Copyright © 2017 by "Radek Benc" All Rights reserved
Systémy řízení podniku, organizační poradenství
ERBE konzult s.r.o.
GDPR
KROKY K ZAVEDENÍ POŽADAVKŮ OCHRANY OSOBNÍCH ÚDAJŮ
Obecného nařízení EU 2016/679 o ochraně osobních údajů (General Data Protection Regulation - GDPR).
K PROBLEMATICE
Každá organizace je povinna si ujasnit ve svém systému řízení podniku způsoby nakládání s osobními údaji.
Dle velikosti společnosti a rozsahu zpracovávaných agend se jednotlivá řešení mohou lišit.
Rozhodně nejsou ve většině případů nutná presentovaná opatření, charakteru:
* nutná samostatná kancelář pro zpracovávání osobních údajů (mzdovou účetní, jiné agendy)
* nutné oddělené technické vybavení (tiskárny, počítače mimo počítačovou síť atd..)
a jiné pikantní výklady.
NÁVRH ŘEŠENÍ
Postup by měl být stále stejný dle níže uvedeného schématu v rámci celé společnosti
KROKY K ZAVEDENÍ POŽADAVKŮ OCHRANY OSOBNÍCH ÚDAJŮ
Obecného nařízení EU 2016/679 o ochraně osobních údajů (General Data Protection Regulation - GDPR).
K PROBLEMATICE
Každá organizace je povinna si ujasnit ve svém systému řízení podniku způsoby nakládání s osobními údaji.
Dle velikosti společnosti a rozsahu zpracovávaných agend se jednotlivá řešení mohou lišit.
Rozhodně nejsou ve většině případů nutná presentovaná opatření, charakteru:
* nutná samostatná kancelář pro zpracovávání osobních údajů (mzdovou účetní, jiné agendy)
* nutné oddělené technické vybavení (tiskárny, počítače mimo počítačovou síť atd..)
a jiné pikantní výklady.
NÁVRH ŘEŠENÍ
Postup by měl být stále stejný dle níže uvedeného schématu v rámci celé společnosti
1. Zmapování a popis všech firemních procesů, při nichž podnik nakládá s osobními údaji
* procesy
* záznamy
* nosiče dat
* místa pro ukládání (písemná, elektronická)
* oprávněné osoby pro nakládání s daty (písemné, elektronické)
* ochrana dat na nosičích - písemné povahy
* ochrana dat na nosičích - elektronické povahy, přístupy atd.
* zpracovávané osobní údaje a jejich kategorie
Krok je prováděn dodavatelem a společností na základě konkrétních záznamů podniku, výstupem je konkrétní analýza obsahu s učením záznamu/nosiče/míst uchovávání / odpovědností atd…
2. Zpracování GAP analýzy (porovnávající stávající a požadovaný stav ochrany osobních údajů) a risk analýzy z pohledu bezpečnosti zpracovávaných osobních údajů v současném stavu
Tento krok je prováděn dodavatelem dle zmapovaných firemních procesů.
Zpracování výstupů z analýzy formou Zprávy z analýzy firemních procesů, identifikace záznamů na jednotlivou provozovnu
3. Zavedení požadavků nezbytných pro soulad s požadavky na ochranu osobních údajů
Tento krok je prováděn dle výsledků analýzy dodavatelem ve spolupráci se zástupcem společnosti, který musí být určen pro organizaci a zavedení pravidel ochrany osobních údajů (není pověřencem ve smyslu zákona).
Definice povinností společnosti jako správce / zpracovatele
* vyhodnocení povinností společnosti (definování záznamů o činnostech zpracování, nutnost zřízení pověřence pro ochranu osobních údajů)
* určení rozsahu zpracovávaných osobních údajů (zařazení údajů do kategorií)
* postup pro splnění požadavků ochrany osobních údajů, zpracování harmonogramu pro zavedení pravidel GDPR
Návrh změn v zabezpečení dat
* písemné nosiče
* elektronické nosiče, včetně úprav IT systémů
Určení oprávnění osob
* definice, míra oprávnění přístupu, nakládání, odpovědnosti za vyhledávání, ochranu, likvidací (výmaz)
3.1. Úpravy dokumentace a záznamů
* směrnice a postupy
* smlouvy s dodavateli, odběrateli
* zaměstnanci
* osoby, kterým jsou předávány osobní údaje ke zpracování
* souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace jsou zpracovávány.
