Implementace GDPR pro Českou obchodní inspekci

Implementace GDPR

2018

Náš klient

Česká obchodní inspekce kontroluje fyzické a právnické osoby, které nabízejí, prodávají, dodávají nebo uvádějí na trh výrobky a nabízejí nebo poskytují služby.

Potřeba klienta

• Inspekce požadovala provedení Analýzy GDPR
• Vytvoření návrhu opatření pro zajištění bezpečnosti osobních údajů
• Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy

Jak projekt probíhal

Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR.

Blok A: Analýza dopadů

• Základní audit řízení IT
• Datová inventura
• Audit zabezpečení

Blok B: Návrh opatření

• Technické opatření
• Organizační opatření
• Smluvní opatření

Blok C: Realizace

• Schválení opatření
• Realizace opatření

Na schůzce jsme vysvětlili, že největší náročnost na klienta bude v oblasti datové inventury. V každé agendě je nutno probrat jaké osobní údaje klient zpracovává a určit důvod. Garantům se představil průběh schůzek, i s tím, že již přijdeme se základními procesy v jejich agendách.

Na schůzkách s garanty jsme prováděli datovou inventuru, kterou jsme evidovali v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů - tzn. zda jsou zpracovávány v elektronické podobě (a v jakém systému) anebo zda jsou zpracovávány v papírové podobě (kde se nacházejí a jak je daná oblast zabezpečena).

Dalším krokem byl audit stávajícího zabezpečení, a to jak fyzických dat (papírových) tak i elektronických dat.

V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme pasáže do smluvních ujednání.

V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.

Časová osa projektu

• 02/2018 – výběrové řízení
• 03/2018 – podpis smlouvy
• 04/2018 – start projektu
• 05/2018 – datová inventura
• 06/2018 – předání hlavních výstupů
• 07/2018 – školení a uzavření projektu

„Blue Partners mě potěšili tím, že namísto vyplňování dotazníku od garantů proběhl rychlý a efektivní meeting s garanty, kde v rámci schůzek se ihned zapisovaly informace do systému EFFIT.“

Ing. Michal Lojda, garant projektu za ČOI

Náročnost pro klienta

• Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
• Deset hodin pro IT a bezpečnostního specialistu
• Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
• 2 hodiny vedoucích pracovníků na představení výstupů a školení
• 2 hodiny zaměstnanců na eLearningové školení GDPR a na provedení výstupního testu

Klíčové přínosy očima klienta

• Meetingy s garanty agend namísto zaslání dotazníku
• Komplexita navrhovaného řešení
• Umění vypíchnout důležité aspekty GDPR a jeho aplikace do praxe

Výstupy v rámci analýzy GDPR:

• Pro případnou kontrolu dozorového úřadu:
  • Záznamy o činnostech zpracování
  • Dokument prokazující shodu s GDPR
  • Směrnice na ochranu osobních údajů
  • Školení zaměstnanců – certifikáty
• Interní dokumenty ČOI:
  • Analýza dopadů GDPR na organizaci
  • Detailní informace o zpracování osobních informací v rámci ČOI
  • GAP analýza
  • Riziková analýza
  • Přehled doporučených opatření