Tvorba a aktualizace interní GDPR dokumentace:

Mnoho firem se mylně domnívá, že GDPR bylo jednorázovým projektem, který skončil v roce 2018. Skutečnost je však taková, že správa osobních údajů je dynamický a nepřetržitý proces. V tomto článku vám poskytneme konkrétní a praktické odpovědi na to, jak vytvořit a udržovat interní směrnice GDPR a další dokumenty tak, aby sloužily jako funkční štít pro vaše podnikání, nikoli jako skrytá hrozba.

Autor článku: ARROWS advokátní kancelář (JUDr. Jakub Dohnal, Ph.D., LL.M., office@arws.cz, +420 245 007 740)

Proč je (stále) aktuální GDPR dokumentace klíčová pro váš byznys?

Zásadní změnou, kterou Obecné nařízení o ochraně osobních údajů (GDPR) přineslo, je zavedení principu odpovědnosti (tzv. accountability). Tento princip znamená, že vaše společnost musí nejen dodržovat pravidla pro zpracování osobních údajů, ale také musí být schopna toto dodržování kdykoliv a komukoliv prokázat. Nejde tedy o pouhou formalitu, ale o strategický prvek řízení rizik.

Požadavek na doložení souladu může přijít z mnoha nečekaných směrů. Není to jen Úřad pro ochranu osobních údajů (ÚOOÚ) během kontroly. Důkazy o řádném nastavení GDPR procesů po vás může chtít mateřská společnost, investor zvažující vstup do vaší firmy, auditor při certifikaci podle normy ISO 27701, kupující vaší společnosti v rámci due diligence, ale i soud v případě žaloby ze strany klienta nebo Státní úřad inspekce práce při kontrole zpracování dat zaměstnanců.

Je třeba si uvědomit, že GDPR je nařízení, nikoli směrnice. To znamená, že platí přímo v každém členském státě EU a má přednost před národními zákony. Čekat nebo spoléhat na neznalost tedy není strategií. Naopak, robustní a aktuální GDPR dokumentace se stává vaší konkurenční výhodou. Je signálem pro obchodní partnery, investory i zákazníky, že vaše firma je spolehlivá, transparentní a řídí svá rizika profesionálně. Nedostatečná dokumentace může naopak vést k vážným komplikacím. 

Právníci z ARROWS vám pomohou nastavit systém GDPR dokumentace, který nejenže splňuje literu zákona, ale funguje i jako důkaz vaší zodpovědnosti a zvyšuje důvěryhodnost vaší firmy v očích partnerů, investorů i zákazníků.

Základní stavební kameny vaší interní GDPR dokumentace: Máte je všechny?

Správně nastavená dokumentace je základem prokazatelného souladu s GDPR. Nejde o jeden univerzální dokument, ale o soubor vzájemně provázaných pravidel a záznamů, které mapují, jak vaše firma nakládá s osobními údaji. Podívejme se na ty nejdůležitější.

Záznamy o činnostech zpracování (RoPA): Váš deník o datech

Záznamy o činnostech zpracování (v angličtině Records of Processing Activities, zkráceně RoPA) jsou naprostým základem a prvním dokumentem, který bude jakýkoliv kontrolní orgán požadovat. Jedná se o detailní mapu veškerého zpracování osobních údajů ve vaší společnosti.

Povinnost vést RoPA je stanovena v článku 30 GDPR a zdaleka se netýká jen velkých korporací. Výjimka pro podniky s méně než 250 zaměstnanci je velmi úzká a často mylně interpretovaná. Nevztahuje se na vás, pokud zpracování údajů není jen příležitostné (což zpracování údajů o zaměstnancích nikdy není), pokud může představovat riziko pro práva a svobody osob, nebo pokud zpracováváte zvláštní kategorie údajů (tzv. citlivé údaje). V praxi se tak tato povinnost týká téměř každé firmy.

Co musí Záznamy o činnostech obsahovat?

• Jako správce (controller) musíte uvést: jméno a kontaktní údaje správce a případného pověřence pro ochranu osobních údajů (DPO), účely zpracování, popis kategorií subjektů údajů (např. zaměstnanci, klienti) a kategorií osobních údajů (např. jméno, adresa, e-mail), kategorie příjemců údajů, informace o předávání údajů do třetích zemí a zárukách, plánované lhůty pro výmaz a obecný popis technických a organizačních bezpečnostních opatření.
• Jako zpracovatel (processor) vedete záznamy o: jménu a kontaktních údajích zpracovatele, správců, pro které pracujete, a případných DPO, kategoriích zpracování prováděných pro každého správce, předávání do třetích zemí a bezpečnostních opatřeních.

