Ochrana osobních údajů

Základní výčet nabízených činností

  • Zodpovědnost za
    • zmapování vnitřního prostředí subjektu s ohledem na implementaci GDPR,
    • soupis typů se kterými kancelář pracuje a jaký je právní titul a účel k tomuto zpracování,
    • identifikování vysoce rizikových oblastí, které je třeba řešit, aby byl subjekt uveden do souladu s GDPR pravidly,
    • normativní shodu ohledně plnění nařízení EU k problematice GDPR
    • transparentní systém zpracování a nakládání s 
    • vypracování analýzy rizik a její periodické vyhodnocování (posouzení)
    • kontrolu, nastavení zodpovědností, bezpečnosti ukládaných dat a nastavených procesů v rámci subjektu s ohledem na:
      • RISK (Risk Management System) ISO 31000
      • QMS (Quality Management System) ISO 9001
      • ISMS (Information Security Management System) ISO 27001
    • nezávislý audit ohledně dodržování nařízení EUproblematice GDPR v subjektu
    • přípravu kodexu pro OOÚ, případě smluvních doložek
    • zpracovaný seznam , které se v subjektu zpracovávají
    • včasné nahlášení případů porušení zabezpečení na ÚOOÚ
    • praktické aplikace výkladu GDPR na konkrétní procesy a činnosti subjektu.
  • Kontroly
    • procesů a metodik a vydávání návrhů a doporučení k jejich aktualizaci
    • tvorby návrhů opatření v oblastech fyzické, personální, administrativní a informační bezpečnosti (klasifikace dat, dopad ztráty nebo zcizení interních dat) a kybernetickou bezpečnost
  • Působnost jako
    • mediátor ve vztahu k subjektům OOÚ
    • metodik ve vztahu ke správci a ke zpracovateli
    • osoba odpovědná za zpracování a vyřízení dotazů a požadavků stěžovatelů
  • Tvorba návrhů
    • opatření k OOÚ v subjektu
    • nastavení ochrany (záměrná, standardní)
  • Posuzování
    • vazeb na architekturu IT systémů, aplikací a komunikačních kanálů ve vztahu k evidenci , včetně dopadů na informační bezpečnost v oblasti ochrany , vyhodnocuje případná rizika a navrhuje opatření k jejich eliminaci
  • Monitorování
    • právní novelizace ve vztahu k GDPR a navrhuje interní předpisy k aktualizaci a doplnění v případě přijetí nové národní či evropské legislativy
  • Komunikace
    • s ÚOOU ohledně záležitostí týkajících se OOÚ
  • Garant
    • ochrany ve společnosti, v rámci subjektu zajišťuje kontrolu, že existuje systém na ochranu .

 

 

 

 

V rámci seznámení s problematikou GDPR poskytujeme vzdělávací služby formou školení či workshopů. Jednotlivé akce dělíme na oblasti, úrovně a bloky. Snažíme se co nejefektivněji vybrat vhodné kombinace, tak aby účastníci získali potřebné informace.

 

 

 

Ceny za dané školení jsou závislé na oblasti, úrovní a délkách a počtu bloků.

Vzdělávací služby realizujeme jak interně pro klienta, tak případně i pro zákazníky či partnery klienta. Nabízíme i aktivní účast na konferencích v „barvách“ klienta apod.

Pro Interní uživatele

Vzdělávání pro Interní uživatele zaměřujeme především na danou problematiku doplněnou praktickými příklady, hrozbami ale i příležitostmi. Interaktivní formou prezentujeme nabyté zkušenosti a znalosti se zaměřením na úroveň a oblast. V případě, že disponujeme znalostí oboru ve kterém klient působí, přizpůsobujeme prezentace s ohledem na problematiku daného oboru.

Pro partnery či zákazníky Klienta

Stejně jako pro Interní uživatele nabízíme dané činnosti o Pro partnery či zákazníky Klienta. Obvykle se tento typ služeb používá proto, aby partneři či klíčoví klienti byly „compliance“. Poměrně často se stává, že partneři či klienti zákazníka nevědí o problematice GDPR nebo ji řeší jiným způsobem. Proto pokud klient požaduje, aby i jejich partneři a klienti fungovali kompatibilně s ním, je potřeba je vyškolit a seznámit s tím co se od klienta čeká.

