Jak by měla vypadat analýza GDPR? Inventarizační tabulka není vše
Na trhu se roztrhl pytel s poskytovateli analýz GDPR. Jenže většina opomíjí, že tyto analýzy mají především pomoci
zákazníkům lépe chránit osobní údaje, nikoliv tyto údaje jen vytřífit.
Poslání GDPR analýzy
Na míru stavěná doporučení pro zvýšení úrovně zabezpečení osobních údajů (dál jen OÚ), identifikaci rizik a navržení
postupů pro jejich minimalizaci, uspořádání veškerých zpracování OÚ pro celou organizaci, zisk podkladového
materiálu pro dozorový orgán. Všechny tyto funkce by měla analýza GDPR plnit. Jejím hlavním úkolem je provést
hloubkovou kontrolu zpracování a ochrany OÚ v organizaci, najít rizika, která ze zpracování vyplývají a navrhnout
organizaci plán opatření pro jejich odstranění. Na konci celého procesu tak organizace ví, jakým způsobem chránit
OÚ a jaká opatření zavést, aby byla v souladu s GDPR, ale i ostatními souvisejícími platnými předpisy.
Inventarizace = malý krok pro ochranu OÚ, ale velký krok pro analýzu GDPR
Jedním z hlavních úkolů analýzy GDPR je inventarizace OÚ. Tento proces mapuje veškerá zpracování OÚ napříč
organizací. Organizace získá komplexní přehled o tom, jaké OÚ zpracovává, kde se nacházejí, kdo k nim má přístup,
odkud OÚ získala, za jakým účelem je zpracovává apod. Ačkoliv tento krok udělá organizaci ve zpracování OÚ
pořádek, jde pouze o část analýzy GDPR. Inventarizační tabulka sice může identifikovat rizika vyplývající z procesu
zpracování OÚ, ale nezvládne organizaci připravit plán zavádění opatření vedoucích k minimalizaci rizik a plnění
platné legislativy. Tento plán navíc reflektuje zvláštní potřeby a specifika organizace, což inventarizační tabulka z logiky
věci nedokáže.
Ochrana OÚ není jen o GDPR
Inventarizační tabulky od právních i technologických společností vychází vždy přímo z
nařízení GDPR. Ale k ochraně OÚ a zabezpečení dat se na území České republiky váže
celá řada dalších předpisů. Mezi nimi najdeme Zákon na ochranu osobních údajů, Zákon
o kybernetické bezpečnosti nebo Zákon o archivnictví a spisové službě. Ochrana OÚ
představuje obrovský fenomén a nařízení GDPR pokrývá pouze jeho část, byť docela velkou.
Pokud chcete opravdu plnit zákonné předpisy na ochranu OÚ a vyhnout se mimořádným
bezpečnostním událostem, možným žalobám ze strany poškozených subjektů a potažmo
pokutám od dozorového orgánu, měli byste si rozmyslet, jestli Vám stačí jen pestrobarevná
tabulka či tabulkový systém anebo upřednostníte reálnou analýzu GDRP, např. nástroj GDA.
Mohlo by Vás zajímat:
5 pomocníků, díky kterým zvádnete GDPR
Cesta k souladu s GDPR aneb univerzální řešení neexistuje
3 způsoby, jak poznat firmy parazitující na GDPR