Nastavenie procesu uplatňovania práv dotknutých osôb
(služba: GDPR - implementácia, poradenstvo, školenie)KLIENT:
Ministerstvo zdravotníctva SR
SITUÁCIA:
Klient potreboval upraviť proces ohľadom uplatňovania práv dotknutých osôb podľa GDPR a proces riadenia nezhôd a bezpečnostných incidentov tak, aby bol použiteľný v praxi pre všetkých jeho zamestnancov, zodpovednú osobu a zrozumiteľne komunikovaný pre dotknutú osobu.
PROBLÉM:
Bez nastaveného procesu síce mali dotknuté osoby možnosť kontaktovať klienta ohľadom uplatnenia ich práv prostredníctvom zverejneného e-mailového a telefonického kontaktu, avšak tým, že nebol zavedený štandardizovaný vzor takejto žiadosti, nedostali sa všetky potrebné informácie k zodpovednej osobe, ktorá následne nemohla riadne a efektívne žiadosť dotknutej osoby vybaviť. Rovnako tým, že nebol u klienta zavedený proces na uplatňovanie práv dotknutých osôb, nebolo dostatočne zabezpečené vybavenie žiadosti bez zbytočných prieťahov spôsobných zbytočnými úkonmi u klienta. Tým, že u klienta nebol zavedený štandardizovaný proces vybavovania žiadostí dotknutých osôb, dochádzalo k situáciám, pri ktorých mala dotknutá osoba neobmedzené možnosti opakovaného aj neodôvodneného uplatňovania svojich práv.
Keďže u klienta nebol zavedený proces riadenia nezhôd a bezpečnostných incidentov a zamestnanci neboli poučení, ako v týchto prípadoch postupovať, riziko bezpečnostných incidentov bolo vysoké.
RIEŠENIE:
Proces pri uplatnení práv dotknutých osôb bol popísaný v smernici, ktorá obsahuje aj štandardizované vzory žiadosti na uplatnenie práv, záznam o prijatí žiadosti dotknutej osoby a štandardizované vzory odpovedí pre dotknuté osoby. Smernica bola zverejnená na intranete klienta, zamestnanci boli osobne poučení a žiadosť na uplatnenie práv dotknutej osoby bola zverejnená na webovom sídle klienta.
Proces riadenia nezhôd a bezpečnostných incidentov bol popísaný v smernici, ktorá obsahuje aj záznam o nezhode alebo bezpečnostnom incidente a postup pre vedenie evidencie nezhôd, bezpečnostných incidentov a opatrení a postup na oznámenia bezpečnostných incidentov v súlade s GDPR. Zamestnanci boli osobne poučení.
Základným pravidlom pri tvorbe smerníc bola zrozumiteľnosť a jednoduché uplatnenie v praxi.
VÝSLEDOK:
U klienta je nastavený jednoznačný proces pri uplatnení práv dotknutých osôb pre dotknuté osoby, ako aj pre zamestnancov a zodpovednú osobu tak, aby mohli byť žiadosti vybavované riadne a efektívne.
Riziko bezpečnostných incidentov je minimalizované tým, že bude zabezpečená efektívna informovanosť zodpovednej osoby o prípadných nezhodách a zabezpečí sa promptné riešenie bezpečnostných incidentov.