Jak na GDPR audit

Úspěch a efektivita přístupu k auditu GDPR stojí a padá na jeho správném uchopení. Doporučujeme proto lehce rozšířený datový audit, který situaci zpřehlední a výrazně usnadní další kroky k dosažení shody, ideálně do května 2018.

V rámci Asociace řešíme se stovkami firem jejich cestu ke shodě s Nařízením o ochraně osobních údajů č. 216/2016. Většina společností využívá návody a online GDPR audit zdarma, jiné chtějí pomoci se strategií, další mají zájem o kompletní návrh procesů a GDPR dokumentace.

Logika věci je jednoduchá: pokud u vás probíhá zpracování většího rozsahu či vznikají větší rizika, budete potřebovat záznamy o činnostech zpracování - a pokud tvrdíte, že je vést nemusíte, je třeba zdůvodnit (a zdokumentovat), jak jste k tomuto závěru dospěli.

Proč tedy rovnou neudělat takový GDPR datový audit, který obsahuje informace potřebné do případných oficiálních záznamů o činnostech zpracování?

Vzor GDPR auditu - jde o formu i obsah

Jistě jste zaregistrovali, že podle nové zákonné úpravy ochrany osobních údajů již nemusí firmy a podnikatelé hlásit každé zpracování Úřadu pro ochranu osobních údajů. Tím se tedy agenda zjednodušuje. Nicméně o to významnější se stává interní dokumentace o splnění zákonných povinností, shody s GDPR, kterou v případě stížností či kontroly musí firma předložit.

Každý správce i zpracovatel osobních údajů musí být schopen dokázat, že před květnem 2018 tuto oblast řešil, dospěl k určitým závěrům, provedl adekvátní změny a zavedl systém ověřování funkčnosti nastaveného systému. V menší firmě může bez problémů polovinu těchto důkazů zachytit právě rozšířený GDPR audit.

Projděme si nyní jednotlivé položky takového GDPR auditu (též datový audit GDPR či katalog osobních údajů a zpracování).

V první fázi se nesnažíme o maximální systemizaci, ale především o zachycení maxima informací o způsobech, místech a důvodech zpracování jednotlivých osobních údajů.

Jedná se v zásadě o tabulku s pěti sloupci:

• Umístění a ochrana - Kde všude jsou dané osobní údaje v průběhu standardního zpracování uloženy - bude se jednat o kartotéky, regály, HW+SW systémy, síťové systémy, cloudové služby, datové zálohy, archivy a ideálně včetně popisu jejich ochrany, zde nám audit GDPR vytvoří základ pro kontrolu smluv o zpracování, identifikaci a hodnocení rizik pro práva subjektů údajů a návrh protiopatření. U středních a menších firem je zde rovnou možné formulovat zvolené způsoby ochrany i výsledná rizika.

• Zúčastněné osoby - Kromě názvu společnosti a datování jednotlivých verzí dokumentu jako celku, doporučujeme ke každé skupině údajů přidat informaci, kdo je za zpracování odpovědný, kdo údaje v GDPR auditu dával dohromady, kdo hodnotil rizika, kdo přispíval či schvaloval jejich hodnocení.

• Účely zpracování - Proč se vlastně začaly tyto údaje zpracovávat a shromažďovat - v jakých vnitrofiremních operacích a výkaznictví se používají - z těchto informací v GDPR auditu dokážeme snadno určit právní základ zpracování, skartační lhůty (kdy je máme vymazat) a korektní reakce na žádosti lidí dle jejich práv plynoucích z nařízení GDPR.

• Skupina údajů - Abychom zvýšili přehlednost, osobní údaje v rámci GDPR auditu dělíme na skupiny se stejným umístěním a stejným důvodem zpracování - do popisu zde zahrneme vše potřebné k identifikaci kategorie subjektů údajů (zvlášť tedy uchazeči, zaměstnanci, bývalí zaměstnanci, poptávající, klienti apod.) a kategorie osobních údajů (zda se mezi nimi mohou objevit osobní údaje ze zvláštní kategorie, tzv. citlivé osobní údaje).

• Příjemci - Kdo se k dané skupině údajů dostane - všechna oprávněná vnitrofiremní oddělení a pracovní pozice, externí společnosti a úřady, organizace mimo EU - z těchto informací budeme dávat dohromady kategorie příjemců, zviditelní se zde rizika spojená s přístupem a předáváním dat, objeví se ostře sledované přenosy k mezinárodním organizacím nebo do třetích zemí.

GDPR audit prakticky

Způsoby, jak reálně ke GDPR auditu a jednotlivým skupinám údajů přistoupit, diskutujeme na workshopu Datový GDPR audit prakticky, případně v rámci on-site auditu.

Článek Asociace za lepší ICT řešení, o.p.s. ze dne čtvrtek 5. dubna 2018

Další články od Asociace za lepší ICT řešení, o.p.s.