Analýza dopadů GDPR pro státní podnik Povodí Labe
Publikováno: 6.9.2017
V PLA jsme prověřili připravenost na GDPR. Udělali jsme datovou inventuru, rizikovou analýzu na únik osobních údajů, a připravili nový interní předpis a vyškolili zaměstnance formou eLearningu.
Analýza dopadů GDPR
2017
Náš klient
Povodí Labe, státní podnik (PLA) zajišťuje výkon správy povodí, kterou se rozumí správa významných vodních toků, činnosti spojené se zjišťováním a hodnocením stavu povrchových a podzemních vod v oblasti povodí Horního a středního Labe a dále na vlastním toku Labe pod soutokem s Vltavou po státní hranici, a další činnosti. Organizačně je PLA členěno na ředitelství a 3 závody s celkovým počtem zaměstnanců 900.
Potřeba klienta
S ohledem na Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů požadoval klient provést analýzu dopadů GDPR na státní podnik. V rámci analýzy bylo požadováno:
- Analýza aktuálního stavu ochrany osobních údajů.
- Identifikace zpracování osobních údajů dle GDPR.
- Zpracování interních předpisů v oblasti ochrany osobních údajů.
- Provedení školení osob odpovědných za ochranu osobních údajů.
Jak analýza proběhla
- Na úvodní schůzce jsme klienta seznámili s nařízením GDPR, s průběhem auditu, a časovými nároky na zaměstnance PLA.
- Klient předal požadovanou dokumentaci (vnitřní předpisy, seznam systémů a aplikací)
- Proběhlo několik řízených pohovorů k realizaci datové inventury (data a fyzické dokumenty)
- Zpracovali jsme a předložili draft vnitřního předpisu.
- Ve spolupráci s klientem jsme vypracovali rizikovou analýza uniku osobních údajů.
- Byl spuštěn e-learningový kurz pro seznámení odpovědných pracovníků s GDPR a s novými procesy ochrany osobních údajů v PLA.
- Bylo provedeno šetření fyzického zabezpečení osobních údajů na místě
- Předložili jsme auditní zprávu a záznamy o zpracování osobních údajů
- Proběhla diskuse, zpráva byla upravena a doplněna.
- Audit byl hotový za 2 měsíce. Dobu plnění ovlivnilo vytížení odpovědných pracovníků PLA.
Náročnost pro klienta
- Požadované znalosti kontaktních osob:
- znalost IT prostředí
- znalost zpracování v jednotlivých systémech (garanti)
- znalost organizačních předpisů a uspořádání podniku
- Čas na pohovory (cca 60 hodin v součtu za všechny zúčastněné pracovníky při řízených pohovorech).
- Čas na shromáždění požadované dokumentace (jednotky člověkohodin).
- Čas na doplnění požadovaných informací při datovém auditu (cca 10ky člověkohodin).
Klíčové přínosy očima klienta
- Znalost nařízení GDPR, včetně vhodné aplikace do prostředí podniku.
- Schopnost se rychle zorientovat v podnikových procesech (analytika).
- Přehledně vypracovaný přehled, jak je dosaženo souladu s jednotlivými kapitolami Nařízení GDPR.
- Vypracování interního předpisu pro ochranu osobních údajů.