 

 

Druhou úrovní služeb nabízíme provedení ROZBORU STAVU GDPR V SUBJEKTU.

Pro efektivní a účinné řízení bezpečnosti a rizik s ohledem na GDPR je nezbytné na začátku provést DRP GDPR (Detailní rozbor problematiky GDPR a spojených rizik v subjektu).

Problematika GDPR je poměrně široká především z důvodu rozsahu oblastí, které jsou s ní přímo či nepřímo svázány. Proto je pro řešení GDPR nezbytné postupovat komplexně. Tato komplexnost vyžaduje široké spektrum informací, které musí být nejprve získány, analyzovány a následně vyhodnoceny.

Základní identifikace rozsahu GDPR v subjektu

Aby bylo možné správně stanovit rozsah, dopady, náročnost a rozpočet služby DRP GDPR je nezbytně nutné nejprve získat a vyhodnotit některá klíčová data o subjektu. Proto se nejprve realizuje dílčí služba Základní identifikace rozsahu GDPR v subjektu.

V průběhu získávání informací budou k dispozici naši specialisté pro oblasti: PRÁVA, IT, PROCESŮ, BEZPEČNOSTI a MANAGEMENTU nápomocni pracovníkům subjektu při zapracování a vyplněné potřených informací do připravených šablon.

Následně po verifikaci získaných informací včetně konzultací našich specialistů se zástupci subjektu, dojde k vypracování závěrečné zprávy. Tato závěrečná zpráva slouží mimo jiné i jako vstup pro následující službu DRP GDPR.

Detailní rozbor problematiky GDPR a spojených rizik v subjektu

Služba DRP GDPR představuje službu, v rámci které globálně přes celý subjekt bude proveden detailní rozbor na rizika a příležitosti plynoucí přímo či nepřímo z GDPR. Realizace služby bude vyžadovat součinnost a detailní informace ze strany dotčeného subjektu.

Služba je postavena na provedení rozboru subjektu, tj. jeho core a follow-up businessu, prostředí, procesů, legislativy, zdrojů a především informací, které využívá ke svým činnostem. Tyto informace budou postupně získávány tak jak bude sběr dat probíhat.

Služba zajistí systematický rozbor jednotlivých oblastí a to směrem odspodu nahoru. Díky tomu bude zajištěno, že žádná část, kde dochází ke zpracování nebo jen průchodu , nebude opomenuta.

Pro realizaci činnosti rozboru, detailního vyhodnocení, vytvoření seznamu rizik a dalších s tím spojených činností budou k dispozici naši odborníci pro oblasti: IT, PROCESŮ, BEZPEČNOSTI, BUSINESSU a PRÁVA. Tento tým na začátku připraví šablony pro sběr informací, dále bude dohlížet a metodicky pomáhat při získávání informací, které bude plně v gesci týmu na straně subjektu. Kvalita výstupů a doba realizace služby je přímo závislá na komplexnosti a úplnosti informací v čase, které subjekt pro samotnou realizaci rozboru poskytne. Důležitým aspektem ovlivňující výše uvedenou kvalitu a dobu realizace je i zapojení partnerů a poskytovatelů služeb, technologií nebo prostředí, kteří jsou ve zpracování primárně či jen okrajově účastni.

Finální materiály vytvořené na základě subjektem poskytnutých informací, které byly zpracovány a vyhodnoceny odborníky realizujícími danou službu, budou popisovat stav v jakém se subjekt nachází z hlediska rizik a příležitostí plynoucích přímo či nepřímo z GDPR.

Tento stav může být značně ovlivněn kvalitou a úplností  poskytnutých informací od subjektu a jeho součinností při zpracování. Materiály a z nich plynoucí závěry budou poplatny době, kdy došlo k jejich vytvoření. S ohledem na skutečnost, že každým dnem přibývají nová a nová rizika je nutné mít na paměti, že otázka ošetření rizik je nikdy nekončícím procesem.

 

 

Zpracování osobních údajů je dynamickým procesem, který prochází vývojem. Nelze se proto spoléhat na to, že když bylo nařízení Evropského parlamentu a Rady (EU) č. 2016/679 implementováno, zpracování osobních údajů bude již trvale probíhat v souladu s tímto nařízením. Okolnosti zpracování osobních údajů nezůstávají neměnné a jednotlivé procesy je třeba posuzovat opakovaně.

