Kdo se loni k GDPR postavil zodpovědně se vším všudy a nechal mimo jiné proškolit všechny lidi ve firmě, kteří přicházejí do styku s osobními údaji, má často pocit, že má vystaráno. Ale školíte pečlivě i všechny nově příchozí kolegy? Nebo jim jen dáte podepsat “papír”, který vám má krýt záda, “kdyby něco”?
Buďme realisté - kdybyste měli nechat profesionálně proškolit opravdu každého, kdo do firmy nastoupí, asi byste se z toho nikdy nevymotali. Jako dobrý kompromis mezi konstantním školením nových lidí a formálním podpisem jakéhosi dokumentu se u mnoha našich klientů osvědčil srozumitelný GDPR manuál na míru.
Co by měli vaši zaměstnanci vědět?
1. Co myslíte jednotlivými pojmy
Jaké osobní údaje se ve vaší firmě zpracovávají, kdo je jejich správce a kdo zpracovatel?
2. Kdo je za co odpovědný
Mají všichni ve firmě jasno, na koho se v jaké situaci obrátit, kdo je pověřenec pro ochranu osobních údajů, pokud ho máte, nebo jakou mají sami odpovědnost a za co, a co se stane, když poruší pravidla?
3. Jaká pravidla dodržovat
Rozumí všichni, co v souvislosti s osobními údaji znamenají pojmy jako zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost? A jak tyto principy aplikovat při své práci?
4. Kde co evidovat
Především zpracovatelé mají povinnost vést aktuální přehled o činnostech pro správce, a každý zaměstnanec by měl vědět, že například po uzavření nové smlouvy se zákazníkem musí tuto informaci někam zanést nebo někomu předat.
5. Co si pohlídat u smluv
Některé smluvní vztahy můžou vyžadovat zvláštní ujednání týkající se osobních údajů. Zaměstanci musí mít jasno, jak to poznat a na koho se mohou v takovém případě obrátit.
6. Jak zajistit bezpečnost dat
Máte jasně nastavená pravidla týkající se práce s tištěnými dokumenty, zamykání kanceláří a kartoték nebo používání informačních a komunikačních technologií?
7. Co je u vás ve firmě specifické
Některé firmy nebo oddělení (např. účetní, IT, security, marketing apod.) mohou vyžadovat specifické postupy.
8. Kam ještě nahlédnout
Týkají si nakládání s osobními údaji i nějaké další firemní předpisy? Např. normy ISO?
9. Co dělat, když...
Důležitá věc na konec - vědí vaši zaměstnanci, jak postupovat, když někdo bude požadovat výmaz nebo přenos svých osobních údajů nebo informaci o tom, jak s nimi nakládáte? A především, co a v jakých lhůtách mají přesně dělat, když dojde k úniku osobních údajů.
GDPR manuál nebo školení?
Jakou formou tyto informace (novým) zaměstnancům předáte, je na vás. Hlavně to ale udělejte. Ne kvůli pokutám nebo předpisům, ale především kvůli vašemu klidnému spaní. Když své zaměstnance dobře seznámíte s tím, jak (ne)mají nakládat s osobními údaji, se kterými přijdou při své práci do styku, výrazně snížíte riziko úniku dat, poškození reputace a důvěry u zákazníků. A když k průšvihu přece jenom dojde, lépe se vám budou napravovat škody a úřadům budete schopni prokázat, že jste udělali všechno, co je ve vašich silách, abyste úniku osobních údajů zabránili, a splnili tak svoji zákonnou povinnost.
Ať už se rozhodnete vytvořit srozumitelný GDPR manuál nebo raději zavést pravidelná školení nových lidí, jsme tu pro vás. Stačí říct.
P.S. Školení zaměstnanců není jediná oblast, na kterou se po roce s GDPR zapomíná. Mrkněte na náš checklist 11 věcí, které je načase zkontrolovat.