Analýza dopadů GDPR

2017

Náš klient

Povodí Labe, státní podnik (PLA) zajišťuje výkon správy povodí, kterou se rozumí správa významných vodních toků, činnosti spojené se zjišťováním a hodnocením stavu povrchových a podzemních vod v oblasti povodí Horního a středního Labe a dále na vlastním toku Labe pod soutokem s Vltavou po státní hranici, a další činnosti. Organizačně je PLA členěno na ředitelství a 3 závody s celkovým počtem zaměstnanců 900.

Potřeba klienta

S ohledem na Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů požadoval klient provést analýzu dopadů GDPR na státní podnik. V rámci analýzy bylo požadováno:

  • Analýza aktuálního stavu ochrany osobních údajů.
  • Identifikace zpracování osobních údajů dle GDPR.
  • Zpracování interních předpisů v oblasti ochrany osobních údajů.
  • Provedení školení osob odpovědných za ochranu osobních údajů.

Jak analýza proběhla

  • Na úvodní schůzce jsme klienta seznámili s nařízením GDPR, s průběhem auditu, a časovými nároky na zaměstnance PLA.
  • Klient předal požadovanou dokumentaci (vnitřní předpisy, seznam systémů a aplikací)
  • Proběhlo několik řízených pohovorů k realizaci datové inventury (data a fyzické dokumenty)
  • Zpracovali jsme a předložili draft vnitřního předpisu.
  • Ve spolupráci s klientem jsme vypracovali rizikovou analýza uniku osobních údajů.
  • Byl spuštěn e-learningový kurz pro seznámení odpovědných pracovníků s GDPR a s novými procesy ochrany osobních údajů v PLA.
  • Bylo provedeno šetření fyzického zabezpečení osobních údajů na místě
  • Předložili jsme auditní zprávu a záznamy o zpracování osobních údajů
  • Proběhla diskuse, zpráva byla upravena a doplněna.
  • Audit byl hotový za 2 měsíce. Dobu plnění ovlivnilo vytížení odpovědných pracovníků PLA.

Náročnost pro klienta

  • Požadované znalosti kontaktních osob:
    • znalost IT prostředí
    • znalost zpracování v jednotlivých systémech (garanti)
    • znalost organizačních předpisů a uspořádání podniku
  • Čas na pohovory (cca 60 hodin v součtu za všechny zúčastněné pracovníky při řízených pohovorech).
  • Čas na shromáždění požadované dokumentace (jednotky člověkohodin).
  • Čas na doplnění požadovaných informací při datovém auditu (cca 10ky člověkohodin).

Klíčové přínosy očima klienta

  • Znalost nařízení GDPR, včetně vhodné aplikace do prostředí podniku.
  • Schopnost se rychle zorientovat v podnikových procesech (analytika).
  • Přehledně vypracovaný přehled, jak je dosaženo souladu s jednotlivými kapitolami Nařízení GDPR.
  • Vypracování interního předpisu pro ochranu osobních údajů.