Audit zpracování osobních údajů ukáže, jak správce osobních údajů plní své povinnosti zakotvené v nařízení Evropského parlamentu a Rady (EU) č. 2016/679. V rámci audit jsou vytipovány oblasti, v nichž došlo ke změnám a které proto vyžadují pozornost.

 

Audit (soukromý sektor)

Audit zpracování osobních údajů nezávislým subjektem má mnoho pozitivních přínosů:

  • je to signál všem obchodním partnerům, klientům, zaměstnancům apod., že ochrana osobních údajů je na vysoké úrovni a data jsou v bezpečí,
  • posílíte image a kredibilitu své společnosti,
  • odstraníte nebo alespoň výrazně snížíte rizika v této oblasti, snížíte riziko ztráty dat,
  • ušetříte finanční prostředky, které by musely být vynaložené v souvislosti s řešením bezpečnostních incidentů a pokutami,
  • zefektivníte procesy ve vaší společnosti.

Součástí auditu:

  • zhodnocení zpracovávaných osobních údajů, provedení obhajoby účelů zpracování, posouzení skartačních lhůt apod.
  • zhodnocení přístupů k osobním údajům (jak elektronické, tak papírové formě),
  • ověření ochrany osobních údajů u externích zpracovatelů osobních údajů a dodavatelů služeb s přístupem k osobním údajům,
  • kontrola záznamů o činnostech,
  • kontrola smluvní dokumentace,
  • analýza rizik,
  • LIA, PRE DPIA, DPIA,
  • kontrola zabezpečení osobních údajů,
  • zrevidování souhlasů se zpracováním osobních údajů (Nasazení/použití, ukládání a správa, nadbytečnost užívání),
  • kontrola webových stránek,
  • kontrola a aktualizace vnitřní dokumentace,
  • životní cyklus IT,
  • úprava Informačního memoranda podle aktuálního stavu zpracování,
  • proškolení zaměstnanců,
  • kontrola nastavení kamerových systémů,
  • kontrola docházkových systémů,
  • nastavení zveřejňování osobních údajů prostřednictví sociálních sítí,
  • nastavení pravidel pro provádění marketingových a PR akcí.


Audit (veřejný sektor)

Audit zpracování osobních údajů nezávislým subjektem má mnoho pozitivních přínosů:

  • je to signál všem občanům, zastupitelům, zaměstnancům apod., že ochrana osobních údajů je na vysoké úrovni a data jsou v bezpečí,
  • posílíte svou image zodpovědného správce,
  • odstraníte nebo alespoň výrazně snížíte rizika v této oblasti, snížíte riziko ztráty dat,
  • ušetříte finanční prostředky, které by musely být vynaložené v souvislosti s řešením bezpečnostních incidentů,
  • zefektivníte procesy na vašem úřadu či škole.

Součástí auditu:

  • zhodnocení zpracovávaných osobních údajů, provedení obhajoby účelů zpracování, posouzení skartačních lhůt apod.
  • zhodnocení přístupů k osobním údajům (jak elektronické, tak papírové formě),
  • ověření ochrany osobních údajů u externích zpracovatelů osobních údajů a dodavatelů služeb s přístupem k osobním údajům,
  • kontrola záznamů o činnostech,
  • kontrola smluvní dokumentace,
  • analýza rizik,
  • LIA, PRE DPIA, DPIA,
  • kontrola zabezpečení osobních údajů,
  • zrevidování souhlasů se zpracováním osobních údajů (Nasazení/použití, ukládání a správa, nadbytečnost užívání),
  • kontrola webových stránek,
  • kontrola a aktualizace vnitřní dokumentace,
  • životní cyklus IT,
  • úprava Informačního memoranda podle aktuálního stavu zpracování,
  • proškolení zaměstnanců,
  • kontrola nastavení kamerových systémů,
  • kontrola docházkových systémů,
  • kontrola zveřejňování osobních údajů na úřední desce, v registru smluv apod.
  • kontrola nastavení pravidel předávání osobních údajů zastupitelů, členům výborů a komisí,
  • nastavení zveřejňování osobních údajů prostřednictví sociálních sítí.