Co je potřeba?

Příprava na GDPR je soubor kroků, které musíte učinit, abyste byli s Nařízením v souladu. V této kapitole naleznete seznam nejdůležitějších povinností.

Detailní přehled činností je uveden v harmonogramu a jednoduché vysvětlení každého bodu naleznete v následujících kapitolách.

Níže vidíte seznam povinností, s kterými Vám pomůže náš nástroj se vypořádat. Některá opatření nejsou dle Nařízení přímo povinná, ale považujeme je za tak zásadní, že je uvádíme v seznamu níže. Po vypsání všech povinností, se může zdát, že připravit se na Nařízení, je nemožné. S naším průvodcem se nemusíte bát, vše v postupných krocích snadno zvládneme.

1) Určení realizačního týmu - Abyste dosáhli souladu s GDPR včas, je dobré si určit odpovědnou osobu nebo tým lidí, kteří budou mít GDPR ve Vašem hotelu na starost. Viz kapitola 3.4.

2) Nastudování obecných informací v GDPR online kurzu - Všichni členové výše zmíněného týmu by si měli nastudovat kurz, který je součástí tohoto průvodce. Viz kapitola 1.1.

3) Analýza osobních údajů - Na začátek je potřeba zmapovat, jaké osobní údaje  v hotelu či penzionu zpracováváte a proč je potřebujete. Viz kapitola 4.

4) Aktualizace souhlasů - Na základě analýzy osobních údajů zjistíte, že pro zpracování některých osobních údajů potřebujete souhlasy se zpracováním. Nařízení stanovuje správnou podobu takového souhlasu. Připravili jsme pro Vás vzorové souhlasy, které je zapotřebí upravit a začít používat. Viz kapitola 5.

5) Vytvoření seznamu účelů zpracování osobních údajů - Zde použijeme již vytvořenou vzorovou analýzu osobních údajů a obsáhlý vzorový seznam účelů. Určíme si a doplníme všechny účely, pro které ve Vašem hotelu či penzionu zpracováváte osobní údaje. Viz kapitola 6.

6) Vytvoření záznamů o činnostech - Pro každou činnost, při které pracujete s osobními údaji, doporučujeme vytvořit záznamy o činnostech zpracování. V těchto záznamech si určíme, o jaké údaje jde, komu tyto údaje předáváte, jak jsou uloženy a zabezpečeny. Může se to zdát složité, ale nebojte se, půjdeme na to postupně a vše jednoduchým způsobem vysvětlíme. Viz kapitola 7.

7) Úprava IT systémů - GDPR zvyšuje požadavky na zabezpečení osobních údajů v listinné i v elektronické podobě. Poradíme Vám, jak jednoduše zabezpečit Vaše data. A pro ty méně zkušené v oblasti IT máme seznam nejčastějších procesů, které se musí změnit. Tento seznam postačí předat Vašim IT specialistům a oni si s ním již poradí. Viz kapitola 11.

8) Úprava zpracovatelských smluv - Ujistěte se, že s každou organizací či jiným hotelem nebo penzionem, kterým předáváte osobní údaje pro další zpracování, máte podepsanou písemnou smlouvu, která obsahuje povinné náležitosti o zpracování osobních údajů dle GDPR. Pokud zjistíte, že smlouva náležitosti nesplňuje, poradíme Vám s přípravou jejího dodatku. Viz kapitola 14.

9) Pověřenec pro ochranu osobních údajů (DPO - Data Protection Officer) - Většina hotelů bude muset jmenovat svého Pověřence pro ochranu osobních údajů, tzv. DPO. Menší penziony si musí tuto povinnost zhodnotit dle rozsahu svých činností. Více se dozvíte v kapitole 15. Tuto službu zajišťuje Goodking Advisory s.r.o. již od 1000 Kč za měsíc bez DPH.

10) Posouzení vlivu na ochranu osobních údajů (DPIA - Data Protection Impact Assessment) - Některé hotely a penziony  budou muset vypracovat také posouzení DPIA a to zejména ty, které zpracovávají citlivé osobní údaje nebo využívají inovativních technologií pro zpracování - (např. systémů pro rozpoznávání obličejů, otisků prstů či RZ). Viz kapitola 16.

11) Vnitřní směrnice organizace a kodexy chování zaměstnanců - Pro omezení odpovědnosti za pochybení při zpracování osobních údajů ve Vašem hotelu je třeba zavést vnitřní směrnice. Máme pro Vás připraveny tyto vzory, které jednoduše aplikujete. Viz kapitola 18.

12) Školení zaměstnanců - Aby se Vaši zaměstnanci seznámili s tím, jak mají zacházet s osobními údaji, je potřeba jim to srozumitelně a jednoduše vysvětlit. Toto školení Vám bude k dispozici i pro nově příchozí zaměstnance. Viz kapitola číslo 21.

Je toho hodně, co je potřeba stihnout. Pojďme na to.