Poradenství

Vážíme si Vás i Vašeho času a víme, že na velikosti záleží. Proto jsme připravili varianty pro různě velké společnosti

Pro OSVČ a malé a střední společnosti

Z našich minulých projektů vyplynulo mj. to, že GDPR má na malé organizace mnohem méně dramatických požadavků, než na velké společnosti (např. není zde striktní dokumentační povinnost tedy tzv. registr zpracování osobních údajů je povinný až od cca 250 zaměstnanců, pokud nezpracováváte citlivé osobní údaje, nebo nejste např. webová/technologická společnost; podobně malé společnosti většinou nemusí mít Pověřence pro ochranu osobních údajů, aj.).

U velkých společností, jak si můžete přečíst níže je nutná zevrubná analýza procesů (tedy kde se oú sbírají, kam se ukládají, atd.).

V jednoduchosti lze říci, že jakmile jednou máte pro v souvislosti s podnikáním osobní údaje (tedy např. jméno, příjmení, e-mailovou adresu, domácí adresu, číslo účtu, atd.), tak cokoli s nimi děláte je z pohledu GDPR zpracování a vy jste Správcem těchto dat a nesete za ně pnou zodpovědnost.

Jiná situace je, kdy (typicky na základě smlouvy) zpracováváte osobní údaje pro jinou firmu (například hostujete webové stránky, vedete někomu účetnictví, spravujete někomu IT prostředky na dálku, aj. V takové situaci jste Zpracovatel (na základě -a to je povinné- písemné smlouvy se Správcem osboních údajů).

Pokud někdo naopak zpracovává osobní údaje pro Vás, pak je vaším Zpracovatelem a vy s ním musíte mít Smlouvu o zpracování osobních údajů.

GDPR má jak na Správce, tak i Zpracovatele velké množství požadavků a jejich nesplnění umí pokutovat až do výše 20 mil. eur.

Dobrá zpráva je, že to ve skutečnosti má logiku a zejména u malých firem to není ve výsledku tak komplikované.

Navíc u malých společností, v rámci stejného oboru či typu podnikání, je možné vypozorovat velkou podobnost mezi tím, co a jak malé společnosti zpracovávají a je možné vytvořit určitý prototyp společnosti (např. webhosting, praktický lékař, instalatér, malá reklamní agentura, recruiter, apod.), kdy drtivá většina povinností je pro podobné společnosti shodná a většinou stanovená zákonem.

U většiny malých firem platí, že jim účetnictví obvykle řeší externí firma, data ukládají na malý server, nebo na lokální disky, mají webové stránky hotované u malé externí agentury.

Většina dat (zaměstnanců) je typicky zpracovávána na základě zákonné povinnosti (mzdy, sociální a zdravotní pojištění) a z pohledu GDPR se jedná o mzdovou agendu, na níž jsou kladeny menší požadavky.

Nad rámec tohoto základu mnohé společnosti používají kamerový systém pro ochranu majetku, GPS systém ve vozidlech, některé IT systémy monitorující činnost na počítači. Tato zpracování pak vyžadují detailnější analýzu, ale obvykle jde opět o modelové situace.

Data zákazníků jsou obvykle uložena v malé databázi či Excelu a kroky nutné k tomu, aby jejich zpracování splnilo požadavky GDPR se opět obvykle podobají.

Pokud však společnost sbírá a zpracovává citlivé osobní údaje (dle GDPR Zvláštní kategorie oú: informace týkající se rasy, zdravotní údaje, informace o politické příslušnosti, spojené s náboženským, či filozofickým přesvědčením jednotlivců), pak se vše o něco komplikuje, ale umíme to vyřešit.

