Najskôr musíte zistiť, aké dáta v organizácii máte. Zaobstarať si zoznam osobných údajov je ideálne hneď v prvej fáze – spolu s ich stručným opisom. Potom treba vytvoriť plán riadenia dát. Taký plán vám uľahčí definovanie procesov, rolí a zodpovedností za prístup k osobným údajom, ale aj ich samotnú správu, používanie a v neposlednom rade aj súlad s nariadením GDPR. Plán riadenia dát dá navyše vašej organizácii zároveň istotu, že budete plniť požiadavky, ktoré sa týkajú výmazu, prístupu, prenosu či iných úkonov, ktoré by po vás mohli žiadať zákazníci, zamestnanci a ďalšie osoby podľa GDPR.
Môžeme dáta spracovávať?
V druhom kroku bude treba vyhodnotiť, či všetky osobné údaje naozaj môžete mať a či a ako s nimi môžete zaobchádzať, takže či je ich spracovanie oprávnené. Aby ste v rámci vašej organizácie boli schopní vyhodnotiť túto otázku, potrebujete si ujasniť právny základ (niekedy označovaný ako titul) k jednotlivým osobným údajom. Tým môže byť napríklad zmluva so zákazníkom, súhlas, oprávnený záujem alebo zákonné splnomocnenie. GDPR kladie určité požiadavky na každý právny titul. Súhlas musí byť napríklad jednoznačný, zmluvu musíte uzavrieť priamo s koncovým používateľom, zákon musí na spracovanie priamo zmocňovať.
Prečo vôbec osobné údaje spracovávame?
S identifikáciou právneho titulu úzko súvisí vyjasnenie toho, prečo vôbec osobné údaje spracovávate. Je nevyhnutné stanoviť si účel, aby sme vôbec mohli s osobnými údajmi zaobchádzať. Musíme teda vyhodnotiť, či právny základ spracovanie zodpovedá tomu, ako s dátami skutočne zaobchádzate. Ak napríklad spracovávate údaje zákazníka z dôvodu plnenia zmluvy, ťažko by ste odôvodňovali, že si všetky dáta ponechávate v systémoch ešte dlhé roky po ukončení zmluvného vzťahu.
Takzvaná minimalizácia údajov, čiže ich obmedzenie na nevyhnutný rozsah, je jednou zo základných zásad GDPR. Pri každej činnosti teda treba zvážiť, či skutočne potrebujete všetky uchovávané údaje. Skutočne potrebujete mať napríklad rodné číslo? Neposlúži rovnako dobre email či telefón? Ak tie údaje nie sú nevyhnutné, preč s nimi.
Čo pomôže s riadením dát?
Komplexný prehľad o zdroji, právnom titule, účele aj dobe, počas ktorej ste oprávnení údaje spracovávať, to všetko sú nevyhnutné náležitosti plánu riadenia dát, ktorý by ste si mali vytvoriť a zaviesť.
Na podporu riadenia dát existuje viacero riešení, ktoré vám pomôžu s plánovaním, triedením a štruktúrovaním dát.
Osobné údaje a ich správu možno zveriť cloudovým produktom ako Azure, Office 365 alebo Dynamics 365. V rámci Azure možno využiť Azure Active Directory, čiže adresár, ktorý zabezpečuje správu identít a riadi prístup k službe aj k ďalším zdrojom, dátam a aplikáciám. Nástroje Office 365 vám naopak pomôžu riadiť životný cyklus emailov a dokumentov vďaka efektívnemu triedeniu potrebného a nadbytočného obsahu.
Rozumne a bezpečne
V budúcej časti seriálu GDPR v cloude vám vysvetlíme, aká dôležitá je kategorizácia osobných údajov podľa ich rizikovosti.
Zameriame sa aj na zavedenie nástrojov pre riadenie prístupu k týmto údajom a predstavíme cloudové technológie, ktoré vám v tom môžu pomôcť.
Podrobný návod, ako využiť cloud na zabezpečenie súladu s GDPR, nájdete TU.
Autor článku: Jiří Černý, riaditeľ pre právne záležitosti, Microsoft Česko a Slovensko
Viac informácií nájdete TU.
V seriály ako prežiť GDPR zatiaľ vyšlo
