Implementace GDPR

2018

Náš klient

Česká obchodní inspekce kontroluje fyzické a právnické osoby, které nabízejí, prodávají, dodávají nebo uvádějí na trh výrobky a nabízejí nebo poskytují služby.

Potřeba klienta

  • Inspekce požadovala provedení Analýzy GDPR
  • Vytvoření návrhu opatření pro zajištění bezpečnosti osobních údajů
  • Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy

Jak projekt probíhal

Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR.

Postup při naplnění GDPR

Blok A: Analýza dopadů

  • Základní audit řízení IT
  • Datová inventura
  • Audit zabezpečení

Blok B: Návrh opatření

  • Technické opatření
  • Organizační opatření
  • Smluvní opatření

Blok C: Realizace

  • Schválení opatření
  • Realizace opatření

Na schůzce jsme vysvětlili, že největší náročnost na klienta bude v oblasti datové inventury. V každé agendě je nutno probrat jaké osobní údaje klient zpracovává a určit důvod. Garantům se představil průběh schůzek, i s tím, že již přijdeme se základními procesy v jejich agendách.

Na schůzkách s garanty jsme prováděli datovou inventuru, kterou jsme evidovali v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů - tzn. zda jsou zpracovávány v elektronické podobě (a v jakém systému) anebo zda jsou zpracovávány v papírové podobě (kde se nacházejí a jak je daná oblast zabezpečena).

Dalším krokem byl audit stávajícího zabezpečení, a to jak fyzických dat (papírových) tak i elektronických dat.

V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme pasáže do smluvních ujednání.

V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.

Časová osa projektu

  • 02/2018 – výběrové řízení
  • 03/2018 – podpis smlouvy
  • 04/2018 – start projektu
  • 05/2018 – datová inventura
  • 06/2018 – předání hlavních výstupů
  • 07/2018 – školení a uzavření projektu

„Blue Partners mě potěšili tím, že namísto vyplňování dotazníku od garantů proběhl rychlý a efektivní meeting s garanty, kde v rámci schůzek se ihned zapisovaly informace do systému EFFIT.“

Ing. Michal Lojda, garant projektu za ČOI

Náročnost pro klienta

  • Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
  • Deset hodin pro IT a bezpečnostního specialistu
  • Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
  • 2 hodiny vedoucích pracovníků na představení výstupů a školení
  • 2 hodiny zaměstnanců na eLearningové školení GDPR a na provedení výstupního testu

Klíčové přínosy očima klienta

  • Meetingy s garanty agend namísto zaslání dotazníku
  • Komplexita navrhovaného řešení
  • Umění vypíchnout důležité aspekty GDPR a jeho aplikace do praxe

Výstupy v rámci analýzy GDPR:

  • Pro případnou kontrolu dozorového úřadu:
    • Záznamy o činnostech zpracování
    • Dokument prokazující shodu s GDPR
    • Směrnice na ochranu osobních údajů
    • Školení zaměstnanců – certifikáty
  • Interní dokumenty ČOI:
    • Analýza dopadů GDPR na organizaci
    • Detailní informace o zpracování osobních informací v rámci ČOI
    • GAP analýza
    • Riziková analýza
    • Přehled doporučených opatření