Audit aktuálního stavu zpracování osobních údajů

Ať už začínáte s implementací pravidel GDPR, nebo se pomalu chystáte na periodický audit aktuálního stavu zpracování osobních údajů, tak ještě před tím, než začnete, je nutné zjistit výchozí stav zpracování osobních údajů v organizaci. Tedy, zjistit:

  • Jaké osobní údaje jsou zpracovávány a v jakém rozsahu
  • K čemu jsou potřeba
  • Kde a jak dlouho jsou uchovávány
  • Jak jsou zabezpečeny
  • S kým jsou sdíleny
  • Zda je vůbec možné je zpracovávat

Audit zpracování osobních údajů tedy pomůže pochopit, jak fungují procesy zpracování osobních údajů v organizaci a zda je třeba je vylepšit. Výstup z takového auditu pak organizaci poslouží k tomu, aby podnikla nezbytné kroky k zajištění souladu se zásadami GDPR.

Jak při datovém auditu postupovat?

Existuje několik různých nástrojů sloužících provedení datového auditu, nicméně lze doporučit metodu dotazníkového šetření.

Součástí vzorových dokumentů je také vzorový formulářový dotazník, který můžete bez dalšího použít. Pro lepší pochopení souvislostí je součástí dotazníku rovněž komentář.

Dále je vhodné provést mapování informačních systémů, které jsou v organizaci používány. Informačními systémy se rozumí jak online, tak offline úložiště dat, které organizace používá v rámci své činnosti, a to i pro zpracování osobních údajů.

O vyplňování tohoto přehledu platí totéž, co o vyplňování formuláře – vyplňujte pravdivě a podle aktuálního stavu. Ve vzorové tabulce jsou vzorově předepsány některé systémy (označeny obecně). Buďte při specifikaci informačních systémů konkrétní.

Pro doplnění informací, které získáte z dotazníkového šetření, si můžete vyhotovit grafické znázornění toků osobních údajů do naší organizace a z ní. Tato vizualizace by měla být součástí posouzení vlivu zpracování na ochranu osobních údajů. To platí zejména pro ty operace zpracování, ke kterým bude třeba posouzení dle článku 35 GDPR provést. Dále je vizualizace dobrá pro uvědomění si dalších souvislostí. Můžeme si vzpomenout, že určité osobní údaje například zasíláme třetím subjektům a tyto mohou sídlit mimo Evropskou unii. Z toho nám vyplynou další povinnosti.


Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.

25.10.2018

Mgr. Bc. Georgios Tucoglidis

georgios@3cm.cz

3CM s.r.o.
se sídlem Husova 1848
530 03 Pardubice
IČ: 05177791
DIČ: CZ05177791

Společnost je zapsána v Obchodním rejstříku vedeném krajským soudem v Hradci Králové, oddíl C, vložka 37310

© 3CM s.r.o. – Všechna práva vyhrazena