Analýza GDPR / DPO pověřenec

Představení společnosti jako poskytovatele služeb GDPR / DPO

Naše vize, kterou se řídíme je motivována heslem: „Kvalita na straně zákazníka“. Naše služba v oblasti ochrany osobních údajů (GDPR) je především směřována na podporu IT manažerů společností, které provozují různé informační systémy jež obsahují citlivá data v souladu s GDPR legislativou (EU) 2016/679. Naše služby využívají i manažeři kvality a pověřenci pro ochranu osobních údajů (DPO).

Image result for GDPRNabízíme našim zákazníkům provedení analýz stávajících datových toků, business procesů, zmapujeme fyzická, virtuální a logická místa, kde se ve firmě ukládají a zpracovávají osobní údaje.
Navrhneme postupy a způsob jakým by naši partneři měli nakládat s daty svých zákazníků, zaměstnanců a dalších osob tak, aby všechno bylo v souladu s GDPR legislativou (EU) 2016/679 a minimalizovala se hrozba vysokých sankcí.

Nabízíme našim partnerům a zákazníkům implementaci GDPR standardů, řešení problematiky výmazů a outsourcing pověřence na ochranu osobních údajů.

Implementace GDPR by se neměla podceňovat. Doba potřebná pro přípravu GDPR se může pohybovat v rozmezí od 2 do 24 měsíců, u malých a středních podniků je tato doba kratší – od 2 do 12 měsíců. Implementace vždy provádíme s následujícími fázemi:

  • Mapování a rozdílová (GAP) analýza;
  • Dopadová analýza;
  • Implementace GDPR.

1. Mapování a rozdílová (GAP) analýza

Nejprve musíme posoudit, jaké informace zákazník zpracovává a jak splňuje v současnosti požadavky dle GDPR. Následně budeme posuzovat, jak zákazník splňuje právní a technické požadavky GDPR. Nesoulad se předpokládá tam, kde GDPR zavádí nové povinnosti (např. při povinnosti jmenování pověřence).

2. Dopadová analýza

Poté se musí analyzovat dopady, které změny vyvolané nutností zajištění souladu přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. V rámci dopadové analýzy by měly malé a střední podniky zhodnotit, zda a v jakém rozsahu se jich bude týkat jediná relevantní výjimka (právě pro malé a střední podniky) z povinnosti vést záznamy o činnosti zpracování podle čl. 30 GDPR. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, tyto organizace nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Je třeba také celkově posoudit rizika konkrétního zpracování. Je to důležité pro zvolení takových opatření k zajištění souladu, která jsou vzhledem k úrovni rizika potřeba, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Musí se také zjistit riziko zpracování např. při posouzení oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, posouzení slučitelnosti účelů dle čl. 6 odst. 4 GDPR, splnění požadavků dle čl. 25 GDPR atd. Dále je nezbytné posoudit bezpečnostní rizika podle čl. 32 GDPR a je namístě navrhnout vhodná technická a organizační opatření k zajištění integrity a bezpečnosti zpracování. Dále se pak nelze vyhnout nutnosti posoudit, jestli má podnik povinnost jmenovat pověřence pro ochranu osobních údajů. U malých a středních podniků k tomu nebude často docházet. Pokud podnik dojde k závěru, že musí pověřence jmenovat, měl by tak učinit ještě před zahájením samotné implementace navržených kroků z dopadové analýzy. Pověřenec tak bude moci dát podniku kvalifikované stanovisko k tomu, jestli jsou navrhovaná opatření dostatečná, či nikoliv.

3. Implementace GDPR.

Po dokončení analýzy dopadů podnik začne postupně provádět všechna opatření, která byla v jejím rámci navrhnuta.

Mělo by dojít k úpravě externí dokumentace. Měly by se upravit souhlasy se zpracováním, obchodní podmínky, podmínky ochrany osobních údajů, zpracovatelské smlouvy apod.

Je třeba upravit interní dokumentace jako např. vnitřní předpisy a jinou dokumentaci určenou zaměstnancům, vytvořit koncepci ochrany osobních údajů, podle potřeby provést a zdokumentovat různá posouzení.

Dále je vhodné upravit procesy zpracování osobních údajů, a to jak uvnitř společnosti, tak navenek.

Nelze se vyhnout ani úpravě informačních systémů. Aby byl správce schopen plnit povinnosti podle GDPR, pak musí mít pořádek v datech.

Musí být vytvořen plán pro případ porušení zabezpečení osobních údajů. Musí se vytvořit procesy interního reportování, vyšetřování a mírnění důsledků porušení zabezpečení.

Správce se musí připravit na výkon práv subjektů údajů. Musí se zavést nutná organizační a technická opatření k tomu, aby byl subjektům údajů umožněn a usnadňován výkon jejich práv.

Správce se také neobejde bez vytvoření komplexního „accountability“ mechanismu. Procesy správce by měly automaticky generovat potřebnou dokumentaci, která se uchovává. Správce je totiž povinen vždy být schopen prokázat soulad s GDPR. Proto je důležité, aby byla veškerá zpracování podrobně a přehledně dokumentována.

Správce musí implementovat zásady záměrné a standardní ochrany osobních údajů. Musí se zavést technická a organizační opatření k zajištění naplňování základních zásad zpracování.

Nabízíme následující typy spolupráce

  • Návrh nejvhodnějšího řešení GDPR pro organizaci
  • Jednorázová konzultace problému
  • Vstupní audit pro zhodnocení GDPR připravenosti
  • Detailní analýza rizik a dopadů GDPR na Vaši činnost
  • Vypracování plánu vaší implementace GDPR opatření
  • Podpora implementace konkrétních GDPR opatření
  • Audit již zavedených GDPR změn a opatření
  • Externí výkon pozice DPO (dočasný/trvalý outsourcing)

Image result for GDPR řešení

 

08.01.2020