V praxi by to pak celé pro malou firmu vypadalo takto:

  1. Vyplníte tento formulář, který nám umožní poznat typ vaší organizace a podnikání
  2. My Vám zašleme nabídku
  3. Vy ji přijmete a zašlete nám podepsanou objednávku. Ta bude mj. obsahovat doložku o mlčenlivosti, abyste měli Vy záruku, že o Vás nebudeme nikde mluvit a my měli záruku, že naše know-how obsažené například v dotaznících bude ochráněné. V tomto bodě se také dohodneme, zdam áte zájem o realizaci volitelných bodů
  4. My Vám zašleme nekolik dotazníků, které budou odpovídat typu Vašeho podnikání a bude-li to nutné, zavoláme Vám pro upřesnění
  5. Poté co bude vše vyplněné, to zpracujeme
  6. Ve výsledku Vám zasleme detailní instrukce, co kde máte udělat (či požadovat od Vašich dodavatelů, aby udělali), abyste se odstali do souladu s GDPR. Toto nebude obsahovat revizi Vašich smluv s dodavateli, ani revizi toho co máte na Internetu, pokud se na tom výslovně v kroku 3 nedohodneme, ale dodáme Vám návrh textů, které do stávajících dokumentů vložíte.
  7. (volitelně*) Analýza bezpečnosti: Uděláme Vám analýzu zabezpečení dat ve vaší síti, na lokálních stanicích, serverech, případně v cloudových aplikací.
  8. (volitelně*) Virtuální DPO: Pokud budete muset, nebo se zkrátka rozhodnete, že chcete ochranu oú vložit na bedra někoho jiného, Vám dodáme službu virtuálního Pověřence pro ochranu osobních údajů (tedy člověka, který se Vám postará o soulad v dlouhodobém horizontu a bude Vás ve věci osobních údajů zastupovat před úřady)
  9. (volitelně*) Revize a aktualizace právních dokumentů (smlouvy, Oznámení o zpracování oú na webu, Souhlas se sběrem oú, aj.)
  10. (volitelně*) Realizace bezpečnostních opatření: Zrealizujeme navržená Technicko-Orgnizační Opatření (případně je vyjednáme s Vašimi dodavateli) tak, abyste mohli doložit, že osobní údaje máte zabezpečené v souladu s GDPR i se zákony ČR.

Orientační ceník

(nezahrnuje žádný z volitených kroků 7 až 10; děláte-li komplikované věci, může se i analýza zkomplikovat)

Cena pro OSVČ: od 5.000,- CZK (bez DPH)

Cena pro malou firmu do 5 lidí od: 10.000,- CZK (bez DPH)

Pro velké společnosti

Na základě implementace několika globálních programů pro řízení rizik spojených se zpracováním osobních údajů, z provedení mnoha analýz rizik u mnoha komplexních i menších projektů jsme vyvinuli metodiku, která poskytuje odpovědi především na následující otázky:

  1. Jaké je riziko zpracování osobních údajů pro organizaci
  2. Jaké je riziko pro práva a svobody jednotlivce plynoucí ze zpracování osobních údajů organizací
  3. Jaká je míra ne/souladu (compliance) s právními požadavky a (de-facto) standardy

Výše uvedené je typicky možné měřit či zjišťovat na úrovni:

  1. Organizace (a jejích dceřinných a ovládaných právnických osob)
  2. Projektu či programu
  3. (Nového či měněného obchodního) procesu
  4. (Nového) dodavatele, (či při změně rozsahu služeb)
  5. (Nového, či měněného) informačního systému

Mnohé organizace se snaží zajistit soulad celé organizace s GDPR, což v důsledku znamená inteligentně posoudit a uvést do souladu Organizaci, její strategii a zdroje (např. Pověřenec pro ochranu osobních údajů, operativní oddělení pro řízení ochany osobních údajů, oddělení IT security) pro dohled nad správným zpracováním osobních údajů, vytvořit procesy pro posuzování změn a projektovou metodiku, dále posoudit stávající procesy a dodavatele a informační systémy.