Spoléhání se na obecné vzory stažené z internetu je zde obzvláště nebezpečné. Takový dokument nikdy nemůže postihnout specifika vašich firemních procesů a datových toků. Naši právníci v ARROWS vám pomohou vytvořit Záznamy o činnostech zpracování, které nejen splní formální požadavky ÚOOÚ, ale budou sloužit jako praktický a srozumitelný nástroj pro vaše interní řízení dat.

Interní směrnice a procesy: Pravidla hry pro vaše zaměstnance

I ta nejlepší dokumentace je k ničemu, pokud zůstane v šuplíku a vaši zaměstnanci se jí neřídí. Interní směrnice a vnitřní předpisy jsou klíčové pro převedení právních požadavků do každodenní praxe a pro řízení největšího rizika – lidského faktoru.

Tyto dokumenty by měly jasně a srozumitelně definovat pravidla pro konkrétní situace. Mezi nezbytné interní předpisy patří například:

• Směrnice pro nakládání s osobními údaji.
• Provozní řád pro práci s výpočetní technikou (IT policy).
• Pravidla pro řízení přístupů, správu hesel a politiku "čistého stolu" (clean desk policy).
• Spisový a skartační řád definující, jak dlouho se které dokumenty uchovávají.
• Proces pro řešení žádostí subjektů údajů (např. žádosti o výmaz).
• Proces pro hlášení a řešení bezpečnostních incidentů.
• Dohody o mlčenlivosti s externími spolupracovníky (účetní, IT správci).

Aby byly tyto směrnice účinné, musí být snadno dostupné všem relevantním zaměstnancům a musí být podpořeny pravidelným a prokazatelným školením.

Advokátní kancelář ARROWS pro vás nejen vyhotoví srozumitelné interní směrnice na míru, ale také zajistí odborná školení pro vaše zaměstnance i vedení, včetně vydání certifikátu, čímž prokazatelně posílíte vaši obranu proti rizikům plynoucím z lidských chyb.

Posouzení vlivu na ochranu osobních údajů (DPIA): Kdy je nutné jít do hloubky?

Posouzení vlivu na ochranu osobních údajů (v angličtině Data Protection Impact Assessment, zkráceně DPIA) je proces, jehož cílem je identifikovat a minimalizovat rizika spojená s určitým typem zpracování dat. Nemusíte ho provádět pro každou činnost, ale je striktně vyžadováno v případech, kdy je pravděpodobné, že dané zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

Povinnost provést DPIA nastává přinejmenším v těchto situacích:

• Systematické a rozsáhlé vyhodnocování osobních aspektů, včetně profilování (např. banka prověřující klienty v úvěrových registrech).
• Rozsáhlé zpracování zvláštních (citlivých) kategorií údajů (např. nemocnice zavádějící nový informační systém se zdravotními daty pacientů).
• Rozsáhlé systematické monitorování veřejně přístupných prostorů (např. dopravní podnik instalující kamery pro sledování cestujících a řidičů).

Naopak, například praktický lékař, který zpracovává údaje svých pacientů v omezeném rozsahu, DPIA provádět nemusí. Samotné posouzení musí obsahovat popis plánovaných operací a jejich účelů, posouzení nezbytnosti a přiměřenosti, posouzení rizik pro subjekty údajů a plánovaná opatření k jejich řešení.

Nevíte si s daným tématem rady?

Základní dokumentace a její úskalí

Následující tabulka shrnuje nejčastější rizika spojená se základní GDPR dokumentací, jejich potenciální dopady a konkrétní způsoby, jak vám může advokátní kancelář ARROWS pomoci se jim vyhnout.

