GDPR checklist pro auditovatelnou firmu
Zákazník z finančního sektoru vám poslal 40stránkový bezpečnostní dotazník.
Autor: Splnit.eu, Redakce Splnit.eu
Proč na GDPR auditovatelnosti záleží víc než kdy dřív
**Zákaznická poptávka se zvedá.** Enterprise zákazníci, banky, pojišťovny a zdravotnické organizace mají vlastní zákonné povinnosti — a přenášejí je na své dodavatele formou smluvních požadavků a bezpečnostních auditů.
**Sankce jsou reálné.** ÚOOÚ v posledních dvou letech výrazně zpřísnilo dohled. Průměrná pokuta v EU za závažná porušení GDPR se pohybuje v milionech eur. I menší firmy dostávají pokuty v řádu stovek tisíc korun za nedostatečné záznamy nebo chybějící DPA.
**Investoři a M&A.** Při due diligence před investicí nebo akvizicí je GDPR soulad standardně prověřovaná oblast. Chybějící dokumentace nebo záznamy o incidentech mohou transakci zkomplikovat nebo snížit valuaci.
Oblast 1: Záznamy o zpracovatelských činnostech (ROPA)
ROPA (Records of Processing Activities) je základní dokument GDPR compliance. Jde o strukturovaný přehled toho, jak a proč vaše firma zpracovává osobní data. Povinnost vyplývá z článku 30 GDPR.
**Kdo musí mít ROPA:**
**Co ROPA musí obsahovat pro každou zpracovatelskou činnost:**
**Nejčastější chyby v ROPA:**
**Praktický postup pro aktualizaci ROPA:**
- Organizace s 250 nebo více zaměstnanci — bez výjimky
- Organizace s méně než 250 zaměstnanci, jejichž zpracování není pouze příležitostné — v praxi to platí pro jakoukoli firmu, která vede databázi zákazníků, zaměstnanců nebo uživatelů
- ROPA z roku 2019 nebo 2020 — neodpovídá aktuálním systémům a dodavatelům. ROPA musí být živý dokument.
- Chybějící zpracovatelské činnosti — firmy dokumentují zákaznická data, ale zapomínají na zaměstnance (mzdy, docházka, nábor), webovou analytiku, e-mailový marketing nebo CRM.
- Nespecifikované právní základy — „oprávněný zájem" není dostatečný právní základ, pokud není doplněn LIA (Legitimate Interest Assessment).
- 1. Projděte všechny systémy, které ve firmě používáte
- 2. Pro každý systém zjistěte: jaká osobní data zpracovává a proč
- 3. Identifikujte právní základ pro každé zpracování
- 4. Zjistěte, kdo je zpracovatelem (cloud provider, SaaS vendor) — ti potřebují DPA
- 5. Aktualizujte ROPA — a nastavte si roční revizi + revizi při každé nové systémové změně
| Pole | Příklad |
|---|---|
| Název zpracovatelské činnosti | Správa zákaznických účtů |
| Účel zpracování | Poskytování SaaS platformy, fakturace |
| Právní základ | Plnění smlouvy (čl. 6(1)(b) GDPR) |
| Kategorie subjektů | Firemní zákazníci a jejich zaměstnanci |
| Kategorie osobních dat | Jméno, e-mail, telefon, IP adresa, log aktivit |
| Příjemci / zpracovatelé | AWS (hosting), Stripe (platby), Intercom (podpora) |
| Přenosy mimo EU/EEA | AWS us-east-1 — základ: SCC + DPA |
| Lhůta pro výmaz | 3 roky po ukončení smlouvy |
| Technická a org. opatření | Šifrování, MFA, zálohy, přístupová kontrola |
Oblast 2: Smlouvy se zpracovateli (DPA)
Každý dodavatel (SaaS, cloud, outsourcing), který zpracovává osobní data vaším jménem, je **zpracovatel** dle GDPR. Zákon vyžaduje, aby byl tento vztah ošetřen formální smlouvou — DPA (Data Processing Agreement) dle článku 28 GDPR.
