Skutečnost je však prozaičtější a jednodušší. Cílem GDPR (a navazujícího zákona č. 110/2019 Sb.), potažmo bezpečnosti při ukládání osobních dat, je zajistit ochranu údajů jednotlivců před zneužitím. Základní by mělo být heslo „co by bylo nepříjemné mě samotnému, neměl bych činit ostatním“. Při pohoršování se nad „nesplnitelnými“ požadavky zcela zaniklo, že ochrana osobních údajů by měla (i v souladu s GDPR) být zajištěna rozumně s přihlédnutím k tomu, co ochraňuji a jaké jsou možnosti.
Zásady bezpečnosti práce s daty, resp. řádné zpracování a ochranu osobních údajů, by tedy měly zajistit všechny subjekty, a to včetně těch nově vznikajících. Výhodou u nových organizací je, že zpracování a ochrana osobních údajů může být řešena současně se vznikem dalších procesů, může sloužit k jejich zlepšení a k rozumnému nastavení ochrany informací jako celku.
Co byste měli tedy řešit?
Je nutné si ujasnit, s jakými osobními údaji budete systematicky pracovat, proč je potřebujete, kdo s nimi bude zacházet a co byste měli udělat, aby byla ochrana a bezpečnost dat bezchybná. Nejvhodnější je připravit si evidenci (registr) zpracování osobních údajů, do kterého si zaznamenáte všechny potřebné náležitosti s důrazem na jasné stanovení účelu, proč údaje potřebuji. Následně byste měli svá zpracování osobních údajů posoudit z hlediska toho, zda jsou kritická pro osoby, které vám údaje svěřily. Současně je třeba si stanovit pravidla pro zacházení s daty i pro ochranu osobních údajů, a jednoduchým způsobem je zdokumentovat. Pro zpracovávané osobní údaje je pak třeba připravit informaci pro osoby, od kterých jste údaje přijali.
Další činnosti se odvíjí od toho, zda jsou zpracování kritická, zda je vyžadován souhlas, a zejména jaký určit právní titul pro jednotlivá zpracování. Vždy by mělo proběhnout posouzení rizik, které subjektům hrozí a následně by měla být přijata opatření k jejich ochraně. Posouzení rizik může být připraveno jednoduchou formou, vždy by však měla reagovat na zjištěná hrozící rizika. Následně je potřeba provést také analýzu rizik bezpečnosti informací jako celku. Pozornost věnujte i možnosti, že vůči vám budou osoby, které vám své údaje svěřily, uplatňovat svá práva na sdělení, co s jejich údaji děláte a komu je předáváte. Mohou vás požádat o pozastavení zpracování či přímo o výmaz svých údajů.
Společnost NGSS je schopna vám s těmito činnostmi pomoci, a to včetně proškolení pracovníků. Naše řešení přizpůsobíme potřebám jednotlivých společností. Snažíme se, aby ochrana osobních údajů byla rozumná a vyvážená. Toto je naše filozofie, kterou uplatňujeme ve spolupráci s klienty.