
Analýza by měla být prvním krokem při aplikaci GDPR.
V klidu bychom si měli položit pár základních otázek a z odpovědí na ně sestavit dokument, který bude prvotním vodítkem v tom, co dělat.
Zmapování aktuálního stavu:
- Zpracováváme osobní údaje?
- Zpracováváme citlivé údaje?
- Jaká data máme digitálně – strukturovaně uložena?
- Jaká data máme nestrukturovaná?
- Jaké máme podklady v ne-digitální podobě?
- Odkud je bereme?
- Jaký máme důvod je zpracovávat?
- Odpovídá tento důvod podmínkám GDPR?
- Neschraňujeme zbytečné údaje?
- Víme do kdy můžeme údaje zpracovávat?
- Kde máme data uložena?
- Jak máme data zabezpečena?
- Jak zálohujeme?
- Opravdu nám zálohy fungují?
- Kdo má k jakým datům přístup?
- Jakými kanály k nám/od nás/u nás data tečou?
- jak máme data zabezpečena?
- Máme popsány procesy zpracování dat?
- Kontrolujeme jejich dodržování?
- Komu data předáváme?
- Kdo nám data zpracovává?
- …
Co bychom měli vědět o svých datech:
- Jaká data zpracováváme?
- Zdroj – odkud je bereme?
- Na co je využíváme – opravdu je potřebujeme?
- Na podkladě čeho jsme oprávněni je zpracovávat? – viz Právní důvody
- Do kdy jsme oprávněni je zpracovávat?
- |Kde je máme (sw, úložiště, šanony, …)?
- Jakým procesy je zpracováváme?
- …
Co s tím?
- Revize uživatelů?
- Změna toků dat?
- Změna úložišť?
- Restrukturalizace datových úložišť?
- Změna procesů?
- Výměna systémů?
- Změny v systémech?
- Potřebujeme odbornou pomoc?
- Musíme mít DPO (pověřence pro ochranu osobních údajů)?
- Revize smluv s dodavateli?
- Revize smluv se zaměstnanci?
- Jsou naši zpracovatelé „v souladu s GDPR“?
- …