Riziko k řešení	Potenciální problémy a sankce	Jak pomáhá ARROWS
Chybějící nebo neúplné Záznamy o činnostech (RoPA)	Pokuta až 10 mil. EUR nebo 2 % z celosvětového ročního obratu. Neschopnost prokázat soulad při kontrole ÚOOÚ. Zmatek v interních datech.	Příprava kompletní a přehledné dokumentace (RoPA), která obstojí při kontrole a slouží jako funkční mapa vašich dat.
Obecné a nepraktické interní směrnice	Lidské chyby zaměstnanců vedoucí k úniku dat. Bezpečnostní incidenty. Pokuty (např. za nedostatečné zabezpečení, které vedlo k incidentu).	Vyhotovení interních směrnic na míru a odborná školení pro zaměstnance včetně certifikátu, která reálně sníží riziko selhání.
Zpracování údajů bez jasného právního základu	Zpracování údajů je nezákonné. Pokuty až 20 mil. EUR nebo 4 % z obratu. Žaloby od subjektů údajů. Nucené smazání cenných databází.	Právní stanoviska a analýzy pro určení správného a obhajitelného právního titulu pro každou vaši činnost (smlouva, oprávněný zájem atd.).
Neprovedení povinného posouzení vlivu (DPIA)	Zavedení rizikového procesu bez zhodnocení dopadů. Vysoké pokuty za porušení čl. 35 GDPR (až 10 mil. EUR). Zastavení projektu.	Právní konzultace a asistence při provedení a dokumentaci DPIA, abyste měli jistotu, že vaše inovace jsou v souladu se zákonem.
Neformální nebo chybějící smlouvy se zpracovateli	Zpracovatel (IT firma, účetní) způsobí únik dat, odpovědnost padá na vaši firmu. Pokuta za neuzavření smlouvy.	Příprava nebo revize smluv se zpracovateli (čl. 28 GDPR), které vás skutečně ochrání a jasně definují odpovědnost a povinnosti.
Zastaralé nebo neplatné souhlasy se zpracováním údajů	Neplatný právní titul pro zpracování. Nutnost smazat marketingové databáze. Pokuty.	Revize a příprava textací souhlasů, které jsou svobodné, informované, jednoznačné a kdykoliv doložitelné.
Kopírování a uchovávání dokladů totožnosti bezdůvodně	Zpracování nadbytečných údajů v rozporu se zásadou minimalizace. Vysoké riziko zneužití. Častá chyba v HR praxi.	Právní konzultace a revize HR procesů pro zajištění souladu se zákoníkem práce i GDPR a minimalizaci shromažďovaných dat.

 

Správa dat v mezinárodním prostředí: Řešíte byznys za hranicemi?

Pokud vaše firma působí na mezinárodním trhu, spolupracuje se zahraničními dodavateli nebo využívá globální cloudové služby, vstupujete do jedné z nejkomplexnějších a nejrizikovějších oblastí GDPR. Předávání osobních údajů mimo Evropský hospodářský prostor (EHP) podléhá přísným pravidlům.

Obraťte se na naše odborníky:

Předávání dat mimo EU: Kdy a jak je to možné?

Základní pravidlo je jednoduché: ochrana zaručená nařízením GDPR musí s daty "cestovat" i za hranice EU. Toho lze dosáhnout několika způsoby:

1. Rozhodnutí o odpovídající ochraně: Evropská komise může rozhodnout, že určitá třetí země zajišťuje adekvátní úroveň ochrany. Do takových zemí (např. Velká Británie, Švýcarsko, Japonsko, Jižní Korea, Kanada pro komerční sektor) lze data předávat bez dalších omezení.
2. Vhodné záruky: Pokud pro cílovou zemi neexistuje rozhodnutí o odpovídající ochraně (což platí pro většinu světa, včetně USA, Číny nebo Indie), musíte přijmout tzv. vhodné záruky. Nejčastějším nástrojem jsou Standardní smluvní doložky (SCCs), což je vzorová smlouva vydaná Evropskou komisí.
3. Závazná podniková pravidla (BCRs): Velké nadnárodní skupiny mohou přijmout interní pravidla pro předávání dat v rámci skupiny, která si nechají schválit dozorovým úřadem.
4. Výjimky: Pro ojedinělé a nesystematické předávání lze využít výjimek, například výslovný souhlas subjektu údajů pro konkrétní předání. Nelze je však používat pro běžné obchodní operace.

Realita po kauze Schrems II: Standardní smluvní doložky (SCCs) a Transfer Impact Assessment (TIA)

Mnoho firem se domnívá, že pouhým podpisem Standardních smluvních doložek je vše vyřešeno. To je však nebezpečný omyl. Rozhodnutí Soudního dvora EU ve věci Schrems II zásadně změnilo pravidla hry. Nejenže zneplatnilo předchozí rámec pro předávání dat do USA (tzv. Privacy Shield), ale především uložilo vývozcům dat novou povinnost.

Pokud používáte SCCs, máte právní povinnost aktivně ověřit, zda právní řád cílové země umožňuje příjemci dat (vašemu dodavateli) reálně dodržet závazky z těchto doložek. Toto ověření, které musíte zdokumentovat, se nazývá Transfer Impact Assessment (TIA). 

