obrázek

Jak se připravit na GDPR?

Stěžejní je, zjistit jaké osobní údaje jsou ve vaší firmě zpracovávány. Dále je potřeba zjistit důvody pro jejich zpracování, způsob a místo uložení. Jak jsou zabezpečeny a komu dalšímu je poskytujete. V podstatě je potřeba zpracovat analýzu toku osobních údajů v rámci vaší firmy s dopady na jednotlivé osobní údaje.

Na základě této analýzy je třeba rozhodnout, jaká opatření mají být přijata, aby bylo zpracování osobních údajů v souladu s GDPR. 

Následně je nutné dohlédnout na to aby byla přijatá opatření zavedena do praxe a důsledně dodržována.

Z výše uvedeného je patrné, že příprava na GDPR by měla být realizována jako projekt s jasně vymezenými fázemi. Každá fáze projektu má mít přesně stanovený časový harmonogram a zodpovědné osoby. Takto lze zaručit komplexní pohled na problematiku a důslednou a správnou implementaci nařízení.

Takto popsaný projekt se může zdát příliš složitý a zbytečně komplikovaný pro OSVČ nebo malé firmy. GDPR však platí pro všechny správce osobních údajů stejně. Nejsou zde rozdíly mezi velkými a malými firmami. I malé firmy tedy mohou s výhodou využít projektového řízení GDPR připraveného pro větší firmy, které bude přizpůsobeno jejich situaci a velikosti.

 

Jak Vám můžeme pomoci naše aplikace?

Naše online aplikace Vám účinně pomůže v každé části projektu GDPR.  Pomocí ní detailně zmapujete, jaké osobní údaje zpracováváte, z jakých důvodů, jak dlouho a kde je ukládáte, kdo k nim má přístup atd. Výstupem této analýzy je dokument popisující vstupní stav vaší firmy.

Na základě této analýzy je potřeba vypracovat zprávu navrhující jaké změny je potřeba přijmout pro dosažení souladu s GDPR. Tuto činnost bohužel žádná aplikace nedokáže provést automaticky a je vždy potřeba aby výslednou zprávu a doporučení zpracoval člověk se zkušenostmi v IT oblasti a v mnoha případech ve spolupráci s advokáty nebo právníky.

 Nyní přichází opět na řadu naše aplikace, do které zapíšete přijatá doporučení a změny pro každou oblast zpracování (oblasti zpracování jste definovali v prvním kroku). Výsledkem je dokument popisující veškeré činnosti zpracování ve vaší firmě v souladu s GDPR. Také je potřeba dle článku 30

 

 

Jak mohou vypadat jednotlivé fáze projektu GDPR

 

Fáze 1 – příprava plánu implementace k dosažení konsenzu

Obsahuje časový harmonogram, finanční zdroje. Je nutné, aby jej vzal za svůj zejména střední a vyšší management.

 

Fáze 2 – mapování výchozího stavu zpracování

Zde musí dojít k provedení mapování datových toků jednotlivých zpracování osobních údajů, a to v rozdělení dle jednotlivých účelů, za kterými správce údajů osobní údaje zpracovává.

 

Fáze 3 – rozdílová analýza

Mělo by dojít k analýze vzorové dokumentace (např. smlouvy s klienty, se zaměstnanci) z hlediska souladu s GDPR.  Součástí posouzení by mělo také být, zda výběr zpracovatelů odpovídá novým kritériím.

 

Fáze 4 – dopadová analýza

Popisuje dopady GDPR na jednotlivé činnosti správce. Také je potřeba posoudit rizika, které zpracování představuje, protože GDPR vyžaduje, aby správce uzpůsoboval organizační a technická opatření tomu, jak vysoké riziko jeho zpracování představuje.

V rámci této fáze by mělo být také zjištěno zde je správce povinen jmenovat DPO (pověřence pro ochranu osobních údajů).

 

Fáze 5 – Návrh a implementace změn

Zde by měly být připraveny změny jednotlivých procesů, dokumentů a systémů a zahájeny práce na implementaci změn. Jde také o reakční plán pro případ porušení zabezpečení osobních údajů, zavést opatření pro ochranu osobních údajů a pro zajištění výkonu práv subjektů a pro aktivní prokazování souladu s nařízením.

 

Zdroje:

  • „GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář“. Nulíček Michal, Donát Josef, Nonnemann František, Lichnovský Bohuslav, Tomíšek Jan.

komentáře (2)

Richard Krejza

09:59, 24. květen 2018


Jsem drobný živnostník v kovovýrobě. Fakturuji za provedení prací (výrobků) fyzickým osobám, právnickým osobám, s dodavateli i odběrateli komunikujeme i přes e-mail. Mám zakoupený Váš program 2HCS FAKTURACE, který využívám k vystavení faktur, objednávek. Mohl byste mi napsat v jakém rozsahu se mě bude týkat GDPR a co mi doporučujete. Děkuji za odpověď.

Tomáš Halász (admin)

06:48, 25. květen 2018


Dobrý den,

GDPR se týká každého kdo zpracovává osobní údaje fyzických osob, které jsou občany zemí Evropské unie. Zpracováním je myšleno v podstatě jakékoliv nakládání s osobními údaji (tedy i jejich získání) a osobními údaji pak jakýkoliv údaj, který vede k identifikaci konkrétní osoby. Podrobněji to máme popsáno zde: https://gdpr-dpo.consulting/blog/clanek/gdpr-male-firmy-osvc/1

V konkrétním případě, který jste popsal tzn. dodavatelé, odběratelé a komunikace přes email půjde zejména o jména a příjmení, adresy, emaily, telefony fyzických osob - odběratelů, dále například o kontaktní údaje právnických osob (dodavatelů i odběratelů). Dále to mohou být údaje zaměstnanců (pokud je máte), emaily získané např. z kontaktního formuláře na webu atd...

Ideální je provést analýzu zpracování osobních údajů ve Vaší firmě tzn. zjistit jaké údaje zpracováváte, za jakým účelem, jak dlouho je uchováváte. A na základě této analýzy provést opatření, která budou potřeba aby Vaše zpracování osobních údajů bylo v souladu s GDPR. Toto můžete zpracovat i sami díky naší online aplikaci zde na webu gdpr-dpo.consulting . Nebo to pro Vás můžeme provést jako placenou službu.

Chcete se na něco zeptat?


Napište svůj komentář, odpovíme co nejdříve. Váš email nebude zveřejněn, použijeme jej pouze pro odeslání odpovědi na Vaši adresu.