Implementace GDPR – přechodové období právě probíhá

GDPR se sice použije až ode dne 25. května 2018, zásadní skutečností je však to, že je již platné a v současné době běží přechodné období, tj. všechna jeho ustanovení budou muset být splněna k datu nabytí jeho účinnosti.

V současné době jsou již dotčenými orgány analyzovány dopady GDPR, a to jak na národní úrovni (Úřad pro ochranu osobních údajů, Úřad vlády ČR a Ministerstvo vnitra ČR), tak i na úrovni EU (koordinace názorů dozorových orgánů členských států EU a pracovní skupiny WP29) s cílem sjednotit výklad a realizaci jednotlivých ustanovení obecného nařízení v rámci všech států EU. Oficiální výstupy (metodiky, stanoviska, usměrnění atd.) těchto orgánů a institucí budou uvolňovány postupně. Vzhledem k tomu, že GDPR obsahuje cca 50 oblastí, ve kterých mohou členské státy EU aplikovat odchylná pravidla, nelze předpokládat, že dojde k sjednocení pravidel ochrany osobních údajů v rámci celé EU.

Nicméně, výrazně vyšší sankce za porušení ochrany osobních údajů varují, že GDPR nelze brát na lehkou váhu. Správci i zpracovatelé by měli zavčasu podnikat kroky, aby byli v květnu 2018 připraveni na účinnost GDPR.

Naše společnost v souvislosti s implementací GDPR nabízí následující služby:
• Vstupní analýzu stávajícího stavu ochrany osobních údajů s cílem zjistit a vyhodnotit:
• rozsah a potřebnost zpracování osobních údajů,
• právní tituly ke zpracování osobních údajů,
• prokazatelnost souhlasů se zpracováním, plnění informační povinnosti,
• smluvní vztahy se zpracovateli,
• smluvní vztahy s dodavateli služeb, obvykle ICT, kteří nejsou zpracovateli ve smyslu zákona,
• úroveň bezpečnosti při zpracování osobních údajů v oblasti fyzické, počítačové, administrativní a personální bezpečnosti,
• rozsah zpracované bezpečnostní dokumentace k ochraně osobních údajů, platné jak pro listinné tak i elektronické zpracování,
• úroveň a rozsah kontrolní činnosti.



• Na základě závěrů ze vstupní analýzy, která je v podstatě „nálezovou inventurou“ rozsahu a stavu zpracování osobních údajů, navrhneme a vypracujeme:
• optimální řešení role Pověřence pro ochranu osobních údajů, v případě jeho explicitně nastavené potřeby (OVM, veřejné subjekty, bankovnictví, pojišťovnictví atd.),
• obdobnou či jinou přiměřenou alternativu pro organizace, které tuto roli nemají striktně stanovenu, ale zpracovávají osobní údaje,
• po namapování stávajícího stavu na jednotlivé požadavky GDPR navrhneme chybějící procesy a činnosti,
• záznamy o činnostech zpracování v rozsahu stanoveném v GDPR,
• posouzení rizik jednotlivých zpracování,
• posouzení vlivu na ochranu osobních údajů v případech, kdy bude vyhodnoceno vysoké riziko při zpracování osobních údajů [rozsáhlé evidence osobních údajů zpracovávané elektronicky, rozsáhlé evidence zvláštních kategorií údajů (obdoba stávajících „citlivých údajů“), kamerové systémy monitorující veřejné prostory atd.],
• návrh řešení bezpečnosti osobních údajů s cílem zajistit co nejvyšší úroveň jejich důvěrnosti, dostupnosti a integrity,
• řídící dokumentaci v podobě vnitřních předpisů,
• zajištění konzultační a schvalovací činnosti u ÚOOÚ,
• proškolení všech osob, podílejících se na zpracování osobních údajů a jejich ochraně.