Ak ste organizáciou, ktorá spracúva osobné údaje v Európskej únii (EÚ), alebo sa zameriavate na tovar a služby v EÚ alebo monitorujete činnosti občanov EÚ online, budete musieť dodržiavať GDPR.
GDPR predstavuje najväčšiu zmenu v oblasti právnych predpisov pre ochranu osobných údajov za posledné desaťročia. GDPR vyžaduje rozsiahle zmeny týkajúce sa prístupu k súkromiu vo všetkých organizáciách a regulátori získali nové právomoci ukladať pokuty. Napriek tomu vám však GDPR prináša aj príležitosť:
Je nevyhnutné, aby organizácie boli schopné regulátorom preukázať, že zaviedli efektívne opatrenia na zabezpečenie súladu.
Pre súlad s rôznymi požiadavkami GDPR musia spoločnosti v prvom rade mať prehľad o tom, aké typy osobných údajov spracúvajú na aké účely. Jedným z príkladov špecifických riešení a automatizovaných nástrojov, ktoré PwC vyvinulo je Nástroj na inventarizáciu osobných údajov - Personal Data Inventory Tool.
Stewart Room, globálny vedúci oddelenia ochrany osobných údajov a globálny líder pre právne služby, PwC UK, diskutuje o Všeobecnom nariadení o ochrane údajov (GDPR) a jeho dosahoch na spoločnosti aj občanov | Trvanie 1:48
PwC vytvorilo efektívny automatizovaný nástroj, pomocou ktorého môžete jednoducho spravovať Vašu inventarizáciu osobných údajov, a to bez drahého sofvtéru a licenčných poplatkov.| Trvanie 2:00
Základom, ktorý umožní plánovať a efektívne riadiť spracúvanie osobných údajov (OÚ) v spoločnosti, je podrobná a prehľadná inventarizácia spracúvania osobných údajov. Inventarizácia v databázovej forme predstavuje zhrnutie všetkých účelov spracúvania osobných údajov v spoločnosti. Dáva vedeniu ľahko dostupný prehľad o tom, aké typy OÚ spracúva v jednotlivých systémoch, podľa akých pravidiel a podobne.
Výstup
Kvalitná inventarizácia osobných údajov je základom, na ktorom je potrebné navrhnúť efektívne procesy a
organizačné opatrenia. Pre dodržiavanie súladu sú potrebné primerané interné smernice, ktoré definujú povinnosti zamestnancov spoločnosti, postavenie
a úlohy zodpovednej osoby alebo procesy na zabezpečenie práv dotknutých osôb.
Výstup
Kvalitná, prehľadná a zrozumiteľná dokumentácia k GDPR je dôležitá
z viacerých dôvodov:
Výstup
Pripravíme pre vás alebo zrevidujeme a upravíme:
Napĺňanie požiadaviek GDPR (minimalizácia údajov, zabezpečenie práv vrátane práva na výmaz) si vyžaduje, aby spoločnosti mali podrobný prehľad o tom, po aký čas je potrebné spracúvať a následne archivovať jednotlivé typy osobných údajov- a v ktorom momente je potrebné ich likvidovať.
Toto je veľká výzva pre všetkých prevádzkovateľov osobných údajov a vyžaduje si podrobné zmapovanie typov osobných údajov vo všetkých systémoch a nastavenie pravidiel ich automatickej a manuálnej likvidácie.
Výstup
V určitých prípadoch, ak spoločnosť spracúva alebo plánuje spracúvať citlivé osobné údaje alebo údaje vo veľkom rozsahu, prikazuje nariadenie posúdiť riziká konkrétnym spôsobom: vykonaním posúdenia vplyvu na ochranu osobných údajov („Data privacy impact assessment“ alebo „DPIA“) podľa čl. 35 nariadenia.
Pomocou nášho vlastného automatizovaného nástroja na DPIA môžeme vykonať posúdenie u vás alebo pre vás pripraviť a odovzdať vám prispôsobenú metodiku vo formáte Excel pre opakované posúdenia vo vašej réžii.
Výstup
Ochranu spracúvaných osobných údajov nedosiahne spoločnosť na papieri. Na zabezpečenie súladu sú potrebné primerané procesy a organizačné opatrenia. Tieto procesy musia zabezpečovať informovaní zamestnanci s vysokým povedomím o potrebe ochrany údajov.
Základným nástrojom je poskytnutie informácií zamestnancom prostredníctvom školení. Školenia, ktoré pripravujú a vykonávajú naši odborníci, majú podobu osobných prezentácií alebo elektronických školení. Cieľom je, aby vaši zamestnanci vedeli o praktických zásadách ochrany údajov a taktiež dodržiavali tieto zásady navonok vo vzťahu k vašim partnerom.
Výstup
Naši odborníci so skúsenosťami z praktickej implementácie GDPR poskytujú školenia v nasledujúcich oblastiach:
Vedenie spoločnosti potrebuje informácie o miere súladu s GDPR a oblastiach, v ktorých sú spoločnosti vystavené najväčšiemu riziku.
Metodika posudzovania súladu môže taktiež poslúžiť ako pracovný program pre interný audit.
V súčasnosti neexistuje medzinárodne uznávaná metodika alebo štandard na vyhodnocovanie súladu s GDPR. Náš prístup je preto založený na vlastnej PwC metodike a vychádza z reálnych skúseností z množstva implementačných projektov, projektov informačnej bezpečnosti a auditov.
Výstup
Cieľom je: