Krok 1: Inventarizace zpracovatelských činností
Pro úspěšnou přípravu na GDPR je třeba řádně popsat zpracovatelské činnosti prováděné vaší společností. Je třeba mít jasno v tom, jaké osobní údaje společnost zpracovává, proč, na základě jakého oprávnění, jak s nimi nakládá atd.
Zejména je třeba identifikovat, shromáždit a popsat následující:
- Kategorie zpracovávaných osobních údajů
- Kategorie subjektů údajů
- Účely zpracování a právní základy zpracování
- Zapojení zpracovatelů a třetích stran do zpracování
- Předávání osobních údajů třetím stranám případně i do zahraničí a mimo EU
- Prostředky používané ke zpracování (IT systémy, procesy, technické prostředky atd.)
- Zabezpečení a bezpečnostní opatření
- Interní i externí předpisy ovlivňující zpracování osobních údajů ve společnosti
- Smluvní dokumentaci
- Organizační a provozní dokumentaci zpracování osobních údajů;