GDPR audit

– procesně datová analýza

Ve spolupráci s Advokátní kanceláří Jana Krouman provádíme mapování osobních údajů a procesů pro firmy a podnikatele a dle zjištění navrhujeme opatření pro zajištění souladu s nařízením EU o ochraně osobních údajů fyzických osob.

GDPR audit – procesně-datová analýza

1. Provedeme procesní analýzu a mapování osobních údajů napříč celou firmou, a to ve všech zásadních oblastech:

  • zaměstnanci: počet, typy zaměstnaneckých smluv
  • zákazníci/odběratelé: počet, forma, velikost
  • dodavatelé: počet, forma, velikost
  • marketing: newslettery, věrnostní programy, e-mailing, informace k marketingové činnosti
  • technologie: mobily, notebooky, GPS, kamery, biometrika.

V této části je nezbytná součinnost klienta-firmy, pro něj to přece děláme.

2. Průběžná zpráva a návrh nápravných opatření – výsledky strukturujeme do auditní zprávy včetně návrhu konkrétních akčních kroků vedoucích k zajištění souladu firmy s nařízením Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, který je účinný od 25. května 2018. 

3. Kontrola splnění nápravných opatření – i když opatření musí nutně zavést sám klient-firma, nenecháme vás v tom a vše směřujeme k tomu, abyste se dostali do stavu, kdy jste s nařízením GDPR opravdu v souladu. 

4. Závěrečná zpráva a „Osvědčení o souladu s GDPR“ – až máme jistotu, že vše je, jak má být, dostane od nás klient-firma osvědčení, že je naplňuje požadavky GDPR.  

5. Následná podpora a konzultace při změnách – tím to pro klienta-firmu nekončí, protože GDPR přístup není jednorázovou záležitostí, ale trvalým legislativním požadavkem. Proto změny v organizaci, využívaných smlouvách atp. je nutné vždy posoudit v kontextu GDPR.

 

Případová studie

Náročnost GDPR auditu

vychází z náročnosti jednotlivých modulů/oblastí, které se firmy-klienta týkají – např.:

  • Firma má zaměstnance a využívá-li 1 typ pracovní smlouvy (vs. 3 typy smluv)
  • Firma má dodavatele pouze právnické osoby (vs. dodavateli jsou i fyzické osoby)
  • Firma má odběratele/klienty firmy (vs. zákazníky jsou fyzické osoby)
  • Firma neřeší marketing (vs. firma zpracovává pro marketingové účely informace o fyzických osobách, které nejsou klienti).

V závorce je vždy uvedena situace, která je z pohledu GDPR extenzivnější a náročnější. S tím se odvíjí také vyšší očekávané kapacity, které k posouzení dané oblasti budou potřeba.