Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceVíce
> > Jak se připravit na kontrolu Úřadu pro ochranu osobních údajů po zavedení GDPR?

Jak se připravit na kontrolu Úřadu pro ochranu osobních údajů po zavedení GDPR?

  • Datum: 31.01.2025
  • Autor: Petr Špatenka

Obecné nařízení o ochraně osobních, známé také pod anglickou zkratkou GDPR (General Data Protection Regulation), od května roku 2018 upřesnilo pravidla pro zpracování osobních údajů. Jedná se zejména o hlavní principy zpracování osobních údajů, jako je zásada zákonnosti, účelového omezení, minimalizace a bezpečnosti dat, a práva dotčených osob, tedy těch, jejichž údaje jsou zpracovávány: právo na informace o zpracování, na přístup ke zpracovávaným údajům, na omezení zpracování, na přenositelnost dat k jinému správci či na právo na výmaz osobních údajů. 

GDPR rovněž zavedlo nové administrativní povinnosti, jimiž správci a zpracovatelé osobních údajů mají dokládat soulad své činnosti s regulací. Mezi tyto nástroje patří především: 

  • Vedení záznamů o činnostech zpracování
  • Při přípravě nového zpracování provést posouzení jeho vlivu na práva dotčených osob (data processing impact assesment) a v některých případech povinně konzultovat zamýšlená opatření s dozorovým orgánem, Úřadem pro ochranu osobních údajů (ÚOOÚ) (https://www.tx.cz/gdpr/gdpr-analyza-rizik-posouzeni-vlivu-na-ochranu-osobnich-udaju )
  • Povinnost řídit a v některých případech i reportovat bezpečnostní incidenty s dopadem na osobní údaje, tzv. případy porušení zabezpečení osobních údajů (data breaches)
  • Dle rizikovosti prováděného zpracování vytvořit funkci pověřence pro ochranu osobních údajů, jmenovat do ní dostatečně kvalifikovanou osobu a zajistit jí nezbytné zdroje a prostředky k monitorování souladu činnosti organizace s požadavky GDPR (https://www.tx.cz/gdpr/gdpr-poverenec-pro-ochranu-osobnich-udaju )
  • Povinnost ověřovat dodavatele, který se podílí na zpracování osobních údajů, tedy zpracovatele osobních údajů 
  • Nezbytné náležitosti zpracovatelské smlouvy
  • Specifické nástroje pro ochranu osobních údajů, pokud jsou předávány mimo Evropský hospodářský prostor (především standardní smluvní doložky a závazná podniková pravidla)

Kromě toho také GDPR přináší výrazně vyšší sankce za porušení pravidel při zpracování osobních údajů. Za porušení zásady pro ověření zpracovatele a náležitostí zpracovatelské smlouvy, vedení záznamů o činnostech zpracování, evidence a reportování případů porušení zabezpečení osobních údajů nebo povinnosti jmenovat pověřence pro ochranu osobních údajů a správně jej zařadit do organizační struktury organizace, může být udělena pokuta až do výše 10 milionů EUR, nebo až do výše 2 % celkového ročního obratu celosvětově celé skupiny za předchozí finanční rok, podle toho, která hodnota je vyšší. 

V případě porušení základních pravidel pro zpracování osobních údajů, jako je zákonnost zpracování, minimalizace dat, účelové omezení nebo omezená doba uchování, stejně tak jako za zásadní pochybení při výkonu práv dotčených osob, pak může být organizace postižena sankcí až do výše 20 milionů EUR, nebo až do výše 4 % celkového ročního obratu celosvětově celé skupiny za předchozí finanční rok, podle toho, která hodnota je vyšší.

GDPR také přináší dvě zásadní koncepční změny: 

Dle pravidla přístupu založeného na riziku správce a zpracovatel nemusí veškeré povinnosti, např. v oblasti bezpečnosti dat, plnit plošně, ale mohou zohlednit rizikovost konkrétního zpracování pro dotčené osoby a přiměřenost různých způsobů zabezpečení a nákladů s nimi spojených. Zohlednění rizikovosti zpracování dat se pak promítá i do dalších povinností, jako je např. povinnost jmenovat pověřence pro ochranu osobních údajů, reportovat bezpečností incident či provést dopadovou analýzu při přípravě nového zpracování nebo zapojení nové technologie do stávajícího zpracování osobních údajů. 

Druhou koncepční novinkou je povinnost správce a zpracovatele osobních údajů nejen uvést svoji činnost a praxi do souladu s regulací, GDPR, ale rovněž svůj postup průběžně dokumentovat a být schopen tento soulad doložit. Nestačí tedy pouhé formální jmenování pověřence pro ochranu osobních údajů či vypracování jedné vnitřní směrnice; je nezbytné nastavit celý systém zpracování osobních údajů, aby správce či zpracovatel byl schopen dokázat, že má zpracování osobních údajů pod kontrolou, že ví, jaká data zpracovává, proč a jakým způsobem a že má nastaveny přiměřené procesy pro výkon práv subjektů údajů a plnění dalších nezbytných náležitostí. 