**DPA není optional** — je to zákonná povinnost. Zpracování bez DPA je samo o sobě porušením GDPR.
**Povinný obsah DPA (čl. 28 GDPR):**
**Přehled typických zpracovatelů SaaS firmy a jejich DPA:**
**Mezinárodní přenosy:** Pokud má zpracovatel servery mimo EU/EEA, musíte mít právní základ pro přenos. Nejčastěji jde o Standardní smluvní doložky (SCC) dle rozhodnutí EU 2021/914. U velkých amerických providerů jsou SCC obvykle součástí DPA — ale ověřte, že jsou aktuální verze (po Schrems II a novém rozhodnutí o přiměřenosti pro USA z roku 2023).
- 1. Zpracovatel zpracovává data pouze na základě dokumentovaných pokynů správce
- 2. Povinnost mlčenlivosti pro všechny osoby s přístupem k datům
- 3. Povinnost přijmout technická a organizační opatření (čl. 32 GDPR)
- 4. Pravidla pro zapojení sub-zpracovatelů (buď konkrétní souhlas, nebo obecný souhlas s právem správce vznést námitku)
- 5. Pomoc správci při plnění práv subjektů údajů
- 6. Pomoc správci při hlášení incidentů a DPIA
- 7. Výmaz nebo vrácení dat po ukončení zpracování
- 8. Poskytnutí veškerých informací potřebných k prokázání souladu + umožnění auditů
| Dodavatel | Typ zpracování | DPA dostupné |
|---|---|---|
| AWS / Google Cloud / Azure | Hosting, storage | Ano — v konzoli nebo na webu |
| Stripe / GoPay | Platby | Ano — v podmínkách |
| HubSpot / Salesforce | CRM | Ano — na vyžádání nebo online |
| Intercom / Zendesk | Zákaznická podpora | Ano — na webu |
| Google Analytics 4 | Webová analytika | Ano — v Google Admin |
| HR systém | Personalistika | Záleží na systému — vyžádejte si |
Oblast 3: Práva subjektů údajů
GDPR dává fyzickým osobám rozsáhlá práva ohledně jejich osobních dat. Vaše firma musí mít procesy, které umožňují tato práva vykonávat.
Přehled práv a co musíte mít připraveno
**Právo na přístup (čl. 15)** Osoba může požádat o kopii všech osobních dat, která o ní zpracováváte. → Musíte být schopni tato data exportovat ze všech relevantních systémů ve srozumitelném formátu.
**Právo na výmaz (čl. 17) — „právo být zapomenut"** Osoba může požádat o smazání svých dat, pokud není důvod pro jejich další zpracování. → Musíte vědět, ve kterých systémech jsou data osoby uložena — a z každého je umět smazat. To zahrnuje zálohy (kde je přiměřená lhůta), logy a archívy.
**Právo na opravu (čl. 16)** Osoba může požádat o opravu nepřesných dat.
**Právo na přenositelnost (čl. 20)** Pokud je právním základem souhlas nebo smlouva — osoba může požádat o data ve strojově čitelném formátu (CSV, JSON).
**Právo vznést námitku (čl. 21)** Proti zpracování na základě oprávněného zájmu nebo pro účely přímého marketingu.
**Právo nebýt předmětem automatizovaného rozhodování (čl. 22)** Pokud o osobě rozhoduje algoritmus s právním nebo jinak závažným dopadem, má právo na lidský přezkum.
Procesní požadavky pro DSAR (Data Subject Access Request)
**Praktický test:** Zadejte si sami (nebo pověřte kolegu) fiktivní žádost o výmaz testovací osoby. Kolik systémů musíte kontaktovat? Jak dlouho to trvá? Kde jsou mezery?
