Povodí Labe, státní podnik

V PLA jsme prověřili připravenost na GDPR. Udělali jsme datovou inventuru, rizikovou analýzu na únik osobních údajů, a připravili nový interní předpis a vyškolili zaměstnance formou eLearningu.
  1. < Jiné příklady z praxe

Analýza dopadů GDPR

2017

Náš klient

Povodí Labe, státní podnik (PLA) zajišťuje výkon správy povodí, kterou se rozumí správa významných vodních toků, činnosti spojené se zjišťováním a hodnocením stavu povrchových a podzemních vod v oblasti povodí Horního a středního Labe a dále na vlastním toku Labe pod soutokem s Vltavou po státní hranici, a další činnosti. Organizačně je PLA členěno na ředitelství a 3 závody s celkovým počtem zaměstnanců 900.

Potřeba klienta

S ohledem na Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů požadoval klient provést analýzu dopadů GDPR na státní podnik. V rámci analýzy bylo požadováno:

  • Analýza aktuálního stavu ochrany osobních údajů.
  • Identifikace zpracování osobních údajů dle GDPR.
  • Zpracování interních předpisů v oblasti ochrany osobních údajů.
  • Provedení školení osob odpovědných za ochranu osobních údajů.

Jak analýza proběhla

  • Na úvodní schůzce jsme klienta seznámili s nařízením GDPR, s průběhem auditu, a časovými nároky na zaměstnance PLA.
  • Klient předal požadovanou dokumentaci (vnitřní předpisy, seznam systémů a aplikací)
  • Proběhlo několik řízených pohovorů k realizaci datové inventury (data a fyzické dokumenty)
  • Zpracovali jsme a předložili draft vnitřního předpisu.
  • Ve spolupráci s klientem jsme vypracovali rizikovou analýza uniku osobních údajů.
  • Byl spuštěn e-learningový kurz pro seznámení odpovědných pracovníků s GDPR a s novými procesy ochrany osobních údajů v PLA.
  • Bylo provedeno šetření fyzického zabezpečení osobních údajů na místě
  • Předložili jsme auditní zprávu a záznamy o zpracování osobních údajů
  • Proběhla diskuse, zpráva byla upravena a doplněna.
  • Audit byl hotový za 2 měsíce. Dobu plnění ovlivnilo vytížení odpovědných pracovníků PLA.

Náročnost pro klienta

  • Požadované znalosti kontaktních osob:
    • znalost IT prostředí
    • znalost zpracování v jednotlivých systémech (garanti)
    • znalost organizačních předpisů a uspořádání podniku
  • Čas na pohovory (cca 60 hodin v součtu za všechny zúčastněné pracovníky  při řízených pohovorech).
  • Čas na shromáždění požadované dokumentace (jednotky člověkohodin).
  • Čas na doplnění požadovaných informací při datovém auditu (cca 10ky člověkohodin).

Klíčové přínosy očima klienta

  • Znalost nařízení GDPR, včetně vhodné aplikace do prostředí podniku.
  • Schopnost se rychle zorientovat v podnikových procesech (analytika).
  • Přehledně vypracovaný přehled, jak je dosaženo souladu s jednotlivými kapitolami Nařízení GDPR.
  • Vypracování interního předpisu pro ochranu osobních údajů.

Řešené potřeby

Související služby

Splnění podmínek GDPR | Bezpečnost IT

Provedeme vás problematikou evropského nařízení na ochranu osobních dat občanů, ať jste v jakémkoli stavu jeho plnění. GDPR řešíme tak, abychom vám ušetřili čas (máte jiné starosti), pomohli osobních dat lépe využít a současně je (i sebe) ochránili před rizikem úniku či zneužití.

Další příklady z praxe

Audit IT na největší soukromé škole

Provedli jsme audit IT řízení na největší soukromé škole v ČR. Proč je vhodné si udělat základní nezávislý audit IT řízení?

Top manažeři
IT manažeři
Kontakt

Co můžeme udělat pro vás?