli zajímat, jak je tento server zabezpečen.

Když je server umístěn mimo Evropskou unii, dochází také k tzv. předávání do třetího státu. V tom případě je třeba ověřit, zda se jedná o zemi, jejíž úroveň ochrany osobních údajů posoudila Evropská komise a označila je jako tzv. „safe harbor“, nebo jsou zaručeny dostatečné záruky zpracování osobních údajů v souladu s GDPR. Tuto informaci si můžete vyžádat od poskytovatele programu.

Obecně i pro servery uvnitř Evropské unie platí, že by měly být dostatečně zabezpečeny. Jiné zabezpečení bude vyžadovat server s desítkami tisíc kompletních identifikačních údajů osob a naopak úložiště stovek nebo tisíců e-mailových adres. Přesto je třeba myslet na základní ochranu úložišť, jako je například zálohování dat, firewall, používání bezpečných protokolů apod. Zjistěte si, jakou ochranu zajišťuje poskytovatel programu.

Nezbytné funkcionality ve vztahu k osobním údajům

Program by měl umožnit, aby každá osoba s přístupem měla vlastní přístupové údaje nebo ještě lépe diferenciaci přístupů pro administrátory a pro ty, kteří jen nahlíží apod. (aneb princip minimalizace zpracování).

S výše uvedeným souvisí tak možnost logovat přístupy, tedy zpětně určit, kdo s programem v dané chvíli pracoval. Protože porušení zabezpečení často spočívá v selhání lidského faktoru, je vhodné mít možnost zpětně dohledat, kdo k uniklým datům v poslední době přistupoval.

Osoby, jejichž údaje zpracováváte, mají právo na nahlížení, omezení zpracování, jejich výmaz atd. V praxi je nezbytné, aby si vámi využívaný software uměl poradit s tím, pokud tyto osoby svých práv využijí.

  • Prakticky se může jednat o možnost vygenerování osobních údajů a jejich export, využije-li subjekt své právo na přístup k osobním údajům nebo v odůvodněných případech právo na přenos osobních údajů. V případě velkého počtu subjektů, jejichž osobní údaje jsou zpracovávány, je nereálné (nebo minimálně časově velmi náročné), abyste vyhledávali jednotlivé údaje a postupně je ukládali na jedno místo za účelem například jejich vymazání.
  • Je-li třeba omezit zpracování na žádost subjektu (tedy nezpracovávat ani nemazat), je vhodné, abyste v programu mohli připojit například příznak „zpracování OÚ omezeno“.
  • Program by měl být schopen vymazat veškeré údaje o subjektu, ale zároveň také předem nadefinovat, které konkrétní kategorie údajů mají zůstat zachovány (podle článku 17 odst. 3 GDPR) k plnění právních povinností správce, k obhajobě právních nároků, respektive z důvodu archivace ve veřejném zájmu apod.
  • Samozřejmostí obvykle bývá možnost opravit chybně zadané osobní údaje.

Pro úplnost dodáváme, že ne všechna práva mohou být uplatněna vždy. Proto při výběru programu musíte vědět, proč a na základě jakých právních titulů osobní údaje zpracováváte, abyste věděli, jaká práva subjekty mají, a podle toho vybrat daný program.

Likvidace nebo archivace dat poté, co je již není potřeba zpracovávat

Jakmile odpadnou veškeré účely, k nimž byly údaje zpracovávány, měl by správce údaje o dané osobě bezodkladně vymazat nebo alespoň anonymizovat. Prakticky to software může zabezpečit tak, že umožní vložit k souboru osobních údajů datum, ke kterému byla například ukončena spolupráce, nebo označit soubor za ukončený. V takovém případě je možné poté nastavit standardizovanou dobu (základní doporučení 3,5 roku vyplývající ze základní tříleté promlčecí doby a rezervy). Po tuto dobu budou údaje v programu nadále uchovávány, ale dostupné budou již pouze osobě se úzce vymezenými oprávněním (např. administrátor) a běžní uživatelé by je již neviděli.

Není cílem tohoto textu popisovat obecné možnosti zabezpečení software, proto vynecháme detailnější popis dvojího ověření, silnějších hesel apod.

Smluvní vztah s poskytovatelem software

Předmětem diskuzí je, zda poskytovatel software, který má teoretický přístup k osobním údajům za účelem správy daného programu, je zpracovatelem ve smyslu GDPR, a zda má povinnost s vámi jako správcem uzavřít tzv. zpracovatelskou doložku.

I když se takový poskytovatele za zpracovatele neprohlašuje, ale má přístup k těmto osobním údajům, doporučujeme s ním uzavřít takovou dohodu (smlouva nebo součást obchodních podmínek poskytovatele), která z jeho strany zajistí dostatečnou ochranu těchto údajů. Obecně by v takové dohodě (stejně jako ve zpracovatelské smlouvě) mělo být obsaženo následující:

  • Nezapojení dalšího zpracovatele – poskytovatel software by neměl bez vašeho souhlasu zapojit další externí subjekty do práce, při které pracovníci mají přístup k vámi zpracovávaným osobním údajům.
  • Poskytovatel software zajistí mlčenlivost zaměstnanců nebo jiných spolupracovníků.
  • Poskytovatel software bude součinný při výkonu práv osob či obecně při zajišťování souladu zpracování s GDPR a to i při kontrole ze strany státních orgánů.
  • Dohoda, co se má stát s osobními údaji po ukončení užívání dodaného software.

Jak vyplývá z článku, pokud chcete využívat software, který vám „pomůže“ naplňovat požadavky GDPR, pak je důležité zaměřit se na 1. bezpečnost a 2. funkcionality, které vám usnadní práci s osobními údaji při výkonu jednotlivých práv osob. V druhém případě nejde ani tak o „splnění povinností dle GDPR“ ale spíše o to, jak vám program může práci usnadnit.

Článek jsme publikovali na serveru Podnikatel.cz.

 

Ozvěte se nám. Jsme Váš partner pro správná rozhodnutí

Poskytnete nám základní informace

Stačí stručně popsat situaci, kterou právě řešíte, vyplnit kontaktní údaje a odeslat formulář níže.

Dohodneme si podmínky spolupráce

Zavoláme Vám, nebo se ozveme e-mailem, probereme detaily možné spolupráce a připravíme nabídku.

Pustíme se do práce

Pokud se rozhodnete využít našich služeb, uděláme vše pro úspěšné vyřešení vašeho případu.

S čím potřebujete pomoci*

Vaše jméno a příjmení*

Váš telefon*

Ulice a č.p., město*

Váš e-mail*

Poptávám placenou právní službu a potvrzuji, že souhlasím s podmínkami poskytování právních služeb

Přečtěte si, jak nakládáme s osobními údaji zde.