DPO

Jednou z povinností, které vyplývají z GDPR a které musí většina správců splnit, je jmenování tzv. pověřence pro ochranu osobních údajů (DPO). I pro správce, kteří tuto povinnost nemají, je výhodné ustanovit osobu odpovědnou za dodržování pravidel v oblasti ochrany osobních údajů..

Základní výčet nabízených činností:

  • Zodpovědnost za
    • zmapování vnitřního prostředí subjektu s ohledem na implementaci GDPR,
    • soupis typů se kterými subjekt pracuje a jaký je právní titul a účel k tomuto zpracování,
    • identifikování vysoce rizikových oblastí, které je třeba řešit, aby byla činnost subjektu uvedena do souladu s GDPR pravidly,
    • normativní shodu ohledně plnění nařízení EU k problematice GDPR,
    • transparentní systém zpracování a nakládání s ,
    • vypracování analýzy rizik a její periodické vyhodnocování (posouzení),
    • kontrolu, nastavení zodpovědností, bezpečnosti ukládaných dat a nastavených procesů v rámci subjektu s ohledem na:
      • RISK (Risk Management System) ISO 31000,
      • QMS (Quality Management System) ISO 9001,
      • ISMS (Information Security Management System) ISO 27001,
    • nezávislý audit ohledně dodržování nařízení EUproblematice GDPR v subjektu,
    • přípravu kodexu pro OOÚ, případě smluvních doložek,
    • zpracovaný seznam , které se v subjektu zpracovávají,
    • včasné nahlášení případů porušení zabezpečení na ÚOOÚ,
    • praktické aplikace výkladu GDPR na konkrétní procesy a činnosti subjektu.
  • Kontroly
    • procesů a metodik a vydávání návrhů a doporučení k jejich aktualizaci,
    • tvorby návrhů opatření v oblastech fyzické, personální, administrativní a informační bezpečnosti (klasifikace dat, dopad ztráty nebo zcizení interních dat) a kybernetické bezpečnosti.
  • Působnost jako
    • mediátor ve vztahu k subjektům ,
    • metodik ve vztahu ke správci a ke zpracovateli ,
    • osoba odpovědná za zpracování a vyřízení dotazů a požadavků stěžovatelů.
  • Tvorba návrhů
    • opatření k OOÚ v subjektu,
    • nastavení ochrany (záměrná, standardní).
  • Posuzování
    • vazeb na architekturu IT systémů, aplikací a komunikačních kanálů ve vztahu k evidenci , včetně dopadů na informační bezpečnost v oblasti ochrany , vyhodnocuje případná rizika a navrhuje opatření k jejich eliminaci.
  • Monitorování
    • právní novelizace ve vztahu k GDPR a navrhuje interní předpisy k aktualizaci a doplnění v případě přijetí nové národní či evropské legislativy.
  • Komunikace
    • s ÚOOU ohledně záležitostí týkajících se OOÚ.
  • Garant
    • ochrany ve společnosti, v rámci subjektu zajišťuje kontrolu, že existuje systém na ochranu .