Článek

Připravte se na GDPR

Fáze projektu ve třech krocích: Plánujte, analyzujte, podpořte implementaci nařízení

Fáze projektu ve třech krocích

Fáze 1 - Projektové plánování

Cíl: Nastavit způsob spolupráce projektového týmu a vytvořit ucelený obrázek o aktuálním stavu prostředí. K čemu v této fázi dochází?

Krok 1 - Nastavení organizace a systému řízení projektu prostřednictvím:
  • Identifikace zainteresovaných stran, která bude využita v dalších fází projektu pro řízení očekávání,
  • specifikace rozsahu projektu pro dosažení souladu s nařízením GDPR a
  • odsouhlasení způsobu řízení, očekávání, součinnosti a komunikace v rámci projektu.
Krok 2 - Zmapování agend a procesů s vazbou na GDPR.

Základními zdroji dat a informací je kombinace všech dostupných metod, jako jsou:

  • Deloitte analyzované high-level změny vyplývající z GDPR,
  • přezkoumání interních struktur a činností,
  • získání informací a dat z ověřených veřejně dostupných zdrojů a
  • strukturované rozhovory se zaměstnanci.

Výstupem projektového plánování je:

  • Odsouhlasené projektové zadání a 
  • předběžné shrnutí pozorování současného stavu z pohledu businessu,právního & compliance, IT architektury a bezpečnosti.
Příklad oblastí zpracovávajících osobní údaje:
  • Podpora obchodu/prodeje
  • Call centra, zákaznická podpora
  • Nový obchod
  • Správa smluv
  • Platby
  • Marketing, kampaně, CRM
  • Personální oddělení
  • Nákup zboží a služeb, správa objektů
  • Fraud
  • Produkty
  • Risk
Analýza dopadů

Fáze 2 - Analýza dopadů

Business analýza
  • Příprava stávající a budoucí procesní mapy do úrovně činností vykonávaných jednotlivými rolemi v konkrétních systémech a s konkrétními daty.
  • Specifikace dopadů na tyto procesy, činnosti a role zpracovávající osobní údaje.
IT architektura
  • Aktualizace a rozšíření analýzy dopadů do konkrétních IT systémů.
  • Návrh řešení na provedení úprav v jednotlivých IT systémech / aplikacích.
Bezpečnost
  • Aktualizace a rozšíření analýzy dopadů s ohledem na IT bezpečnost.
  • Doporučený postup náprav s přihlédnutím na roli správce a zpracovatele.
Právní analýza
  • Identifikace oblastí s dopadem GDPR, revize dokumentace/ příprava nového znění dokumentace.
  • Zmapování dopadů do procesů.
Compliance analýza
  • Začlenění DPO do organizační struktury.
  • Nastavení role a pozice DPO. 
  • Příprava GDPR Compliance Checklistu.
Analýza rizik (volitelné)
  • Příprava přehledu rizik ve smyslu potenciálních sankcí vyplývajících z porušení GDPR v důsledku nesprávné implementace jednotlivých ustanovení.
  • Klasifikace, přiřazení stupně a kvantifikace rizika, analýza možnosti mitigace rizika.

Fáze 3 - Podpora při implementaci

Cíl: Implementovat během této fáze organizační a technická mitigační opatření a vybrat nejlepší přístup.

Konzultanti Deloitte a právní odborníci Deloitte Legal poskytují metodické vedení a asistují při implementaci navržených mitigačních opatření například prostřednictvím:

Businessu
  • Zapracování změn do procesů a dokumentace (politiky, směrnice, pracovní postupy, apod.).
  • Příprava komunikační strategie a materiálů napříč prodejními kanály.
Právo a compliance
  • Nastavení průběžného monitorování souladu s nařízením GDPR,
  • zastoupení či externí podpora nové role Pověřenec pro ochranu osobních údajů (DPO).
IT architektura a IT bezpečnost
  • Příprava detailních zadání změnových požadavků pro současné dodavatele IT systémů.
  • Vystupování v roli systémového integrátora při implementaci opatření u složitých centralizovaných řešení (např. Master Data Management).
  • Zpracování RFP a podpora při výběru dodavatele nových technických nástrojů (vč. dohledu nad implementací).
  • Zapracování změn do IT/bezpečnostních procesů a dokumentace.
  • Definice a nastavení procesu řízení rizik bezpečnosti informací (vč. provedení analýzy rizik).
  • Detailní posouzení nastavených technických opatření (např. SIEM).

Další poradenské služby

  • DPOaaS (DPO jako služba) – identifikace povinnosti začlenění pověřence pro ochranu osobních údajů do společnosti, případné nastavení jeho rolí nebo zprostředkování DPO prostřednictvím outsourcingu.
  • Dílčí a high-level poradenství a analýzy pro menší klienty nebo jako prvotní analýza.
  • Pa implementace kodexů.
Byl pro Vás tento článek přínosný?

Související články