O projektu EURO DPO

EURO DPO je projektem Institutu ochrany osobních údajů, z.ú. realizovaný v roce 2017. Vychází z principu testování známého z oblasti IT systémů, kde je každý nový systém před svým spuštěním otestován, tedy jeho skutečné vlastnosti jsou souborem testů porovnány s vlastnostmi, které jsou požadovány zadáním. V případě požadavku na soulad s Nařízením GDPR je zadáním legislativní text Nařízení GDPR, který popisuje vlastnosti chování organizace při zpracovávání osobních údajů. Toto zadání je souborem testů porovnáváno se skutečným stavem.

Princip EURO DPO:

  • Testování provádí sama organizace, která kontroluje svůj soulad s Nařízením GDPR. EURO DPO je pomůckou, která pomůže malé organizaci překonat první úskalí tohoto Nařízení a která také poskytne základní soubor otázek, na které je třeba mít připravenou odpověď. Včetně statistického vyhodnocení odpovědí na tyto otázky.
  • Je důležité, aby organizaci byly známé a jasné principy, které je třeba dodržet. Proto je v rámci EURO DPO organizace nejprve seznámena se Základními pojmy z Nařízení GDPR a s Principy posouzení, které musí splnit. Lze si prodlédnout i vzorovou firmu.  Předpokládáme, že tím získá organizace dostatečnou orientaci v uvedené problematice, aby byla schopna ověřit sama sebe z hlediska souladu s Nařízením GDPR.
  • Test EURO DPO je napsán jako soubor testů, které představují základní vodítko tím, co je třeba splnit pro dosažení souladu s GDPR. Nazýváme je generickými testovacími případy. Tyto testy si rozhodně nekladou za cíl pokrýt každou organizaci, v každém oboru a s každou specifikou. Z tohoto důvodu ponechává EURO DPO určitý prostor na doplnění specifikými testovacími případy, které si vkládá sama organizace a které doplňují seznam všech testů tak, aby lépe, více a případně i přesněji pokryly ty případy zpracování osobních údajů, které v organizaci skutečně nastávají.
  • Pravdivost a správnost odpovědi na otázky nelze kontrolovat. Pravdivost či nepravdivost odpovědí je tedy na tom, kdo se testuje. Je v jeho zájmu nacházet odpovědi na otázky a v praxi tak být připraven na dobu, kdy bude muset být schopen doložit dozorovému orgánu dodržování Nařízení GDPR.
  • Test končí protokolem o vykonaném testu, který shrnuje jeho výsledky.
  • V dalších verzích EURO DPO budou postupně doplňovány i další testy a další vlastnosti EURO DPO, které Vám pomohou dosáhnout požadovaného souladu s Nařízením GDPR.
  • Pokud se objeví potřeba konzultace některých otázek, které nebudou jasné, je možné si je jako další službu objednat. U provozovatele EURO DPO nebo kdekoliv jinde.

Proč právě EURO DPO?

Odpovědnost

Každá organizace bude odpovědná za to, že zpracování osobních údajů bude od 25.5.2018 provádět v souladu s Nařízením GDPR. Už dnes platí řada zákonů, které zpracování osobních údajů upravují. Nicméně, pokud má být organizace odpovědná, pak musí být schopna se v Nařízení dostatečně dobře orientovat. Stejně jako v jiných zákonech, které musí v každodenním životě dodržovat. EURO DPO poskytne přehled základních pojmů a pravidel. Je to živý přístup a může být podle potřeby doplněn.

EURO DPO poskytuje pomoc s přípravou na tuto odpovědnost – nabízí množství otázek, na které si budete muset odpovědět. A pokud odpovíte, budete umět klást i další …

Cena

Pro malé podniky může být cena (náklady), kterou bude třeba vynaložit na dosažení souladu s GDPR, velmi limitujícím faktorem. Z toho důvodu metodika EURO DPO klade důraz na odpovědnost organizace a tedy i její znalost a kompetenci. V tom jí podporuje. Pokud bude nutné vyžádat si konzultaci k některé části Nařízení GDPR nebo jeho aplikaci – tedy ke konkrétmínu případu, pak to pro organizaci bude představovat jen zlomek těch nákladů, které by musela vynaložit, pokud by řešení požadovala “na klíč” od externího dodavatele.

EURO DPO představuje opravdu minimální náklad. A protože bude zařazovat do svých dalších verzí i otázky ze života, které budou formulovány Vámi, pak míra, se kterou bude schopen pokrýt všechny možné případy, poroste.

Rozvoj

Dodávka “na klíč”, je nejen drahá, ale také z hlediska dalšího rozvoje organizace z hlediska souladu zpracování osobních údajů s Nařízením GDPR možná i trochu nebezpečná. Při každé změně procesů, změně v IT, změně v legislativním rámci atd. bude organizace muset některá opatření, která budou přijata pro dosažení souladu s Nařízením GDPR, udělat znovu. Znovu za peníze pro externího dodavatele. Další udržování souladu tedy bude zatíženo dodatečnými náklady.

EURO DPO se bude rozvíjet. Protože poskytujeme i konzultační činnost právě pro projekty “na klíč”, budeme se setkávat s praktickými příklady toho, co je třeba řešit. A tyto zkušennosti budeme do EURO DPO testů zahrnovat.

Kompetence

Z hlediska činnosti každé organizace je zpracování osobních údajů jen jednou z podmínek, které je třeba splnit, aby organizace mohla dosáhnout cílů, pro které byla vytvořena. Z dnešního pohledu se jeví žádoucí udržet si kompetenci i v této oblasti, i když s předmětem vlastní činnosti organizace většinou přímo nesouvisí. Je ovšem významnou podmínkou bezproblémového fungování, stejně jako podmínky z oblasti pracovního práva, bezpečnosti, požární ochrany a další. A bylo by nešťastné vzdávat se kompetencí k činnostem, kde chyby mohou být pokutovány a tedy z hlediska možných postihů představují významné riziko vlastní práci.

EURO DPO bude ke svým kompetencím přidávat i kompetence jednotlivých oborových organizací. Vznikne tím zajímavý model s mnohem vyšším zákaznickým komfortem, protože organizace si nebudou muset doplňovat velké množství vlastních testů. Proto dlouhodobé právo na využití EURO DPO bude výrazně výhodnější než krátkodobé.