Analýza by měla být prvním krokem při aplikaci GDPR.

V klidu bychom si měli položit pár základních otázek a z odpovědí na ně sestavit dokument, který bude prvotním vodítkem v tom, co dělat.

Zmapování aktuálního stavu:

  1. Zpracováváme osobní údaje?
  2. Zpracováváme citlivé údaje?
  3. Jaká data máme digitálně – strukturovaně uložena?
  4. Jaká data máme nestrukturovaná?
  5. Jaké máme podklady v ne-digitální podobě?
  6. Odkud je bereme?
  7. Jaký máme důvod je zpracovávat?
  8. Odpovídá tento důvod podmínkám GDPR?
  9. Neschraňujeme zbytečné údaje?
  10. Víme do kdy můžeme údaje zpracovávat?
  11. Kde máme data uložena?
  12. Jak máme data zabezpečena?
  13. Jak zálohujeme?
  14. Opravdu nám zálohy fungují?
  15. Kdo má k jakým datům přístup?
  16. Jakými kanály k nám/od nás/u nás data tečou?
  17. jak máme data zabezpečena?
  18. Máme popsány procesy zpracování dat?
  19. Kontrolujeme jejich dodržování?
  20. Komu data předáváme?
  21. Kdo nám data zpracovává?

Co bychom měli vědět o svých datech:

  1. Jaká data zpracováváme?
  2. Zdroj – odkud je bereme?
  3. Na co je využíváme – opravdu je potřebujeme?
  4. Na podkladě čeho jsme oprávněni je zpracovávat? – viz Právní důvody
  5. Do kdy jsme oprávněni je zpracovávat?
  6. |Kde je máme (sw, úložiště, šanony, …)?
  7. Jakým procesy je zpracováváme?

Co s tím?

  1. Revize uživatelů?
  2. Změna toků dat?
  3. Změna úložišť?
  4. Restrukturalizace datových úložišť?
  5. Změna procesů?
  6. Výměna systémů?
  7. Změny v systémech?
  8. Potřebujeme odbornou pomoc?
  9. Musíme mít DPO (pověřence pro ochranu osobních údajů)?
  10. Revize smluv s dodavateli?
  11. Revize smluv se zaměstnanci?
  12. Jsou naši zpracovatelé „v souladu s GDPR“?