* smluvní souhlasy (pravidla pro nakládání) od externích zpracovatelů, správců osobních údajů, kteří nakládají nebo se podílejí na nakládání s osobními údaji (údržba dat, správci sítí, tvůrci programů - vzdálené přístupy atd.).
Formulaci je vhodné konzultovat s právním poradcem, aby zcela vyhověly svému účelu - není součástí této nabídky.
Určení oprávnění osob, rozsah školení
* určení nezbytného absolvování školení zaměstnanců v nakládání s osobními údaji
4. Zavedení definovaných organizačních a bezpečnostních opatření - odběratelem
Tento krok provádí v rámci své organizace odběratel na základě bodů 1, 2, 3 dle potřeby za podpory dodavatele.
Souhlasy podle GDPR lze začít shromažďovat již v době zpracování analýzy.
Mezi nejzásadnější kroky patří odpovídající zabezpečení dat proti úniku, změny v rozsahu nakládání (všechny potřebné záznamy) dle doporučení. Bude třeba vzít v úvahu:
* písemné nosiče (zpracovávané v podniku)
* písemné nosiče (přepravované mimo podnik)
* elektronické nosiče (zpracovávané v podniku)
* elektronické nosiče (zpracovávané, užívané mimo podniku), notebooky, USB, záložní média
Dále například určit způsob likvidace nevyhovujících nosičů, média i zálohy s daty, k jejichž uchovávání nebudete mít oprávnění.
5. Dokumentování - plnění požadavků GDPR, organizační směrnice, závěrečná zpráva
Zpracování organizační směrnice plnění požadavků GDPR dle skutečně implementovaných kroků
* specifikace zpracovávaných údajů
* rozsah povinností, plnění na organizaci
* odpovědnosti a kompetence pracovníků
* postupy pro nakládání s údaji (vyhledávání, ochrana, výmaz, likvidace/skartace)
6. Školení personálu, plnění požadavků (v místě provozovny odběratele)
* procesy
* záznamy
* nosiče dat
* místa pro ukládání (písemná, elektronická)
* oprávněné osoby pro nakládání s daty (písemné, elektronické)
* ochrana dat na nosičích - písemné povahy
* ochrana dat na nosičích - elektronické povahy, přístupy atd.
* zpracovávané osobní údaje a jejich kategorie
Krok je prováděn dodavatelem a společností na základě konkrétních záznamů podniku, výstupem je konkrétní analýza obsahu s učením záznamu/nosiče/míst uchovávání / odpovědností atd…
2. Zpracování GAP analýzy (porovnávající stávající a požadovaný stav ochrany osobních údajů) a risk analýzy z pohledu bezpečnosti zpracovávaných osobních údajů v současném stavu
Tento krok je prováděn dodavatelem dle zmapovaných firemních procesů.
Zpracování výstupů z analýzy formou Zprávy z analýzy firemních procesů, identifikace záznamů na jednotlivou provozovnu
3. Zavedení požadavků nezbytných pro soulad s požadavky na ochranu osobních údajů
Tento krok je prováděn dle výsledků analýzy dodavatelem ve spolupráci se zástupcem společnosti, který musí být určen pro organizaci a zavedení pravidel ochrany osobních údajů (není pověřencem ve smyslu zákona).
Definice povinností společnosti jako správce / zpracovatele
* vyhodnocení povinností společnosti (definování záznamů o činnostech zpracování, nutnost zřízení pověřence pro ochranu osobních údajů)
* určení rozsahu zpracovávaných osobních údajů (zařazení údajů do kategorií)
* postup pro splnění požadavků ochrany osobních údajů, zpracování harmonogramu pro zavedení pravidel GDPR
Návrh změn v zabezpečení dat
* písemné nosiče
* elektronické nosiče, včetně úprav IT systémů
Určení oprávnění osob
* definice, míra oprávnění přístupu, nakládání, odpovědnosti za vyhledávání, ochranu, likvidací (výmaz)
3.1. Úpravy dokumentace a záznamů
* směrnice a postupy
* smlouvy s dodavateli, odběrateli
* zaměstnanci
* osoby, kterým jsou předávány osobní údaje ke zpracování
* souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace jsou zpracovávány.
