Menu
Audit aktuálního stavu zpracování osobních údajů
Ať už začínáte s implementací pravidel GDPR, nebo se pomalu chystáte na periodický audit aktuálního stavu zpracování osobních údajů, tak ještě před tím, než začnete, je nutné zjistit výchozí stav zpracování osobních údajů v organizaci. Tedy, zjistit:
- Jaké osobní údaje jsou zpracovávány a v jakém rozsahu
- K čemu jsou potřeba
- Kde a jak dlouho jsou uchovávány
- Jak jsou zabezpečeny
- S kým jsou sdíleny
- Zda je vůbec možné je zpracovávat
Audit zpracování osobních údajů tedy pomůže pochopit, jak fungují procesy zpracování osobních údajů v organizaci a zda je třeba je vylepšit. Výstup z takového auditu pak organizaci poslouží k tomu, aby podnikla nezbytné kroky k zajištění souladu se zásadami GDPR.
Jak při datovém auditu postupovat?
Existuje několik různých nástrojů sloužících provedení datového auditu, nicméně lze doporučit metodu dotazníkového šetření.
Součástí vzorových dokumentů je také vzorový formulářový dotazník, který můžete bez dalšího použít. Pro lepší pochopení souvislostí je součástí dotazníku rovněž komentář.
Dále je vhodné provést mapování informačních systémů, které jsou v organizaci používány. Informačními systémy se rozumí jak online, tak offline úložiště dat, které organizace používá v rámci své činnosti, a to i pro zpracování osobních údajů.
O vyplňování tohoto přehledu platí totéž, co o vyplňování formuláře – vyplňujte pravdivě a podle aktuálního stavu. Ve vzorové tabulce jsou vzorově předepsány některé systémy (označeny obecně). Buďte při specifikaci informačních systémů konkrétní.
Pro doplnění informací, které získáte z dotazníkového šetření, si můžete vyhotovit grafické znázornění toků osobních údajů do naší organizace a z ní. Tato vizualizace by měla být součástí posouzení vlivu zpracování na ochranu osobních údajů. To platí zejména pro ty operace zpracování, ke kterým bude třeba posouzení dle článku 35 GDPR provést. Dále je vizualizace dobrá pro uvědomění si dalších souvislostí. Můžeme si vzpomenout, že určité osobní údaje například zasíláme třetím subjektům a tyto mohou sídlit mimo Evropskou unii. Z toho nám vyplynou další povinnosti.
Poznámka Úřad na ochranu osobních údajů zveřejnil na svých webových stránkách návrh seznamu zpracování, která nepodléhají posouzení vlivu na ochranu osobních údajů [dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=30738]
Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.
Další články
© 3CM s.r.o. – Všechna práva vyhrazena