Povinnosti vyplývající z GDPR a dalších předpisů dopadají v zásadě na všechny organizace zpracovávající osobní údaje. To platí i pro povinnost dokládat soulad své činnosti s GDPR a dalšími předpisy. S ohledem na rozsah a citlivost zpracovávaných údajů lze za ty nejrizikovější oblasti, nejrizikovější jak z pohledu práv dotčených osob, tak i možného úniku či zneužití dat, považovat tato odvětví:

  • Bankovnictví
  • Pojišťovnictví
  • Telekomunikace
  • Zdravotnictví
  • Energetika
  • Provozování věrnostních akcí pro spotřebitele (kamenné obchody i e-shopy)
  • Provozování rozsáhlých kamerových a další bezpečnostních či monitorovacích nástrojů
  • Poskytování cloudových a obdobných služeb a nástrojů určených pro zpracování informací
  • Zajišťování nástrojů pro webovou analytiku, profilování a sledování uživatelů na internetu
  • Nebankovní poskytovatelé platebních služeb nebo úvěrů
  • Státní správa a samospráva
  • Školství

Dozorovým úřadem pro všechny výše uvedené sektory je ÚOOÚ. Typickými způsoby, jak ÚOOÚ dozor vykonává, je kontrola na místě a navazující uložení nápravných opatření a finančních sankcí. 

ÚOOÚ může kontrolu zahájit:

  • Na základě svého kontrolního plánu
  • Na základě stížnosti dotčené osoby nebo dalších subjektů
  • Na základě zveřejněných informací, například o úniku dat
  • Na základě podnětu postoupeného jiným kontrolním úřadem

Novinky v hmotněprávní úpravě, které GDPR přineslo, jsou již celkem známé. S ohledem na datum účinnosti GDPR by nová pravidla a procesy měly být ve všech organizacích zavedeny. ÚOOÚ již zahajuje první kontroly zaměřené na soulad s GDPR, některé další evropské dozorové úřady ukládají sankce i ve výši několik stovek tisíc EUR. (https://www.tx.cz/gdpr/gdpr-projekt-gdpr-v-praxi )

Jak se tedy prakticky připravit na situaci, kdy u vašich dveří zazvoní inspektor ÚOOÚ a zahájí kontrolu zpracování osobních údajů? 

Workshop s názvem Jak se připravit na kontrolu ÚOOÚ je zaměřen právě na to, aby vás na praktických příkladech na takovouto kontrolu připravil. Nejprve si projdeme několik detailně zpracovaných scénářů popisujících různé organizace s odlišným rozsahem a účelem zpracování osobních údajů (rozsáhlé zpracování klientských dat, zpracování citlivých údajů o zdravotním stavu, zpracování údajů v online prostředí atd.) a s odlišným předmětem a důvodem kontroly. Během dvoudenního workshopu projdete všechny fáze kontroly ÚOOÚ a to:

  • Přípravu kontroly
  • Místní šetření
  • Doplnění podkladů a dokumentace
  • Přípravu kontrolního nálezu
  • Uplatnění opravných prostředků proti výsledkům kontroly či dalšímu opatření ze strany ÚOOÚ

Společně budeme diskutovat všechny modelové scénáře a ukážeme si u nich, jak s ohledem na specifika dané organizace i předmětu kontroly reagovat na požadavky kontrolních pracovníků, jaké podklady a dokumenty si připravit a předložit v jednotlivých fázích kontroly i jak reagovat na zjištění nedostatků v průběhu kontroly. 

Seminář je určen pro osoby odpovědné za agendu ochrany osobních údajů ať už u správce nebo zpracovatele osobních údajů. Může se jednat o pověřence pro ochranu osobních údajů, ale i jiné osoby, které mají v gesci zajištění souladu nastavených procesů s požadavky GDPR. https://www.tx.cz/produkty/prakticka-prirucka-poverence-pro-ochranu-osobnich-udaju

Cílem semináře je připravit účastníky na dozor ze strany ÚOOÚ, naučit je, jak se připravit na místní šetření a jak během probíhající kontroly postupovat, aby byly účinně hájeny zájmy organizace a aby bylo sníženo riziko negativního kontrolního nálezu, opatření k nápravě či pokuty.  

Získané vědomosti a zkušenosti jsou však v rámci organizace využitelné nejen při přípravě na kontrolu ze strany ÚOOÚ, ale i v rámci řady dalších procesů a snižování jiných rizik. Zkušenosti a know-how získané na workshopu Jak se připravit na kontrolu ÚOOÚ lze využít rovněž pro:

  • Kontrolu a efektivní nastavení systému pro zpracování osobních údajů (personal data governance)
  • Interní audit zaměřený na některý z procesů, jehož součástí je zpracování osobních údajů, nebo přímo na proces zajišťující ochranu osobních údajů (např. systém na eskalování a řešení data breaches)
  • Externí audit, ať už v případě due dilligence, při prověřování organizace, která působí jako zpracovatel osobních údajů, nebo při udělení či ověření certifikace udělené podle GDPR (https://www.tx.cz/gdpr/gdpr-auditor)
  • Částečné doložení souladu s dalšími předpisy upravujícími ochranu soukromí nebo informační bezpečnost, zejména se zákonem č. 262/2006 Sb., zákoník práce, nebo zákonem č. 181/2014 Sb., o kybernetické bezpečnosti
  • Nastavení odpovídající části compliance management systemu, který může účinně přispět k vyvinění právnické osoby, organizace zpracovávající osobní údaje, z některých trestných činů dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim

Tento workshop je nezbytnou součástí kvalifikace každého zaměstnance, který v organizaci zajišťuje ochranu osobních údajů, a jeho výstupy jsou uplatnitelné i při dokládání souladu s dalšími regulatorními předpisy. 

Štítky

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (13)Management (53)Data (23)BPMN (1)Program Manager (4)Compliance (78)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (25)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (39)Axelos (6)AI (21)ISO (15)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (124)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (14)Whistleblowing Officer (9)DORA (12)AI (1)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (19)Tisková zpráva (3)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (2)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (27)NIS2 (17)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (8)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (38)Pokuta (16)Hospodářská soutěž (1)eGovernment (1)Regulace (26)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Portfolio

Hlavní nabídka

Certifikace

TAYLLORCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play