Správci a zpracovatelé budou povinni zajistit soulad zpracování s GDPR a tento soulad dokumentovat a kdykoli prokázat. Řádná evidence a dokumentace zpracování vč. dostatečné předpisové základny tak nabývá na významu. Rozšiřují se požadavky na plnění informační povinnosti vůči dotčeným fyzickým osobám, informace je třeba předávat jasným a srozumitelným jazykem. GDPR výrazně zpřísňuje podmínky udělení souhlasu se zpracováním osobních údajů tam, kde je zpracování osobních údajů založeno na souhlasu (např. věrnostní klub), proto bude třeba upravit stávající dokumentaci, přizpůsobit rozsah zpracování osobních údajů, popř. získat nové souhlasy od osob, jejichž údaje jsou zpracovávány.

Jelikož nařízení GDPR zavádí celou řadu nových práv jednotlivců, popř. stávající práva konkretizuje, budou muset správci umožnit jejich řádný výkon. Z tohoto důvodu bude nezbytné nejen zajistit plnou evidenci prováděných zpracování a zpracovávaných osobních údajů, ale též těmto požadavkům přizpůsobit existující procesy a informační systémy.

Nařízení GDPR zpřísňuje podmínky pro výběr zpracovatele a stanoví poměrně extenzivní požadavky na obsah zpracovatelské smlouvy. Jak správci, tak zpracovatelé tedy budou muset tyto požadavky promítnout do smluv týkajících se zpracování osobních údajů.

Popis projektu a jeho etap

Nabízíme Vám komplexní, profesionální a nákladově efektivní audit ochrany osobních údajů, jehož cílem je identifikovat veškeré oblasti zpracování osobních údajů společnosti a posoudit soulad s novým nařízením. Díky tomu si budete moci být jistí, že v prostředí Vaší společnosti z hlediska ochrany osobních údajů nezůstávají žádné nepokryté oblasti, které by představovaly skryté právní riziko.

Od projektu implementace nařízení GDPR ve Vaší společnosti můžete očekávat zejména revizi a úpravy vzorových dokumentů, procesů, IT systémů a compliance systému.

Ve stručnosti se projekt implementace nařízení GDPR skládá z následujících etap:
  • Školení pracovníků – v této etapě připravíme sérii tematicky zaměřených workshopů jejich cílem je pro různé skupiny pracovníků (IT a bezpečnostní specialisté, právní specialisté, business pracovníci) definovat potřebnou součinnost, identifikovat klíčové partnery projektu, seznámit tyto pracovníky s postupem projektu a cíli pro danou skupinu pracovníků. Jednotlivá školení budou odlišena jak obsahem, tak osobou přenášejícího tak, aby naši přednášející hovořili stejným jazykem, jako cíloví pracovníci.
  • Mapování stávajících zpracování – v této etapě zajistíme mapování jednotlivých procesů, datových toků a zpracování probíhajících v rámci Vaší organizace tak, aby bylo možno realizovat následující etapy. V rámci této etapy též provedeme identifikaci účelů, pro které budou jednotlivá zpracování prováděna, a posouzení právních základů pro tato zpracování. Dále s Vaší pomocí vydefinujeme potřebnou archivační dobu jednotlivých datasetů osobních údajů a informace o tom, zda daný datový set může být předmětem práva na přenositelnost nebo námitku.
  • GAP analýza a dopadová analýza – v této etapě posoudíme soulad jednotlivých aktivit s GDPR a, kde to bude relevantní, též s návrhem nařízení ePrivacy. Tam, kde identifikujeme nesoulad, identifikujeme dopady a navrhneme řešení (úprava dokumentu, dodatečné informování, návrh procesních a IT opatření). Výstupy této etapy Vám osobně představíme a společně navrhneme nejvhodnější způsob řešení indikovaných požadavků.
  • Příprava a implementace změn – v této etapě budou připraveny a implementovány odsouhlasené změny vzorových interních a externích dokumentů. I zde Vám veškeré výstupy představíme a případně upravíme dle Vašich připomínek. V závěru etapy porovnáme přehled doporučovaných opatření s rozsahem implementace a vyslovíme závěr o míře souladu Vaší organizace s vybranou legislativou.

Nad rámec výše uvedeného Vám nabízíme také součinnost při posuzování dalších otázek souvisejících s implementací GDPR, a to dle Vašich konkrétních požadavků.