9/11/2017 1 seminář DPO dle GDPR Září 2017 Seminář GDPR Deloitte Advisory s.r.o., copyright 2017 2 Souhlas subjektů údajů Multidimenzionální problém: Jednotný souhlas pro více společností ve skupině versus separátní pro každou společnost Povinně možnost snadno odvolat souhlas pro konkrétní subjekt, způsob zpracování a kanál Přesné doby platnosti souhlasů Uchovávání časové historie Potřeba jednotného ID subjektů (napříč lokální systémy, ale i v rámci skupiny) – nejednoznačné spárování entit Souhlas možný i pro jiný subjekt (dítě do 16 (13) let) – nové vazby mezi subjekty Nutná on-line aktualizace – odvolání on-line kanálem je okamžité Přístupová práva k DB souhlasů - přímo i přes systémy typu CRM V případě námitky – okamžité zastavení zpracování po dobu řešení – označování záznamů? NOVÁ, ZRANITELNÁ, INFORMAČNĚ CENNÁ, CENTRÁLNÍ DB
- Umíme vést záznamy o všech zpracování osobních údajů?
- Pod který účel které zpracování náleží a po jakou dobu?
- Jaká množina osobních údajů je pro účel aktuálně potřebná?
- Známe obsažené typy subjektů údajů u zdrojů zpracování?
- Víme které zdroje obsahují aktuálně které kategorie údajů?
- Máme přehled nad aktuálním rizikem pro subjekty údajů?
- Jsme schopni veškeré naše úvahy, kroky a návaznosti doložit?
- Jak jsme schopni implementovat případné kodexy?
- Jaké bezpečnostní incidenty umíme vyhodnotit a jak je zabezpečen postup jejich analýzy, případného forenzního zajištění a eskalace k vyhodnocení hlášení do 72hod.? A co DPO?
- Umíme zabezpečit všechna práva subjektů údajů?
- Umíme pracovat nad všemi zdroji osobních údajů (šedá zóna)
- Návrh podmínek pro výběr DPO (vzdělání, znalost legislativy, zkušenost – právní, ochrana OÚ, technická, projektové řízení, hodnocení kvality, řízení rizik, jednání s lidmi)
- Návrh interní směrnice pro OOÚ a výkon funkce DPO (monitorování souladu, rozdělení odpovědnosti, zvyšování povědomí, odborná příprava, komunikace mezi zainteresovanými stranami a zaměstnavatelem, výkon jednotného kontaktního bodu pro externí i interní potřeby v oblasti osobních údajů, tajemství a důvěrnost, rozvoj kultury, dohled nad zásadami, vedení záznamů o své činnosti, možné pověření o vedení všech záznamů zpracování, zastupitelnost, důvěrnost záznamů DPO, kontrola střetu zájmů při výkonu více úkolů, prioritizace činností, dohled nad časovým průběhem zpracování – rozšíření týmu DPO, nezávislost a loajalita, konzultace s dozorovým úřadem a zájmy zaměstnavatele, podjatost v konkrétních případech, dočasný / stálý zástupce, …).
- Povinnosti zaměstnavatele k DPO (jasné vymezení působnosti DPO – organizace či skupina apod., doba určitá / neurčitá, potřeba vymezení pravidel restrikce, jednotlivec či skupina, oficiální oznámení v organizaci, zřídit přímý komunikační kanál, možnost anonymního kontaktování, samostatnost a zdroje, důvěrnost uchovávání záznamů: účely zpracování, vazby účelů, komunikační kanály a jejich obsah, seznam vedených souhlasů, přístup k interním směrnicím, seznam odpovědných osob za jednotlivé oblasti, přístup ke kontrole vedených záznamů či bezpečnostních incidentů, systém vedení schůzek a obsahu např. s TomManagementem, zaměstnavatel zapojí DPO do všech aktivit souvisejících s ochranou osobních údajů, zajištění přítomnosti DPO kde je potřeba vč. potřeby názoru DPO, zajištění veškerého potřebného materiálu a podkladů, evidence a kanál pro doporučení DPO směrem k organizaci, evidence zda se organizace řídí popř. proč se neřídí radou DPO, evidence žádostí o posouzení vlivu, evidence výsledků posouzení vlivu, zajištění nezbytného přístupu do všech dotčených útvarů a dokumentaci, konzultace ve stádiu příprav, vyřešení jazykových bariér DPO, průběžná školení, úroveň znalostí a dovedností korespondující s vývojem organizace, vyloučení zaměstnavatelovo řízení / ovlivnění DPO v názorech, …).
Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou („DTTL“), síť jejích členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Podrobné informace o společnosti Deloitte Touche Tohmatsu Limited a jejích členských firmách jsou uvedeny na adrese www.deloitte.com/cz/onas.
Společnost Deloitte poskytuje služby v oblasti auditu, poradenství, právního a finančního poradenství, poradenství v oblasti rizik a daní a související služby klientům v celé řadě odvětví veřejného a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poznatky a poskytuje svým klientům, mezi něž patří čtyři z pěti společností figurujících v žebříčku Fortune Global 500 ®, vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Chcete-li se dozvědět více o způsobu, jakým zhruba 244 000 odborníků dělá to, co má pro klienty smysl, kontaktujte nás prostřednictvím sociálních sítí Facebook, LinkedIn či Twitter.
Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím téměř 6 000 zaměstnanců ze 41 pracovišť v 18 zemích.
