Plnění požadavků ochrany osobních údajů (GDPR)

GDPR ochranaOchrana osobních údajů je povinností všech firem a organizací. I když už GDPR a český prováděcí zákon č. 110/2019 Sb. o zpracování osobních údajů vstoupily v platnost a organizace se nimi vypořádaly, ochrana osobních údajů je aktuální stále: se změnami smluv, produktů, změnami procesů, nebo novým obchodním partnerem. Vždy je třeba na GDPR pamatovat a pravidla znovu správně nastavit.

Ochrana osobních údajů se týká všech organizací

Máme rozsáhlé zkušenosti s procesní i technickou implementací nejenom GDPR, ale i dalších zákonných a normativních opatření (viz např. implementace dopadů nového občanského zákoníku) a ochrana osobních informací v tom není výjimkou. Nabízíme vám proto možnost využít našich technologických, analytických i právních zkušeností, abyste poždavky nařízení GDPR plnili.

Máme zkušenosti i tým

Implementace vyžaduje analýzu fungování organizace a její práce s infor­macemi, legislativu, která souvisí s poskytovanými službami a promítnutí legislativy nové. Proto nabízíme pomoc v oblasti projektového řízení, právních analýz i softwarových a datových analýz.

  • Náš tým zahrnuje zkušeného vedoucího projektu, analytika, odborníka na podnikové systémy a data i právníka.
  • Máme zkušenosti nejenom s GDPR, ale i s implementací normy ISO 27000 a dalších (např. PSD2).
  • Máme zkušenosti s implementací rozsáhlých dopadů nového občanského zákoníku.
  • Advokát v našem tým poskytuje kompletní právním pora­den­ství živnostníkům, malým i větším firmám.

Promítnutí požadavků ochrany osobních informací do firemního prostředí

GDPR ochrana

Legislativa ochrany osobních informací vytváří tři základní pilíře. Každé odpovědně pojaté řešení musí implementovat všechny pilíře a každý u nich vyžaduje specifickou péči. Proto každé věnujeme samostatnou logickou etapu projektu. Časově etapy probíhají souběžně a v jednotlivých krocích se doplňují.

(Každou z oblastí můžete rozkliknout pro podrobnější informace

Omezení a vymezení uchovávaných informací

Uchovávány a zpracovávány mohou být informace výhradně na základě existující legislativy, nebo explicitního souhlasu člověka, kterého se týkají. V omezeném případě se lze odvolávat na oprávněné důvody, ty pak vyžadují dvojnásob kvalitní právně správnou argumentaci.

Zpracování vyžaduje:

  • Analýzu, kde a jak se osobními údaji pracuje
  • Mapování osobních informací na procesy, služby a datové toky
  • Právní analýza, která může zdůvodnit používání osobních informací
  • Vyhodnocení, zda a jaké změny v procesech a informacích jsou potřebné

Výstupem etapy jsou:

  • Datová mapa
  • Procesní mapa
  • Mapa legislativní argumentace
  • Doporučení k dalším krokům

Řízení práce s osobními informacemi

Definovat, jaké činnosti a přístupy k infor­macím jsou povoleny, jak zajistit, aby při nich nedošlo ke kompro­mitaci, změně nebo ztrátě infor­mací a tato pravidla v procesech zavést.

Zavedení musí zahrnovat řízení práv, mecha­nismy systé­mové ochra­ny dat, případně jejich likvidaci po ukončení doby, kdy jsou nutné.

Výstupem etapy jsou:

  • Nástroje pro ochranu dat
  • Doporučení, jak postupovat v případě aplikací třetích stran
  • Požadavky na úpravy aplikací
  • Ověření fungování nasazených nástrojů a protokoly ověření
  • Revidované smlouvy se zpracovateli osobních informací

Otevřená komunikace vůči lidem

Otevřená komunikace vyžaduje zejména přehled ve všech procesech a způsobech práce s osobními informacemi.

Je třeba zajistit umět doložit, jak se údaji pracuje, kdo k nim má či měl přístup, a kde údaje sou.
Pro řadu organizací platí povinnost mí pověřence a poskytovat podmínky pro jeho práci.

Výstupem etapy jsou:

  • Nastavené interní procesy
  • Funkce pověřence pro ochranu osobních údajů (je-li nutný)
  • Vytvořený přehled, kde jsou které údaje uchovávány a na základě jakého právního titulu

Naplnění požadavků GDPR u malého subjektu

GDRP má dopady na všechny firmy a organizace. Dotýká i mnoha malých subjektů. I když všechny požadavky vypadají náročně, i malé živnostníkovi, lékaři s ordinací, nebo malé firmě dokážeme pomoci. Někdy stačí dvouhodinová konzultace, někdy je potřeba trochu více. Pro středně velké firmy zajištění všech potřebných kroků vyžaduje cca 4 dny práce.

Služby související s GDPR a ochranou osobních údajů