V rámci TIA musíte posoudit legislativu třetí země (zejména pravomoci státních orgánů a tajných služeb přistupovat k datům), identifikovat rizika a v případě potřeby přijmout doplňková opatření (např. silné šifrování, další smluvní záruky).

Tato povinnost se navíc netýká jen exotických destinací. Většina firem dnes využívá globální cloudové služby jako Microsoft 365, Google Workspace, Salesforce nebo marketingové nástroje typu Mailchimp. I když data mohou být uložena na serverech v EU, už jen samotný fakt, že k nim může mít přístup personál z USA (např. technická podpora), může být považován za předání dat. 

To znamená, že drtivá většina českých firem denně předává data do USA, aniž by si to uvědomovala, a měla by mít pro tyto operace zpracované a zdokumentované TIA.

Předávání osobních údajů do zahraničí je jednou z nejrizikovějších a nejsložitějších oblastí GDPR. Díky naší mezinárodní síti ARROWS International řešíme tuto problematiku velmi často. Pomůžeme vám nejen s přípravou nových Standardních smluvních doložek (SCCs), které Evropská komise vydala v roce 2021, ale především s provedením a dokumentací nezbytné analýzy dopadů (TIA), abyste mohli bezpečně spolupracovat s partnery po celém světě.

Dokumentace jako živý proces: Jak zajistit, aby vaše GDPR nezastaralo?

Jak jsme zmínili na začátku, zavedení GDPR dokumentace není konec, ale začátek. Aby systém plnil svou ochrannou funkci, musí být neustále udržován v kondici. To vyžaduje zavedení dvou klíčových procesů: pravidelné revize a efektivní řízení incidentů.

Pravidelné revize a aktualizace: Reakce na změny v legislativě i ve vaší firmě

Vaše dokumentace musí být zrcadlem reality. Pokud se změní realita, musí se změnit i dokumentace. Je nutné nastavit proces pravidelných revizí, které reagují na interní i externí podněty.

• Externí spouštěče: Sledujte změny v legislativě (např. nová pravidla pro cookies a telemarketing), nová rozhodnutí soudů (jako zmíněný Schrems II) a nové metodiky dozorových úřadů (např. zpřísněný pohled ÚOOÚ na online kamery).
• Interní spouštěče: Aktualizujte dokumentaci vždy, když zavádíte nový produkt, implementujete nový IT systém (např. CRM), měníte klíčový obchodní proces, najímáte nového významného dodavatele nebo vstupujete na trh v nové zemi.

Ideální je zavést cyklický přístup (Plánuj-Dělej-Kontroluj-Jednej) a vést si historii změn (verzování), abyste byli schopni doložit vývoj vašich opatření v čase.

V ARROWS chápeme, že nemáte čas sledovat každé nové rozhodnutí Soudního dvora EU. V rámci našich služeb nabízíme pravidelný právní audit a revizi vaší GDPR dokumentace, abyste měli jistotu, že vaše procesy jsou vždy v souladu s aktuálními pravidly a praxí.

Řízení bezpečnostních incidentů: Jste připraveni na krizi?

Otázka není, zda k bezpečnostnímu incidentu dojde, ale kdy k němu dojde. Může jít o hackerský útok, ztrátu notebooku, odeslání e-mailu s citlivými daty nesprávnému adresátovi nebo jen dočasnou nedostupnost klíčových dat. GDPR vyžaduje, abyste na takové situace byli připraveni a měli zdokumentovaný proces, jak na ně reagovat.

Tento proces musí zajistit, že každý incident je identifikován, vyhodnocen a řádně zdokumentován. V případě, že incident pravděpodobně představuje riziko pro práva a svobody fyzických osob, máte povinnost ho ohlásit ÚOOÚ bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy jste se o něm dozvěděli. 

Pokud je riziko dokonce vysoké, musíte bez zbytečného odkladu informovat i dotčené osoby. I incidenty, které nehlásíte, musíte evidovat interně pro případnou kontrolu.

Nevíte si s daným tématem rady?

Provozní a pokročilá rizika GDPR

Kromě základních rizik spojených s tvorbou dokumentace existuje řada pokročilých a provozních rizik, která se objevují v průběhu času. Následující tabulka ukazuje, jak hluboko mohou problémy s GDPR sahat a jak vám ARROWS může pomoci i s těmito komplexními výzvami.

