Jednou z povinností, které vyplývají z GDPR a které musí většina správců splnit, je jmenování tzv. pověřence pro ochranu osobních údajů (DPO). I pro správce, kteří tuto povinnost nemají, je výhodné ustanovit osobu odpovědnou za dodržování pravidel v oblasti ochrany osobních údajů..
Základní výčet nabízených činností:
- Zodpovědnost za
- zmapování vnitřního prostředí subjektu s ohledem na implementaci GDPR,
- soupis typů OÚ se kterými subjekt pracuje a jaký je právní titul a účel k tomuto zpracování,
- identifikování vysoce rizikových oblastí, které je třeba řešit, aby byla činnost subjektu uvedena do souladu s GDPR pravidly,
- normativní shodu ohledně plnění nařízení EU k problematice GDPR,
- transparentní systém zpracování a nakládání s OÚ,
- vypracování analýzy rizik a její periodické vyhodnocování (posouzení),
- kontrolu, nastavení zodpovědností, bezpečnosti ukládaných dat a nastavených procesů v rámci subjektu s ohledem na:
- RISK (Risk Management System) ISO 31000,
- QMS (Quality Management System) ISO 9001,
- ISMS (Information Security Management System) ISO 27001,
- nezávislý audit ohledně dodržování nařízení EU k problematice GDPR v subjektu,
- přípravu kodexu pro OOÚ, případě smluvních doložek,
- zpracovaný seznam OÚ, které se v subjektu zpracovávají,
- včasné nahlášení případů porušení zabezpečení OÚ na ÚOOÚ,
- praktické aplikace výkladu GDPR na konkrétní procesy a činnosti subjektu.
- Kontroly
- procesů a metodik a vydávání návrhů a doporučení k jejich aktualizaci,
- tvorby návrhů opatření v oblastech fyzické, personální, administrativní a informační bezpečnosti (klasifikace dat, dopad ztráty nebo zcizení interních dat) a kybernetické bezpečnosti.
- Působnost jako
- mediátor ve vztahu k subjektům OÚ,
- metodik ve vztahu ke správci a ke zpracovateli OÚ,
- osoba odpovědná za zpracování a vyřízení dotazů a požadavků stěžovatelů.
- Tvorba návrhů
- opatření k OOÚ v subjektu,
- nastavení ochrany OÚ (záměrná, standardní).
- Posuzování
- vazeb na architekturu IT systémů, aplikací a komunikačních kanálů ve vztahu k evidenci OÚ, včetně dopadů na informační bezpečnost v oblasti ochrany OÚ, vyhodnocuje případná rizika a navrhuje opatření k jejich eliminaci.
- Monitorování
- právní novelizace ve vztahu k GDPR a navrhuje interní předpisy k aktualizaci a doplnění v případě přijetí nové národní či evropské legislativy.
- Komunikace
- s ÚOOU ohledně záležitostí týkajících se OOÚ.
- Garant
- ochrany OÚ ve společnosti, v rámci subjektu zajišťuje kontrolu, že existuje systém na ochranu OÚ.