Poté, co je DPMS (Data Privacy Management Systém) implementován, pak je nutné provádět posuzování rizik procesů a projektů, u nových dodavatelů a informačních systémů vlastními nebo externími zdroji. Z GDPR plyne, že každé zpracování dříve, než dojde ke sběru os.údajů musí být schváleno Pověřencem (tzv. DPO), nebo oznámeno regulátorovi. Tato operativa může být pro mnohé organizace překvapivá, protože i po dokončení „Big GDPR Bang“ projektu, je tu stále nutnost investovat značné částky v případě změn projektů apod. a v žádném případě s nejedná o jednorázovou záležitost.

Naše metodika sestává z několika kroků, které je nutné realizovat ve správném pořadí.
  1. TRIAGE - V prvním kroku je nutné pochopit rozsah problému, získat základní představu o organizaci a povaze zpracování a provést úvodní zmapování situace (tzv. triage). Výstupy z triage slouží pro lepší určení rozsahu dalších prací a přípravu nabídky a určení rozsahu projektu:
  2. GAP ANALÝZA ORGANIZACE – Nejprve je nutné zjistit a zdokumentovat stav řízení zpracování osobních údajů, nastavení risk apettite organizace pro osobní údaje, zjištění očekávání vedení, průzkum stavu řízení dat, IT, informační bezpečnosti a existenci a kvalitu směrnic, specifika podnikání, apod. Výsledkem je definice katalogu požadavků, které musí projekty / procesy / dodavatelé / atd. splňovat. V závislosti na typu a velikosti organizace může výsledný katalog požadavků (vůči němuž budou zpracování posuzována) zahrnovat jak:
    1. pouze požadavky GDPR, či jiného regionálního zákona či standardu,
    2. nebo i požadavky Data Privacy zákonů jednotlivých zemí (např. Odlišnosti, které GDPR dovoluje stanovit na lokální úrovni, jako např výši pokuty pro správní orgány, nebo zda je povinné dělat DPIA)
    3. nebo i další lokální požadavky a zákony (například pro zdravotnické záznamy, zaměstnaneckou agendu, apod.)
    4. nebo i další požadavky, či standardy, (například ISO27001 standardu pro ochranu informací)
  3. GAP ANALÝZA ZPRACOVÁNÍ osobních údajů (v rámci procesu / projektu / dodavatele / směrnici ) proti katalogu požadavků. Výstupem zde je
    1. identifikace neshod s gdpr či katalogem požadavků
    2. odhad rizik dle gdpr pro organizaci i pro jednotlivce
    3. návrh nápravných opatření – prioritizace
  4. IMPLEMENTAČNÍ PROJEKT
    1. Lidé a data governance (např. Ustavení a vyšolení DPO, školení vedení organizace a zaměstnanců, zavedení procesu pro posuzování rizik zpracování - PIA/DPIA, rizeni dodavatelu, dokumentace zpracovani a komunikace s regulatory),
    2. Procesy (životní cyklus zpracování os. údajů, jeho dokumentace, implementace Privacy by Design principů v praxi a GDPR principů pro zpracování,
    3. Systémy ( mechanismus pro řízení souhlasu, retence dat a mazání dat, pořizování záznamů o zpracování, řízení požadavků jednotlivců a regulátorů),
    4. Ochrana dat (implementace infosecurity opatření pro ochranu dat, lokalizace dat),
    5. Právní dokumenty (šablony pro formulář pro získáni souhlasu, šablony smluv s dodavateli, prohlášení o zpracování os. údajů, smlouva s dodavateli v zahraničí),
    6. Jednání s regulátory (registrace, či ohlášení zpracování, ohlášení zpracování s vysokám rizikem, atd.)
  5. IMPLEMENTACE - Implementace opatření dle implementačního projektu:
    1. implementace dodavatelsky našimi konzultanty
    2. řízení implementačního projektu řízené naším konzultantem, realizované interními lidmi
    3. řízení implementačního projektu realizované 3. stranou

Ceník

14 000 CZK/ManDay nebo 1750 CZK hodinu (bez DPH)