V úvodní fázi Vás seznámíme s problematikou ochrany osobních údajů, nejaktuálnějším vývojem v této oblasti a související legislativou. Probereme, jakým způsobem jsou u Vás zpracovávány osobní údaje, a co bude nutné s příchodem GDPR změnit.
Ve druhé fázi s Vámi detailně zmapujeme procesy, při nichž pracujete s osobními daty. Předpokladem pro tento audit je spolupráce s odděleními napříč organizací. Na základě získaných informací pro Vás připravíme komplexní zprávu s doporučeními, jaké konkrétní kroky bude nutné pro splnění požadavků GDPR učinit, a navrhneme možná organizační, legislativní a technická řešení.
Požadavky plynoucí z nařízení GDPR dokážeme pokrýt v celé šíři díky vzájemné spolupráci společnosti zabývající se zabezpečovacími systémy a počítačovou bezpečností, společnosti specializující se na vývoj software řešení pro podnikové systémy, a právní kanceláří.
Audit dat a kategorizace zpracovávaných osobních údajů
Pomocí automatizovaných nástrojů nalezneme citlivé dokumenty obsahující osobní údaje. Po jejich identifikaci následuje posouzení, jak s nimi dál naložit dál, aby byl splněn požadavek na jejich zabezpečení, a aby bylo možné zajistit procesy vyplývající z práv subjektů údajů. Všechny osobní údaje, které shromažďujete, je třeba kategorizovat, a určit účel a dobu jejich zpracování. V okamžiku, kdy už osobní údaje nejsou potřebné a neexistuje žádný zákonný důvod k jejich uchovávání, je nutné data smazat.
Zabezpečení a pseudonimizace dat
V souladu s nařízením GDPR je nutné veškerá data obsahující osobní údaje vhodnými prostředky zabezpečit tak, aby nedocházelo k neoprávněnému přístupu, ke zcizení nebo ztrátě. Mezi doporučené prostředky zabezpečení patří pseudonymizace, tj. nahrazení osobních údajů v pracovních databázích identifikátorem, který zpětně možné přiřadit ke konkrétní osobě pouze subjekty k tomu oprávněnými. Dalšími prostředky jsou pak zálohování, šifrování a další nástroje zabezpečení ochrany dat.
Vedení záznamů o činnostech zpracování
Velkých společností (více než 250 zaměstnanců) a těch, kteří pracují s citlivými údaji (lékaři, personalisté, obce) se týká povinnost vést tzv. záznamy o činnostech zpracování. Pomocí vhodných nástrojů lze tuto činnost automatizovat tak, aby co nejméně zasahovala do běžné činnosti společnosti.
Zprostředkování požadavků občanů
Přijetím nařízení GDPR došlo k výraznému posílení práv subjektů údajů, tedy osob, jejichž údaje jsou shromažďovány a zpracovávány. Nově budou moci zažádat o zpřístupnění údajů o sobě vedených, jejich výmaz, změnu či přesun. Správce osobních údajů musí byt schopen do jednoho měsíce od doručení požadavku subjektu údajů nalézt všechna data týkající se dané osoby (napříč emaily, soubory na sdílených úložištích, zálohami i papírovými dokumenty) a požadovanou operaci provést. Naše nástroje zajistí nejen prvotní komunikaci s žadatelem, jeho identifikaci, zaznamenání požadavku, ale rovněž nalezení dotyčných dokumentů a vyřízení požadavku.
Prevence a detekce případného úniku dat
Nařízení ukládá povinnost nahlásit jakýkoliv únik osobních dat Úřadu pro ochranu osobních údajů. My vám v první řadě pomůžeme zabezpečit data tak, aby se minimalizovalo riziko úniku dat ať již útokem „zvenčí“, nebo „zevnitř“. Pokud přesto k úniku dojde, pomůžeme jej včas identifikovat, zastavit a zajistit, aby k němu znovu nedošlo, a aby zároveň bylo ohroženo co nejméně údajů v co nejmenším možném rozsahu.
Vytvoření povinných posudků, dokumentů a směrnic
Uvedení agendy ochrany a zpracovávání osobních údajů do souladu s nařízením GDPR klade na subjekty nakládající s osobními údaji nejen zvýšené technické požadavky, ale také řadu administrativních povinností. Pomůžeme Vám vytvořit nezbytnou dokumentaci procesů zpracování dat, směrnice, krizové plány, kodexy chování, posudky ochrany osobních dat (Data Protection Impact Assessment (DPIA)) a povinná hlášení pro ÚOOÚ.
Služba Pověřence pro ochranu osobních údajů (DPO)
Pro mnohé organizace bude povinné, pro jiné dobrovolné, jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer (DPO)). Pověřenec bude dohlížet na dodržování nařízení GDPR v organizaci, zajišťovat pravidelná školení pracovníků, provádět interní audity nakládání s osobními údaji, konzultovat svá zjištění s dozorovým orgánem (ÚOOÚ), jakož i plnit další povinnosti týkající se interní ochrany dat. Splňujeme všechny požadavky pro to, abychom Vám tuto službu mohli poskytnout z pozice externí organizace.
Právní pomoc
Vyhodnocení přesných nařízení a výjimek vztahujících se na Vaší organizaci. Posouzení, na jaká data je nutné získat nový souhlas se zpracováním osobních dat. Návrh způsobů pro získání platných souhlasů se zpracováním osobních dat. Kontrola, zda jsou splněna veškerá práva subjektů údajů.