1. Úvod
  2. Proveďte interní audit

    3. Stránka7/17

Proveďte interní audit

Implementaci GDPR nejlépe zahájíte, když si uděláte pořádek v osobních údajích, které zpracováváte. Potřebujete získat přehled o tom, které údaje, za jakým účelem a jak zpracováváte.

Odpovězte si například na tyto otázky:

Kde všude se osobní data zpracovávají? Například na oddělení HR, marketingu, financí, mzdovém oddělení, supportu, client service, custumer care, back office, IT, vývoje produktu, výzkumu.

Zástupci dotčených oddělení ve firmě by měli zodpovědět všechny dále uvedené (a případně další) otázky, které se osobních dat a jejich zpracování týkají.

  1. Jaká zpracování provádíte, zejména v personální a klientské agendě?
    1. 1.1 Jsou osobní údaje zpracovávány manuálně, anebo automatizovaně?
  2. Proč a na základě jakého právního titulu osobní údaje zpracováváte?
    1. 2.1 K plnění úkolů uložených zákonem? Např. vedení agendy sociálního zabezpečení.
    2. 2.2 K jiným účelům? Zejména plnění smlouvy, plnění podnikatelského záměru na základě souhlasu subjektu údajů, s využitím veřejných zdrojů, pro ochranu práv správce apod.
    3. 2.3 Splňuji požadavky pro zákonné zpracování?
    4. 2.4 Udal jsem dostatečný důvod pro zpra osobních údajů?
  3. V jakém rozsahu se osobní údaje shromažďují?
    1. 3.1 Provádím zpracování dat podle účelu, který jsem specifikoval?
    2. 3.2 Jsou shromážděná data adekvátní, přesná a účelná?
  4. V jakém termínu se osobní údaje likvidují?
    1. 4.1 Uchovávám osobní data pouze po dobu nezbytně nutnou? Dokážu dobu nezbytně nutnou pro uchovávání osobních údajů definovat?
    1. 4.2 Dokážu dobu nezbytně nutnou pro uchovávání osobních údajů definovat?
  5. Jakým způsobem se osobní údaje aktualizují?
    1. 5.1 Jsou shromážděná data přesná a aktualizovaná dle potřeby?
  6. Komu mohou být osobní údaje zpřístupněny ve firmě nebo v rámci mých podnikatelských aktivit.
  7. Mám stanovené interní normy týkající se zpracování osobních údajů?
  8. Kdo je za dodržení interní normy týkající se výše uvedených bodů odpovědný?
  9. Kdo je odpovědný za komunikaci se subjekty údajů?
    1. 9.1 Mám k dispozici proceduru k určení práv subjektů dat s ohledem na jejich data, která zpracovávám?
  10. Chráním dostatečně osobní údaje?
    1. 10.1 Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému přístupu k osobním údajům, jejich změně, zničení nebo ztrátě?
  11. Máte k těmto bodům vůbec nějakou dokumentaci? Pokud ne, založte si ji a veďte ji aktuální.