Jste GDPR ready? Zkuste si náš GDPR dotazník

Dnes tu mám pro vás nikoliv článek, ale dotazník zaměřený na GDPR (General data protection regulation) tj nařízení platné od 25.5.2018. Tímto nařízením se ruší Zákon č. 101/2002 Sb. o ochraně osobních údajů a přináší mnoho nových povinností. Pokud nemáte základy GDPR nastudované, tak doporučuji začít jinde a na tento GDPR dotazník se později vrátit.

GDPR dotazník, který jsem vypracoval, obsahuje 32 otázek a měl by pomoci zjistit, do jaké míry jste nebo nejste GDPR ready. Pomůže vám také udělat si představu o oblastech, na které GDPR bude klást nároky. V případě, že na některé z otázek bude odpověď „NE„, doporučuji se na danou oblast více informovat, připadně se na ni připravit třeba ve spolupráci s nějakým konzultantem. V závislosti na velikosti organizace a složitosti procesů mohou být některé otázky více či méně relevantní. Případné návrhy na doplnění prosím do komentáře.

1) ZÁKLADNÍ PRÁVA SUBJEKTU ÚDAJŮ

  1. Je možné na vyžádání klienta umožnit přístup ke všem osobním údajům vyskytujícím se v systému (v tištěné, elektronické podobě)? Je možné zajistit na vyžádání transport klientských údajů třetí straně?
  2. Je možné na vyžádání klienta provést opravu klientských údajů v systému
  3. Je možné zajistit výmaz klientských údajů pokud k jejich evidenci neexistují zákonné, smluvní nebo jiné důvody ke zpracování?
  4. Je možné zajistit odvolání se zpracováním osobních údajů pro marketingové účely?
  5. Je možné zajistit odvolání klienta se zpracováním svých údajů pro automatizované procesy, profilování?
  6. Je možné umožnit klientovi vznést námitku v souvislosti se zpracováním svých osobních údajů?
  7. V případě, že je možné určit po jakou nezbytně krátkou dobu mohou být osobní údaje klientů a zaměstnanců zpracovávány, jsou takové lhůty stanoveny?
  8. Jsou všechny získané osobní údaje evidovány pouze v nezbytném rozsahu k poskytnutí služby nebo splnění zákonných požadavků (např. u zaměstnanců)?

2) SALES & MARKETING & WEB

  1. Existuje u každého klienta, jehož osobní údaje jsou zpracovávány, souhlas se zpracováním osobních údajů v momentě získání osobních údajů (tzn. i retrospektivně)? Pozor dle GDPR musí klient AKTIVNĚ souhlasit, tzn. např. v případě webu nestačí pouze pasivně potvrdit předzaškrtnuté tlačítko jako dosud.
  2. Jsou na webu aktuální informace o zpracování osobních údajů a informace o právech klientů v souvislosti s ochranou osobních údajů a povinnostech správce OÚ?
  3. Je v organizaci interně stanoveno, na základě jakého právního titulu jsou osobní data zpracovávána? Smluvní vs zákonný titul.
  4. Existuje správně nastavená cookies policy?
  5. Dochází k distribuci marketingových materiálů klientům a v případě že ano, existuje souhlas se zpracováním osobních údajů pro marketingové účely u každého klienta (i zpětně)?
  6. Zpracovávají se (a jsou vůbec identifikovány) citlivé údaje ve zvláštním režimu ochrany tj. osobní údaje dětí, biometrické údaje, údaje o zdravotním stavu, sexuální orientaci, náboženství, atp.?

3) DOKUMENTY & PROCESY

  1. Je jmenován Pověřenec pro ochranu osobních údajů (v případě povinnosti)? Jaké má kompetence, úkoly, není ve střetu zájmů?
  2. Je v organizaci implementována politika privacy by design, tzn. schvalování KAŽDÉHO nového procesu souvisejícího se zpracováním osobních údajů Pověřencem pro potvrzení toho, že proces je z hlediska GDPR OK?
  3. Existuje vnitropodniková směrnice upravující nakládání s osobními údaji klientů a jejich ochranu?
  4. Existují procesy a dokumenty pro vypořádání práv, které může uplatňovat subjekt údajů v souladu s GDPR (vč. písemné formy)
  5. Existuje evidence toho, kde všude se osobní údaje klientů vyskytují, kdo s nimi pracuje a kde jsou uložena?
  6. Vyhodnocují se pravidelně osobní údaje, které jsou v informačních systémech bez existence smluvního nebo zákonného titulu pro zpracování osobních údajů a tyto data se pravidelně mažou?
  7. Jsou zaměstnanci průběžně školeni o právech a povinnostech?
  8. Existuje seznam zaměstnanců, kteří osobní údaje ve společnosti zpracovávají?
  9. Existuje (a je pravidelně aktualizován) v organizaci přehled o Typech zpracováváných údajích (v případě že má povinnost vést) alespoň v rozsahu:

4) INFORMAČNÍ SYSTÉMY & BEZPEČNOST

  1. Existuje pravidelně aktualizovaný seznam v jakých informačních systémech a umístěních jsou uloženy osobní údaje
  2. Jsou osobní údaje zabezpečeny proti zneužití nebo ztrátě? Je možné data ze zálohy obnovit?
  3. Mohou zaměstnanci přistupovat do vnitropodnikového systému nebo emailu ze soukromých zařízení a v případě že ano, je toto spojení zabezpečeno/šifrováno pro zabránění neoprávněného vniknutí?
  4. Nachází se všechna data na serverech ležících v EU?
  5. Existuje osoba zodpovědná za informační bezpečnost organizace? Existují nějaké bezpečností směrnice?
  6. Provádí se pravidelně testy zabezpečení systému, archivace dat?
  7. Je možné při obnovení ze zálohy zpětně upravit systém o dříve uplatněná práva subjektů údajů (výmazy, opravy)

5) VZTAH SPRÁVCE OSOBNÍCH ÚDAJŮ VS ZPRACOVATEL – DODAVATEL

  1. Je smluvně zabezpečena ochrana poskytnutých osobních údajů ve vztahu ke zpracovatelům/dodavatelům (třetí strany)?
  2. Je technicky a procesně možné uplatnit práva subjektů údajů (právo na informování, opravu, výmaz, odvolání souhlasu s MKT) u zpracovatelů/dodavatelů?

Disclaimer: GDPR dotazník je zveřejněn jako ilustrativní a je vyjádřením názoru a interpretace autora. Neslouží, ani není určen jako návod k plnění povinností souvisejících s implementací GDPR. Jako autor nenesu žádnou odpovědnost za případně škody vzniklé špatnou interpretací nebo neúplností dotazníku. Použití dotazníku pro soukromé účely je bez písemného souhlasu autora zakázáno.

Nařízení (EU) 2016/679 – Struktura, obsah a odkaz

Celé znění Nařízení (EU) 2016679 (GDPR) v češtině ke stažení zde
Úřední věstník Evropské unie L119 najdete třeba zde

 

Reagovat na příspěvek