gdpr ochrana osobních údajů - Getrun s.r.o. - vy víte CO, my víme JAK

+420 603 41 73 12
   info@getrun.cz
Přejít na obsah

ZAJIŠTĚNÍ SOULADU NAŘÍZENÍ EU K OCHRANĚ OSOBNÍCH ÚDAJŮ – GDPR
(General Data Protectinon Regulation)



PRŮBEH AUDITU

1  Osobní informační schůzka, určení odpovědné osoby v rámci organizace
Před zahájením auditu proběhne informační schůzka na které vám podrobně vysvětlíme veškeré požadavky a kritéria spojená s implementací zajištění souladu nařízení  EU k ochraně osobních údajů – GDPR.
Po domluvení spolupráce je potřeba určit osobu, která bude za organizaci pověřena koordinací auditu a naší vzájemnou komunikací. Tato osoba je odpovědná osoba za audit ze strany organizace. Bude předkládat podklady k auditu a přebírat plnění z naší strany.


2  Identifikace pracovních oddělení
Společně určíme organizační strukturu jednotlivých oddělení organizace, která zpracovávají osobní data nebo se na zpracování podílejí a vybereme zástupce těchto oddělení. Jednotlivý zástupci pomohou v průběhu auditu identifikovat jednotlivé procesy zpracování osobních údajů.


3  Osobní pohovory se zástupci jednotlivých oddělení
V rámci první části auditu proběhnou jednotlivá setkání se zástupci oddělení, společně s odpovědnou osobou. Dojde k vysvětlení jednotlivých kroků v rámci auditu, jaké informace a podklady budeme potřebovat a proč.
Na základě těchto schůzek bude vypracován vstupní dotazník pro jednotlivá oddělení, včetně metodiky pro její zpracování, a společně vypracujeme podklady k analýze.

4  Analytická část
Na základě výše uvedených kroků a dokumentů bude z naší strany provedena analytická část auditu. V této fázi posoudíme organizační a IT zabezpečení infrastruktury společnosti a klíčové podnikové systémy. Po obdržení všech potřebných podkladů a informací analyzujeme, jak organizace zpracovává osobní údaje s pohledu GDPR.
V rámci analytické části:
- analyzujeme jaké evidence osobních údajů společnost vede, jaké jsou v nich osobní údaje a kde jsou uloženy,
- posuzujeme právní základ společnosti pro jednotlivé kategorie zpracování osobních údajů,
- sestavujeme popis, ze kterého jsou patrné jednotlivé nedostatky vedených evidencí,
- posuzujme u kterých evidencí je organizace povinna vést záznamy o zpracování,
- vyhodnocujeme kde je potřeba zpracovat DPIA (posouzení vlivu na ochranu osobních údajů),
- zkoumáme zákonnost jednotlivých a splnění informačních a dalších povinností podle GDPR,
- vyhodnocujeme zavedená bezpečnostní opatření při zpracování bezpečnostních údajů,
- analyzujeme vnitropodnikové předpisy na poli ochrany osobních údajů,
- posuzujeme správnost smluv s dodavateli, kteří jsou správci či zpracovatelé osobních údajů s ohledem na požadavky GDPR,
- analyzujeme nastavení IT systému,
- na základě jednotlivých zjištění doporučujeme další potřebné kroky,


5 GAP analýza
GAP analýza dává ucelený přehled o tom, v jakém stavu je ochrana dat v organizaci v porovnání s požadavky GDPR.


6  Časový harmonogram dalších kroků
Na základě GAP analýzy bude vytvořen časový harmonogram kroků, kterým musí organizace projít, aby naplnila soulad s GDPR. Jednotlivé oblasti budou zejména:
- oblast bezpečnosti
- oblast systému řízení ochrany osobních údajů
- oblast samostatného zpracování osobních údajů
- oblast interních předpisů organizace
- školení v rámci organizace
- oblast řízení rizika třetích stran


7 Implementace
Na základě výše uvedených analýz bude organizaci dán čas na implementaci doporučení uvedených v GAP analýze.


8  Školení
V rámci implementace proběhne i zaškolení jak managementu tak pracovníků pracujících o osobními daty.


9 Reaudit
Po implementaci je proveden reaudit zpracování osobních údajů za účelem zjištění míry souladu zpracování osobních údajů s GDPR


10  Závěrečná zpráva
Na Základě GAP analýzy a následné implementace od nás organizace obdrží závěrečnou zprávu, která slouží jako tzv. paper trail – seznam opatření přijatých v rámci nastavení a udržení osobních údajů a jejich zpracování. GAP analýza a závěrečná zpráva slouží k prokázání GDPR compliance před dozorovým orgánem a je podkladem pro veškeré budoucí zpracování osobních ůdajů.


Co GDPR znamená ?

  • Platnost nařízení od 25.5.2018
  • Možné postihy až do 4% z celkového obratu společnosti nebo 20 milionů EUR, podle toho, která z částek je vyšší
  • Nutnost mít PDO (Pověřence pro ochranu osobních údajů) pro
    • orgány veřejné moci a státní organizace
    • organizace zabývající se zpracování většího množství citlivých dat (školství, zdravotnictví)
    • firmy mající více jak 250 zaměstnanců
  • Možnost neférového konkurenčního boje



Zajistíme Vám

  • Nastavení  souladu s nařízením EU formou analýzy a návrhu změn a procesů
  • Přípravu potřebné dokumentace (smlouvy, metodiky), případně jejich prověření z pohledu GDPR
  • Zaškolení zodpovědných pracovníků a zaměstnanců
  • Konzultace v odborných oblastech (IT, účetnictví…)
  • Konzultace v dalších pracovních činnostech a oblastech spojených se správou osobních údajů



Outsourcing DPO – Pověřence pro ochranu osobních údajů

Zajistíme vám Pověřence pro ochranou osobních údajů formou externí služby.
Výhody tohoto řešení:
  • není nutné mít vlastního zaměstnance
  • snížení celkových nákladů
  • zamezení konfliktu zájmů
  • minimalizace nákladů na další vzdělávání

Nutnost mít Pověřence pro ochranu osobních údajů je dána nařízením EU, a to zejména pro:
  • orgány veřejné moci a státní organizace
  • organizace zabývající se zpracování většího množství citlivých dat (školství, zdravotnictví)
  • firmy mající více jak 250 zaměstnanců

Hlavní úkoly pověřence:
  • poskytování informací a poradenství správcům nebo zpracovatelům osobních dat
  • monitorování souladu zpracování údajů s nařízením EU
  • školení pracovníků
  • poskytování poradenství při posouzení vlivu zpracování na ochranu osobních údajů
  • spolupráce s dozorovým úřadem
  • působení jako kontaktní místo pro dozorový úřad



Školení

Školení GDPR pro management a majitele firem
  • úvod do problematiky ochrany osobních údajů
  • klíčové povinnosti správců a zpracovatelů dat
  • zajištění souladu s nařízením a minimalizace rizika sankcí

Školení GDPR pro zaměstnance
  • osobní údaje a jejich zpracování
  • jednotlivé role, povinnosti a požadavky při zpracování osobních údajů
  • základní principy práce s osobními daty


Nechte nám vzkaz, budeme Vás kontaktovat





Getrun s.r.o.
Návrat na obsah