Kurz: GDPR pro IT pracovníky – technická zabezpečení, praktická implementace, případová studie

Případová studie (fiktivní firmy):

• identifikace procesů u nichž dochází ke zpracování osobních údajů,

• klasifikace procesů pomocí APQC frameworku,

• dokumentace zpracování osobních údajů do registru zpracování,

• výpočet inherentního rizika a prioritizace prací (zohlednění: typů osobních údajů, dalších relevantních zákonů, přenosů údajů do zahraničí, profilování a automatického rozhodování, riziko pro jednotlivce vs. pro populaci vs. pro organizaci, správce vs. zpracovatel, požadavky na lokalizaci dat, Risk Apetite, role a zodpovědnosti, aj.),

• data flow mapping – mapování celého životního cyklu osobních údajů,

• gap analýzy (pro vybraný proces, informačních systémů v nichž jsou osobní údaje zpracovávané, analýza vendorů – zpracovatelů),

• vytvoření plánu technicko-organizačních opatření (TOO),

• jak technicko-organizační opatření implementovat v praxi – nejčastější problémy a některá možná řešení (např: cloudy, lokální stanice, externí dodavatelé,GPS sledování, CCTV kamery, web (trackování, cookies, analytika, reklamy, sběr údajů, chaty, …), datová centra),

• DPIA (Data Privacy Impact Assessment) – jak posoudit rizika zpracování a zbytkové riziko po implementaci technicko-organizačních opatření,

• požadavky na právní dokumenty, tj. co dát právníkovi ke zapracování do smluv, do Souhlasu, do Privacy policy, aj.,

• Data Privacy Management System (DPMS) a jak uvést do souladu celou organizaci (procesy, role a lidé, technologie a nástroje, monitorování souladu a reportování vedení, incident management, dokumentace, školení, subscription services, aj.),

• DPO / Pověřenec pro ochranu osobních údajů.
Dotazy a diskuze.

Seminář vychází z několikaletých zkušeností při budování systémů pro řízení ochrany osobních údajů (DPMS) a jejich implementaci v praxi. Na případové studii a při využití praktických nástrojů zmapuje jednotlivé oblasti implementace (teoretických) požadavků obecného nařízení o ochraně osobních údajů (GDPR), které od 25. května 2018 nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů. Seminář nebude detailně rozebírat právní problematiku a zájemce by tedy nejprve měl absolvovat „přípravný“ teoretický výklad o GDPR.