Analýza GDPR pro Českou obchodní inspekci
Publikováno: 22.8.2018
Provedli jsme Českou obchodní inspekci, jak zajistit shodu s nařízením GDPR. Datovou inventuru jsme zadávali do systému EFFIT, a proto byl průběh velmi rychlý.
Implementace GDPR
2018
Náš klient
Česká obchodní inspekce kontroluje fyzické a právnické osoby, které nabízejí, prodávají, dodávají nebo uvádějí na trh výrobky a nabízejí nebo poskytují služby.
Potřeba klienta
- Inspekce požadovala provedení Analýzy GDPR
- Vytvoření návrhu opatření pro zajištění bezpečnosti osobních údajů
- Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy
Jak projekt probíhal
Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR.
Blok A: Analýza dopadů
- Základní audit řízení IT
- Datová inventura
- Audit zabezpečení
Blok B: Návrh opatření
- Technické opatření
- Organizační opatření
- Smluvní opatření
Blok C: Realizace
- Schválení opatření
- Realizace opatření
Na schůzce jsme vysvětlili, že největší náročnost na klienta bude v oblasti datové inventury. V každé agendě je nutno probrat jaké osobní údaje klient zpracovává a určit důvod. Garantům se představil průběh schůzek, i s tím, že již přijdeme se základními procesy v jejich agendách.
Na schůzkách s garanty jsme prováděli datovou inventuru, kterou jsme evidovali v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů - tzn. zda jsou zpracovávány v elektronické podobě (a v jakém systému) anebo zda jsou zpracovávány v papírové podobě (kde se nacházejí a jak je daná oblast zabezpečena).
Dalším krokem byl audit stávajícího zabezpečení, a to jak fyzických dat (papírových) tak i elektronických dat.
V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme pasáže do smluvních ujednání.
V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.
Časová osa projektu
- 02/2018 – výběrové řízení
- 03/2018 – podpis smlouvy
- 04/2018 – start projektu
- 05/2018 – datová inventura
- 06/2018 – předání hlavních výstupů
- 07/2018 – školení a uzavření projektu
„Blue Partners mě potěšili tím, že namísto vyplňování dotazníku od garantů proběhl rychlý a efektivní meeting s garanty, kde v rámci schůzek se ihned zapisovaly informace do systému EFFIT.“
Ing. Michal Lojda, garant projektu za ČOI
Náročnost pro klienta
- Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
- Deset hodin pro IT a bezpečnostního specialistu
- Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
- 2 hodiny vedoucích pracovníků na představení výstupů a školení
- 2 hodiny zaměstnanců na eLearningové školení GDPR a na provedení výstupního testu
Klíčové přínosy očima klienta
- Meetingy s garanty agend namísto zaslání dotazníku
- Komplexita navrhovaného řešení
- Umění vypíchnout důležité aspekty GDPR a jeho aplikace do praxe
Výstupy v rámci analýzy GDPR:
- Pro případnou kontrolu dozorového úřadu:
- Záznamy o činnostech zpracování
- Dokument prokazující shodu s GDPR
- Směrnice na ochranu osobních údajů
- Školení zaměstnanců – certifikáty
- Interní dokumenty ČOI:
- Analýza dopadů GDPR na organizaci
- Detailní informace o zpracování osobních informací v rámci ČOI
- GAP analýza
- Riziková analýza
- Přehled doporučených opatření