Riziko k řešení	Potenciální problémy a sankce	Jak pomáhá ARROWS
Zastaralá dokumentace neodpovídající realitě	Pokuty při kontrole (i za formální nedostatky). Právní nejistota. Neefektivní ochrana dat, která vede k incidentům a dalším sankcím.	Pravidelný právní audit a revize GDPR dokumentace, aby vaše interní pravidla vždy odpovídala vaší obchodní praxi a aktuální legislativě.
Nezákonné předávání dat do třetích zemí (např. přes cloudové služby)	Zastavení klíčových datových toků, vysoké pokuty, poškození reputace, ztráta důvěry klientů.	Příprava smluvní dokumentace (SCCs), provedení a dokumentace Transfer Impact Assessment (TIA) a zajištění vhodných doplňkových záruk.
Nesprávně řízený bezpečnostní incident	Prošvihnutí 72h lhůty pro ohlášení, vyšší pokuty za nespolupráci s úřadem, ztráta důvěry klientů a obchodních partnerů.	Zastupování u správních orgánů (ÚOOÚ), příprava podkladů pro krizovou komunikaci a minimalizace dopadů.
Nezvládnuté žádosti subjektů údajů (výmaz, přístup)	Stížnosti a následné kontroly z ÚOOÚ, pokuty, poškození vztahů se zákazníky. Špatné procesy vedly např. k pokutě 9.5 mil. EUR v Německu.	Nastavení efektivních interních procesů a příprava vzorových odpovědí pro rychlé a správné vyřizování žádostí.
Provozování kamerových systémů v rozporu s pravidly	Pokuty, narušení soukromí zaměstnanců a zákazníků, soudní spory. ÚOOÚ se na kamery aktivně zaměřuje.	Právní stanoviska a příprava kompletní dokumentace (vč. balančního testu oprávněného zájmu) pro legální a obhajitelný provoz kamerových systémů.
Jmenování DPO (pověřence) ve střetu zájmů	Neefektivní výkon funkce, formální pochybení při kontrole.	Právní konzultace k posouzení povinnosti jmenovat DPO a k jeho správnému postavení v organizační struktuře, aby se předešlo střetu zájmů.
Nedostatečné plnění informační povinnosti	Pokuty za netransparentnost. Zmatek u zákazníků. Nedůvěra a poškození značky.	Příprava nebo revize Zásad zpracování osobních údajů a dalších informačních textů, aby byly srozumitelné, úplné a v souladu s čl. 13 a 14 GDPR.

ARROWS: Váš partner pro komplexní řízení dat

Jak ukazuje tento článek, efektivní správa GDPR dokumentace je komplexní a vysoce odborná disciplína. Vyžaduje neustálé sledování měnící se legislativy, soudních rozhodnutí a technologických trendů. Není to úkol, který lze vyřešit jednorázově nebo pomocí obecných šablon. Je to strategická investice do bezpečnosti a odolnosti vašeho podnikání.

V advokátní kanceláři ARROWS přistupujeme k GDPR jako k nedílné součásti firemního řízení. Naším cílem není vás zahltit právním žargonem, ale poskytnout vám funkční, srozumitelná a udržitelná řešení. Naše zkušenosti z dlouhodobé péče o portfolio více než 150 akciových společností a 250 s.r.o. nám umožňují dodávat služby rychle a v nejvyšší kvalitě, na kterou se naši klienti spoléhají.

Naše právní služby v oblasti GDPR zahrnují zejména:

• Vyhotovení a revizi interních směrnic a kompletní GDPR dokumentace.
• Přípravu a revizi smluv, včetně smluv se zpracovateli a Standardních smluvních doložek (SCCs) pro mezinárodní transfery.
• Zastupování u soudů a správních orgánů, zejména při kontrolách z ÚOOÚ nebo řešení bezpečnostních incidentů.
• Právní stanoviska a konzultace, které chrání před pokutami a poskytují právní jistotu.
• Odborná školení pro zaměstnance či vedení včetně certifikátu, která prokazatelně zvyšují odolnost firmy.

V ARROWS jsme více než jen právníci. Jsme partneři vašeho byznysu. Rádi propojujeme naše klienty se zajímavými obchodními či investičními příležitostmi a jsme vždy otevřeni diskuzi o vašich podnikatelských nápadech.

Správa GDPR dokumentace nemusí být časovanou bombou. Může to být pevný základ vaší firemní odolnosti. Obraťte se na nás a domluvte si nezávaznou konzultaci. Společně posoudíme stav vaší dokumentace a navrhneme kroky, které ochrání váš byznys.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.