Příprava organizace na komplexní naplnění požadavků Nařízení GDPR

Naším cílem je Vás na účinnost Nařízení GDPR připravit.

Na rozdíl od dodavatelů technologií pro zajištění kybernetické bezpečnosti je naše nabídka zaměřena především na všechny kroky, které Nařízení GDPR vyžaduje a které musí proběhnout PŘED tím, než bude rozhodnuto o vhodném technologickém řešení ochrany osobních údajů jako takových (právě proto, aby zvolená technologická opatření byla adekvátní).

Zároveň nám dovolte Vás upozornit, že nařízení GDPR se vztahuje na všechny organizace, tedy i na Vaše zřizované a zakládané organizace (včetně škol). Dále se na Vaši organizaci GDPR vztahuje i v případě, pokud služby provozu ICT zajišťujete outsourcingem. V neposlední řadě má GDPR dopad do všech forem zpracování osobních údajů, tedy i do forem „šedé IT“ mimo agendové informační systémy (např. dílčí evidence zaměstnanců organizace vedené v MS Excel, MS Word apod., ale i na evidence vedené v papírové formě).

Je třeba si uvědomit, že Nařízení GDPR má trvalý dopad do procesů organizace, zavedení jeho požadavků je jen první krok, na který navazuje trvalý proces vyhodnocování a rozvoje procesů ochrany osobních údajů.

V neposlední řadě je potřeba také zmínit v médiích dobře zveřejněný fakt, že nedodržení Nařízení GDPR s sebou nese dosud bezprecedentní pokuty ve výši až 20 milionů Euro.

Nařízení GDPR upravuje zpracování osobních údajů fyzických osob (nově upravuje pravidla stanovená v současné době zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů). GDPR zavádí celou řadu nových práv a povinností, a také zpřesňuje či zpřísňuje stávající pravidla. Řídit se jím musí všichni správci a zpracovatelé osobních údajů ze všech odvětví, včetně veřejné správy. GDPR je přímo aplikovatelné, tedy není třeba další domácí zákon ani prováděcí předpisy nebo výkladová stanoviska.

Nařízení GDPR musí být plně zavedeno do 25. května 2018 v celém svém rozsahu v celé EU.

Organizace veřejné správy (jako správce osobních údajů) je povinna zajistit soulad s GDPR a musí být schopna jej prokázat. K tomu má přijmout vhodná technická a organizační opatření.

Předmětem nabízených služeb je příprava organizace na platnost GDPR, tedy provedení analýzy stávajícího stavu sběru, zpracování a nakládání s osobními údaji a návrh vhodných technických a organizačních opatření k dosažení a doložení souladu s GDPR:

Analytická etapa:

  • Analýza procesů správy, zpracování a nakládání s osobními údaji
  • Analýza rozsahu a potřebnosti spravovaných osobních údajů ve vazbě na vykonávané agendy
  • Analýza legislativních oprávnění pro nakládání s osobními údaji při výkonu svěřených agend
  • Analýza stávajících organizačních opatření k zajištění ochrany osobních údajů
  • Analýza stávajících technických opatření k zajištění ochrany osobních údajů
  • Analýza stávající dokumentace k ochraně osobních údajů (jak pro elektronické, tak listinné zpracování)
  • Analýza smluvních vztahů s dodavateli služeb ICT (zpracovatel osobních údajů)

Návrhová etapa:

  • Zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR
  • Zhodnocení stávajících opatření (organizačních a technických) a jejich dostatečnosti ve vztahu k požadavkům GDPR
  • Zhodnocení stávající dokumentace (její úplnosti) nezbytné k ochraně osobních údajů a prokázání shody s požadavky dle GDPR
  • Provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů
  • Návrh organizačních a technických opatření ke snížení rizik (prevence, detekce, zranitelnost a schopnost zvládat incidenty)

Výstupem nabízených služeb:

  • Záznamy o činnostech zpracování
  • Posouzení vlivu na ochranu osobních údajů
  • Návrh opatření – seznam opatření, harmonogram, priority, náklady, přínosy, rizika, provázanost
  • Koncepce nakládání s osobními údaji (včetně procesů zvládání incidentů)
  • Doporučení vhodného organizačního začlenění pozice Pověřenec pro ochranu osobních údajů a popis jeho pracovní pozice
  • Školení všech osob podílejících se na zpracování osobních údajů a jejich ochraně

Všechny výše uvedené činnosti a jejich výstupy podléhají schválení jmenovaným odpovědným pracovníkem organizace (Zadavatele).

Nad rámec výše uvedených služeb je společnost Equica, a.s. připravena následně zajistit výkon role Pověřenec pro ochranu osobních údajů (DPO).

Harmonogram poskytnutých služeb
Společnost Equica, a.s. nabízí provedení nabízených služeb do 4 měsíců od podpisu smlouvy.

Záruky za poskytnuté služby
Společnost Equica, a.s. je držitelem platného pojištění odpovědnosti za škody způsobené třetí osobě výkonem činnosti ve výši 50.000.000,- Kč.

Kontaktujte nás: Eva Lipovská, Tel: 724 101 222