Vzdělávání > GDPR > Audit: Seznam otázek pro GDPR a tajné tipy SIMAR

Vzdělávání

Veřejné mínění
Sedm otázek a odpovědí o VVM
Základy metodiky provádění výzkumů
Seberegulace
Pravidla publikování výzkumu veřejného mínění
Aktuální volební modely
Test důvěryhodnosti výzkumu
Semináře a další zajímavé zdroje
Research Got Talent
Pravidla soutěže RGT 2023
Research Got Talent 2021
Research Got Talent 2020
Semináře
Konference SIMAR v Poslanecké sněmovně
GDPR
Insight Summit 2013
Insight Summit 2014

Audit: Seznam otázek pro GDPR a tajné tipy SIMAR

Přečtěte si naše praktické doporučení k prvním krokům při analýze přístupu k ochraně osobních údajů ve firmě.

9. srpna 2017

V prvním kroku si zjistěte, v jakém rozsahu je třeba provést posuzování, jinými slovy se ujistěte, že pokryjete všechny oblasti ve firmě, kde může docházet ke zpracování osobních údajů. V druhém kroku je třeba provést analýzu stávajícího stavu shromažďování a zpracování osobních údajů.


1. Tým GDPR

  • Tým zahrnuje vedení společnosti, IT, HR, operations, marketing, právní oddělení.
  • Ujistěte se, že všichni ve firmě rozumí pravidlům ochrany osobních údajů a striktně je dodržují, přístup k OOÚ musí být součástí firemní kultury.
  • Ujasněte si kdo povede analýzu stávajícího stavu a kdo bude pověřenec pro vaši agenturu (nesmí to být CEO či IT, má roli nezávislou, poradenskou, monitoruje a vede o záznamy o opatřeních, které firma podnikne v souvislosti s OOÚ).

♥ SIMAR tip

Veďte si od počátku záznamy o všech jednáních, zjištěních a opatřeních, na kterých tým pracuje. Při prokazování souladu s GDPR při případné kontrole se budou hodit. Ze stejných důvodů je důležité si uchovat záznam o provedených auditech.


2. Seznam otázek pro analýzu stávajícího stavu

Vytvořte si datovou mapu. Věrně popište současný stav. Zodpovězte si „mapující“ otázky. Jděte do hloubky a zmapujte všechny a všechno; ptejte se proč a jak. 

  • Jaká data zpracováváte, nebo jinak přijímáte či držíte? Obohacujete tato data nějakým dalším způsobem?
  • Kdo má k datům přístup? Jak je přístup zabezpečen?
  • Jaká data poskytujete či jiným způsobem sdílíte? Pokud osobní údaje předáváte do zahraničí, či jiným subjektům, jaká pravidla jste si pro to vytvořili?
  • Jaké jsou důvody využití dat? Je jich více?
  • Jak dlouho jsou data uchovávána?
  • Jakým způsobem dochází k vymazání dat?

♥ SIMAR tip

Aby byla analýza kvalitní, je třeba dobře pochopit co je osobní údaj podle nového nařízení. Pročtěte si pečlivě příslušné pasáže nařízení a materiály.

Nezapomeňte na své subdodavatele a všechny, kteří se nějakým podílem otřou o vaše data, mimo jiné třeba i rekrutátoři. Je důležité se ujistit, že vaše smlouvy konkrétně stanoví rozsah povinností zpracovatele a správce a že vaši partneři se řídí stejnými principy jako vy.


3. Podklady pro pravidla pro práci s osobními údaji

Přezkoumejte své procesy, pravidla/směrnice a užívané technologie na práci a zabezpečení osobních dat. Specifikujte svá současná technická opatření ke zmírnění rizik – šifrování, ochrana intranetu, lokální sítě, úložiště dat s informacemi o osobních údajích.

  • Přezkoumejte smlouvy, které se nějakým způsobem dotýkají dat (se zadavateli, dalšími zpracovateli či partnery agentur, s interními a externími zaměstnanci).
  • Služby a užívané nástroje musí vyhovět právům subjektu údajů na transparentní informace, přístup k osobním údajům, jejich přenositelnost, na opravu a výmaz a na právo vznést námitku. Popište si, jak to máte nastavené dnes.
  • Definujte si, kde potřebujete změnit souhlas subjektu údajů se zpracováním, a připravte texty, které odpovídají novému nařízení. Ujistěte se, že každý souhlas je zpětně prokazatelný. Připravte si harmonogram, jak je budete implementovat.
  • Ujasněte si, jak a kde budete komunikovat se subjekty osobních údajů.

♥ SIMAR tip

Využívejte osobní údaje jen po dobu nezbytně nutnou, držte je odděleně od datových souborů a analýz. Po zpracování je vymažte. Kdo drží osobní údaje jen pro účel a dobu nezbytně nutnou, nejlépe chrání subjekty údajů. 


4. Definujte si vaši dlouhodobou datovou strategii

Ke každé činnosti, při níž sbíráme osobní údaje, je třeba mít odpovídající souhlas subjektů údajů, proto je třeba si předem rozmyslet, kde a jaký souhlas potřebujeme.

Data mohou být sdílena s dalšími partnery, použita na další projekty, kombinována s dalšími datovými zdroji – použita pro další profilování, data jsou uchovávána pro různě dlouhou dobu, k datům může definovaný okruh uživatelů, data se mohou agregovat. Identifikujte si svou situaci na modelových příkladech a nezapomeňte na výjimky. Právě ta chyba v okrajové oblasti se nakonec může ukázat jako smrtelná. 

♥ SIMAR tip

Vyjasněte si dopředu svou datovou strategii a ujistěte se, že je tato strategie přijata vedením a celou firmou. Ujasníte si tím jaký typ souhlasu budete v různých případech od respondentů žádat a efektivně naplánujete jak získávat budoucí souhlasy.

5. GDPR je cesta, ne cíl

Proveďte vyhodnocení rizik. U každého projektu analyzujte dopad na soukromí subjektů údajů. Posouzení musí identifikovat míru rizika pro jednotlivce v případě nechtěného úniku informací či jejich zneužití. Analýza konstatuje pravděpodobnost zneužití a specifikuje opatření organizace, která tomu zabrání.

Realizujte datový a bezpečnostní audit. Otestujte si opatření na ochranu proti úniku dat či porušení pravidel. Systémy a lidé jsou klíčovým faktorem úspěchu. Identifikujte si svá zadní vrátka (např. ukládání souborů mimo povolený systém se zapovídá, stejně jako Uložto či soukromý mail). 

Připravte si krizový plán. Pokud dojde k porušení, je třeba vědět, kam a jak jej nahlásit, mít tým, který rychle zjistí závažnost porušení a jeho důvody a podnikne rychlé kroky k nápravě. Tento proces by měl být dopředu popsán a připraven.

Vytvořte si interní směrnici na procesy týkající se ochrany osobních údajů.

Proškolte své interní a externí zaměstnance.

Naplánujte si, jak budete pravidelně kontrolovat, vyhodnocovat a upravovat procesy týkající se GDPR.

 

Poznámka: Tento text je připraven jako obecná vzdělávací informace pro komunitu oboru výzkum trhu a veřejného mínění. Text není právně závazným dokumentem a nelze jej proto použít místo specifického právního poradenství v oblasti GDPR.