* smluvní souhlasy (pravidla pro nakládání) od externích zpracovatelů, správců osobních údajů, kteří nakládají nebo se podílejí na nakládání s osobními údaji (údržba dat, správci sítí, tvůrci programů - vzdálené přístupy atd.).
Formulaci je vhodné konzultovat s právním poradcem, aby zcela vyhověly svému účelu - není součástí této nabídky.
Určení oprávnění osob, rozsah školení
* určení nezbytného absolvování školení zaměstnanců v nakládání s osobními údaji
4. Zavedení definovaných organizačních a bezpečnostních opatření - odběratelem
Tento krok provádí v rámci své organizace odběratel na základě bodů 1, 2, 3 dle potřeby za podpory dodavatele.
Souhlasy podle GDPR lze začít shromažďovat již v době zpracování analýzy.
Mezi nejzásadnější kroky patří odpovídající zabezpečení dat proti úniku, změny v rozsahu nakládání (všechny potřebné záznamy) dle doporučení. Bude třeba vzít v úvahu:
* písemné nosiče (zpracovávané v podniku)
* písemné nosiče (přepravované mimo podnik)
* elektronické nosiče (zpracovávané v podniku)
* elektronické nosiče (zpracovávané, užívané mimo podniku), notebooky, USB, záložní média
Dále například určit způsob likvidace nevyhovujících nosičů, média i zálohy s daty, k jejichž uchovávání nebudete mít oprávnění.
5. Dokumentování - plnění požadavků GDPR, organizační směrnice, závěrečná zpráva
Zpracování organizační směrnice plnění požadavků GDPR dle skutečně implementovaných kroků
* specifikace zpracovávaných údajů
* rozsah povinností, plnění na organizaci
* odpovědnosti a kompetence pracovníků
* postupy pro nakládání s údaji (vyhledávání, ochrana, výmaz, likvidace/skartace)
6. Školení personálu, plnění požadavků (v místě provozovny odběratele)
ANALÝZA RIZIK
Předcházení rizik, sankčních postihů
• jednorázové analýzy rizik a sankčních postihů v systémech řízení kvality, ekologie a BOZP
• provedení přezkoumání systému řízení kvality + zpracování zprávy
• provedení environmentálního přezkoumání + zpracování zprávy
• provedení přezkoumání v rámci BOZP + zpracování zprávy
Zpracování dokumentace související se zákonnou legislativou
• odpadové hospodářství (zákon č. 154/2010 Sb. a navazující předpisy)
• zákon o vodách (zákon č. 273/2010 Sb. a navazující předpisy)
• zákon o ovzduší (zákon č. 172/2010 Sb. a navazující předpisy)
• prevence závažných havárií (zákon č. 224/2015 Sb. a navazující předpisy)
• chemické látky a přípravky - NCHLP (zákon č. 356/2003 Sb. a navazující předpisy)
• předcházení ekologické újmě a o její náprava (zákon č. 167/2008 Sb. - o předcházení ekologické újmě a o její nápravě v platném znění), ve znění zákona č. 227/2009 Sb., o integrované prevenci a omezování znečištění, o integrovaném registru znečištění
• stavebnictví a územní plánování
Předcházení rizik, sankčních postihů
• jednorázové analýzy rizik a sankčních postihů v systémech řízení kvality, ekologie a BOZP
• provedení přezkoumání systému řízení kvality + zpracování zprávy
• provedení environmentálního přezkoumání + zpracování zprávy
• provedení přezkoumání v rámci BOZP + zpracování zprávy
Zpracování dokumentace související se zákonnou legislativou
• odpadové hospodářství (zákon č. 154/2010 Sb. a navazující předpisy)
• zákon o vodách (zákon č. 273/2010 Sb. a navazující předpisy)
• zákon o ovzduší (zákon č. 172/2010 Sb. a navazující předpisy)
• prevence závažných havárií (zákon č. 224/2015 Sb. a navazující předpisy)
• chemické látky a přípravky - NCHLP (zákon č. 356/2003 Sb. a navazující předpisy)
• předcházení ekologické újmě a o její náprava (zákon č. 167/2008 Sb. - o předcházení ekologické újmě a o její nápravě v platném znění), ve znění zákona č. 227/2009 Sb., o integrované prevenci a omezování znečištění, o integrovaném registru znečištění
• stavebnictví a územní plánování