GDPR - Vstupní analýza

Kód: GDPR01
20 000 Kč / ks 24 200 Kč včetně DPH

Analýza GDPR

  • Zmapování stávajícího způsobu a rozsahu zpracování osobních údajů u Objednatele.
  • Provedení rozdílové a dopadové analýzy a návrh opatření.
  • Součinnost při provedení analýzy rizik.

 Implementace opatření navržených v analýze GDPR

  • Stanovení priorit prováděných opatření a časový harmonogram.
  • Příprava dokumentace a dalších opatření.

Detailní informace

Detailní popis produktu

1       Specifikace rozsahu Analýzy GDPR

1.1       Zmapování zpracování osobních údajů

Cílem této fáze je:

  • zmapovat veškeré činnosti v rámci procesů Objednatele, při kterých dochází ke zpracování osobních údajů (tj. jejich sběru, uchovávání, aktualizaci, užití, předávání a likvidaci),
  • zmapovat dokumenty a informační systémy, které se zpracování týkají.

Zmapování je nezbytné pro následné posouzení toho, jaké činnosti, procesy, informační systémy a dokumentace jsou v souladu s požadavky Nařízení GDPR.

Posouzení je prováděno na základě vstupní sady otázek, které Objednatel zodpoví.

 Výstupem bude:

  • specifikace zpracování osobních údajů
  • seznam dotčených informačních systémů (a případných zavedených opatření proti neoprávněnému přístupu či zneužití osobních údajů)
  • právní analýza, která určí, jaké jsou právní důvody zpracování (tzv. zákonnost zpracování osobních údajů) a jaký je účel zpracování
  • specifikace prostředků, jimiž lze demonstrovat soulad s GDPR (v rámci dodržování tzv. zásady odpovědnosti).

           

1.2       Rozdílová a dopadová analýza

Cílem je rozdílové analýzy je stanovit, zda vůbec, popř. do jaké míry stávající procesy, informační systémy a dokumentace splňují požadavky Nařízení GDPR a stanovit případné rozdíly. Výstupem je přehled procesů, informačních systémů a dokumentace, které nejsou v souladu s Nařízením GDPR.

Cílem dopadové analýzy je identifikovat dopady, které mají požadavky Nařízení GDPR na Objednatele, zejména ke každému nesouladu identifikovanému v rozdílové analýzy stanovit potřebné nápravné opatření, v případě potřeby přiřadit jejich prioritu.

 

2       Implementace navržených opatření

2.1       Stanovení priorit prováděných opatření a harmonogram

Po ukončení analytické části dle bodu 1 shora bude provedeno vyhodnocení výstupů analýz a proběhne plán implementace navrhovaných opatření k zajištění souladu procesů Objednatele s Nařízením GDPR.

Hlavním vstupem bude:

  • Plán pro Objednatele obsahující opatření vedoucí k souladu s GDPR, včetně stanovení priorit
  • Časový harmonogram implementace opatření

2.2       Příprava a zpracování dokumentace a dalších opatření

V rámci implementace opatření provedeme komplexní implementaci procesů a dokumentace dle požadavků Nařízení GDPR, popř. poskytneme metodickou pomoc při provádění nezbytných technických opatření, jak jsou rámcově specifikována dále:

 Organizační opatření:

  • Doporučíme nastavení organizační struktury v oblasti odpovědnosti za compliance v rámci ochrany osobních údajů
  • Definujeme role pro Pověřence pro ochranu osobních údajů (předpokládáme, že jeho jmenování bude pro Objednatele povinné a vyplyne z analýz)
  • Zajistíme osobu, která bude zastávat roli Pověřence pro ochranu osobních údajů
  • Zajistíme organizaci školení osob účastnících se na nakládání s osobními údaji

Vnitřní procesy:

  • Poskytneme metodickou pomoc a nastavení procesů aplikovaných:
  • v rámci žádosti o souhlas se zpracováním osobních údajů,
  • při zpracovávání osobních údajů z jiných zákonných důvodů (ve smyslu čl. 6 Nařízení GDPR),
  • při nakládání s osobními údaji, zejména ve vztahu k zásadám účelového omezení, minimalizace údajů a omezení uložení (ve smyslu čl. 5 odst. 1 písm. b), c) a e) Nařízení GDPR),
  • v souvislosti s povinností vést záznamy o činnostech zpracování (čl. 30 Nařízení GDPR)
  • v rámci plnění povinností vůči subjektům údajů dle čl. 12 – 20 Nařízení GDPR (např. právo na informace a přístup k os. údajům, právo být zapomenut),
  • v souvislosti s povinností oznamovat případy porušení zabezpečení osobních údajů subjektu údajů (čl. 34 Nařízení GDPR),
  • v souvislosti s povinností ohlašovat případy porušení zabezpečení osobních údajů dozorovému orgánu (čl. 33 Nařízení GDPR),
  • v souvislosti s povinností zavést technická a organizační opatření k zamezení neoprávněného zpracování nebo nahodilého zničení nebo poškození (čl. 24 Nařízení GDPR)
  • v souvislosti s využitím doporučovaných metod ochrany osobních údajů (zejm. pseudonymizace).
  • Poskytneme konzultace při úpravách a přizpůsobení informačních systémů Objednatele.

Dokumentace:

Provedeme úpravy stávající dokumentace, popř. zpracujeme novou dokumentaci, která bude představovat implementaci procesních opatření uvedených shora. Zejména zpracujeme: 

  • Vnitřní předpisy (směrnice) upravujících problematiku nakládání s osobními údaji včetně dokumentu Záznamy o činnostech zpracování a včetně incident managementu.
  • Znění souhlasu se zpracováním osobních údajů – konkrétní textace pro jednotlivé případy, které budou stanoveny v analýze, včetně zakotvení účelu zpracování.
  • Znění informační povinnosti – konkrétní textace pro jednotlivé případy, které budou stanoveny v analýze.
  • Vzorovou smlouvu o zpracování osobních údajů, kterou bude Objednatel uzavírat se zpracovateli.
  • Posouzení vlivu na ochranu osobních údajů (vyplyne-li jeho potřeba z analýz) vč. metodiky posuzování vlivu, případně vyhodnocení a dostatečná argumentace závěru o tom, že posouzení vlivu není nutné.
  • Vzorové oznámení porušení zabezpečení osobních údajů vč. metodiky pro oznamování bezpečnostních incidentů.

Revize stávajících smluv uzavřených se třetími osobami

Provedeme revize smluv uzavřených se třetími osobami, které jsou relevantní z pohledu GDPR (které zmapujeme v analytické fázi a na základě tohoto:

  • Provedeme analýzu rizik a případně doporučíme úpravy
  • Připravíme návrh úprav a doplnění smluv