Jak řídit shodu s GDPR?

Datum poslední aktualizace: 06. 07. 2026

Co je GDPR?

  • GDPR (Obecné nařízení o ochraně osobních údajů) je mezinárodní právní rámec, který stanovuje pravidla pro zpracování osobních údajů a ochranu práv subjektů údajů. Pomáhá firmám zavést a udržovat systém pro shromažďování, zpracování, uchovávání a likvidaci osobních údajů, zajišťující jejich bezpečnost a dodržování práv jednotlivců.
  • Soulad s GDPR je pro zákazníky, regulační orgány a dodavatele klíčovým důkazem, že vaše firma splňuje přísné požadavky na ochranu a bezpečnost osobních údajů.

Co znamená mít shodu s GDPR?

Mít dokumentaci k ochraně osobních údajů

  • Politika ochrany osobních údajů: Oficiální prohlášení vedení o závazku k ochraně a zabezpečení osobních údajů a dodržování regulačních požadavků GDPR.
  • Cíle ochrany osobních údajů: Měřitelné úkoly pro daný rok, které podporují politiku ochrany osobních údajů a dodržování práv subjektů údajů.

Mít popsané a zdokumentované procesy, role a odpovědnosti ve firmě

Evidovat a řešit incidenty a porušení zabezpečení osobních údajů 

  • Řízení incidentů a stížností: Evidovat, vyhodnocovat a řídit incidenty (včetně těch z interních auditů) a stížnosti týkající se zpracování osobních údajů. hlásit porušení zabezpečení 
  • Nápravná a preventivní opatření (CAPA): Systematické hledání a odstraňování příčin porušení zabezpečení osobních údajů a potenciálních incidentů, aby se zabránilo jejich opakování nebo vzniku, s důrazem na práva a svobody subjektů údajů.

Znát rizika a řídit je (předcházet porušení zabezpečení)

  • Řízení rizik: Mít zavedený proces řízení rizik po celou dobu životního cyklu osobních údajů, od shromažďování po likvidaci.
  • Analýza a hodnocení rizik: Provádět analýzu, hodnocení a snižování rizik spojených se zpracováním osobních údajů, a dokumentovat přijatá opatření (např. posouzení vlivu na ochranu osobních údajů - DPIA).

Vzdělávat lidi v oblasti ochrany osobních údajů

Řídit zpracovatele osobních údajů

  • Sledování smluv se zpracovateli osobních údajů a přísné hodnocení dodavatelů, kteří pro firmu zpracovávají osobní údaje, s důrazem na jejich schopnost zajistit soulad s GDPR.
  • Zajištění shody zpracování osobních údajů ze strany dodavatelů s definovanými požadavky a smluvními podmínkami.

Sledovat důkazy a kontrolovat stav shody s GDPR

  • Metriky a KPI: Způsob, jakým firma měří úspěšnost procesů souvisejících s ochranou osobních údajů a dodržováním GDPR.
  • Zpětná vazba a monitoring: Pravidelné zjišťování spokojenosti subjektů údajů a systematický sběr zpětné vazby, včetně monitoringu dodržování práv subjektů údajů.
  • Záznamy o zpracování: Protokoly, revizní zprávy, záznamy o souhlasu, žádostech subjektů údajů a zápisy dokazující, že postupy a regulační požadavky GDPR byly dodrženy.
  • Plánovaná údržba a aktualizace systémů, zejména těch, které ovlivňují zabezpečení a zpracování osobních údajů.

Sledovat porušení, odstraňovat jejich příčiny a trvale se zlepšovat 

  • Interní audity: Pravidelná interní kontrola, zda systém ochrany osobních údajů stále splňuje požadavky GDPR, firemní předpisy a platné regulační požadavky.
  • Přezkoumání vedením: Pravidelné hodnocení celého systému ochrany osobních údajů ze strany top managementu s cílem zajistit jeho vhodnost, přiměřenost a efektivitu pro ochranu osobních údajů.

Jaké dokumenty GDPR vyžaduje?

Povinná dokumentace GDPR

  • Dokument Rozsah ochrany osobních údajů.
  • Dokument Politika ochrany osobních údajů (s ohledem na GDPR a ochranu práv subjektů údajů).
  • Dokument Cíle ochrany osobních údajů (specifické pro bezpečnost a dodržování práv subjektů údajů).

Firemní směrnice a pracovní postupy

  • Směrnice pro zpracovávání osobních údajů (sběr, uchovávání, mazání, reakce na žádosti subjektů údajů).
  • Směrnice o zálohování osobních údajů
  • Směrnice a pracovní postupy jsou aktuální a přístupné zaměstnancům a které podrobně popisují procesy, zejména ty ovlivňující bezpečnost a ochranu osobních údajů
  • Technická dokumentace (Záznamy o činnostech zpracování): vedení komplexní dokumentace ke každé kategorii zpracování osobních údajů, včetně účelů, kategorií subjektů a údajů, příjemce, dob uchovávání a popisu technických a organizačních opatření.
  • Popsaná organizační struktura a pracovní pozice: Přesné určení odpovědností a pravomocí, zejména ve vztahu k zajištění ochrany osobních údajů a dodržování regulačních požadavků GDPR (včetně role DPO).

Zaměstnanci, jejich kompetence a vzdělávání

  • Plány nástupu a adaptace zaměstnanců, s důrazem na specifické požadavky GDPR a ochranu osobních údajů.
  • Plány školení zaměstnanců a záznamy o jejich kompetencích a provedených školeních relevantních pro ochranu osobních údajů.
  • Popisy pracovních pozic a pracovních náplní, s jasným určením požadovaných kompetencí pro role ovlivňující ochranu osobních údajů.

Řízení zpracovatelů osobních údajů

  • Směrnice pro výběr, hodnocení a monitorování zpracovatelů osobních údajů (dodavatelů), kteří pro firmu zpracovávají osobní údaje.

Subjekty údajů

  • Směrnice k vyřizování žádostí subjektů údajů (např. o přístup, opravu, výmaz, omezení zpracování) a hlášení porušení zabezpečení osobních údajů.

Řízení rizik ochrany osobních údajů 

  • Přehled a popis rizik: Mít zavedený systém pro identifikaci, analýzu, hodnocení a řízení rizik spojených se zpracováním osobních údajů po celou dobu jejich životního cyklu, včetně dokumentace DPIA.

Nápravná opatření a řešení incidentů

Ověřování systému ochrany osobních údajů

  • Směrnice k internímu auditu systému ochrany osobních údajů a dodržování GDPR.

Mít GDPR v excelu nebo používat software pro GDPR?

Software pro GDPR jako je Aptien pomáhá vaší firmě efektivně řídit komplexní požadavky na ochranu a shodu při zpracování osobních údajů. Snižuje rizika, optimalizuje procesy a zajišťuje dodržování přísných regulačních požadavků, což vede k lepší ochraně osobních údajů.

  • Snížit náklady spojené s porušením zabezpečení, pokutami a regulačními problémy u osobních údajů.
  • Vybudovat spolehlivý a auditovatelný systém zpracování osobních údajů.
  • Posílit reputaci a důvěryhodnost firmy jako správce/zpracovatele dodržujícího GDPR.
  • Zvýšit důvěru zákazníků a regulačních orgánů, a tím i konkurenceschopnost na trhu.
  • Umožnit rychlejší a efektivnější řízení dokumentace a procesů.
  • Zjednodušit a zefektivnit interní i externí audity a inspekce Úřadu pro ochranu osobních údajů.