- [ ] Definovaný kanál pro přijímání žádostí (e-mail, formulář, písemně)
- [ ] Proces ověření totožnosti žadatele (nechcete poskytnout data nesprávné osobě)
- [ ] Lhůta: **1 měsíc** od přijetí žádosti (lze prodloužit o 2 měsíce při složitosti, s oznámením)
- [ ] Bezplatné zpracování (výjimka: zjevně neopodstatněné nebo opakující se žádosti)
- [ ] Záznam o každé přijaté a vyřízené žádosti (datum, typ žádosti, způsob vyřízení)
Oblast 4: Posouzení vlivu na ochranu osobních údajů (DPIA)
DPIA (Data Protection Impact Assessment) je povinné posouzení rizik pro zpracování, které pravděpodobně představuje **vysoké riziko** pro práva a svobody fyzických osob (čl. 35 GDPR).
**Kdy DPIA provádět:**
DPIA je povinná, pokud zpracování splňuje alespoň dvě ze tří kritérií:
**Co DPIA musí obsahovat:**
**Konzultace s ÚOOÚ:** Pokud DPIA odhalí vysoké reziduální riziko, které nelze přijatelně snížit, musíte záměr konzultovat s ÚOOÚ před zahájením zpracování.
- 1. **Hodnocení nebo skórování** (profilování, predikce chování, kreditní skórování)
- 2. **Automatizované rozhodování s právním dopadem** (přijímání nebo odmítání žádostí, algoritmické hodnocení)
- 3. **Systematické monitorování** (sledování zaměstnanců, monitoring e-mailů nebo polohy)
- 4. **Citlivé kategorie dat** (zdravotní data, biometrika, etnický původ, politické názory)
- 5. **Rozsáhlé zpracování** (miliony subjektů nebo datové kategorie ve velkém rozsahu)
- 6. **Inovativní technologie** (AI, IoT, nové způsoby zpracování)
- Popis a účel zpracování
- Hodnocení nezbytnosti a přiměřenosti
- Hodnocení rizik pro subjekty údajů
- Opatření ke snížení rizik
- Závěr: je riziko přijatelné, nebo je nutná konzultace s ÚOOÚ?
Oblast 5: Hlášení incidentů v 72 hodinách
Pokud dojde k porušení zabezpečení osobních dat (security breach), máte **72 hodin** na hlášení na ÚOOÚ — pokud incident pravděpodobně představuje riziko pro práva a svobody fyzických osob (čl. 33 GDPR).
Co je porušení zabezpečení osobních dat?
Jde o jakékoli porušení bezpečnosti, které vede k náhodnému nebo protiprávnímu:
**Příklady:**
- Zničení, ztrátě nebo změně osobních dat
- Neoprávněnému zpřístupnění nebo přístupu k osobním datům
- Ransomware útok, který zašifroval databázi zákazníků
- Chybně zaslaný e-mail s osobními daty jiné osobě (i jeden e-mail!)
- Únik přihlašovacích údajů s přístupem k zákaznickým datům
- Ztráta nebo krádež notebooku s nešifrovanými daty
- Omylem zpřístupněné S3 bucket s osobními daty
Kdy se hlásit nemusí?
Hlášení na ÚOOÚ není nutné, pokud incident **pravděpodobně nepředstavuje riziko** pro práva a svobody fyzických osob. Ale: vždy musíte incident **interně zdokumentovat** — bez výjimky.
Jak 72hodinová lhůta funguje v praxi
Lhůta začíná od okamžiku, kdy se správce o incidentu **dozví** — ne od okamžiku, kdy incident nastal.
72 hodin je krátká doba. To znamená:
- V pátek večer přijde ransomware → do pondělního rána musíte mít hlášení podáno (nebo být schopni doložit, že incident nereprezentuje riziko)
- Víkend lhůtu nestaví
Co musí hlášení obsahovat (čl. 33(3) GDPR)
**Pozor:** Hlášení lze podat i částečně a doplnit — pokud v 72 hodinách nemáte všechny informace, podejte, co máte, a doplňte co nejdříve.
- Povaha porušení (jak k němu došlo)
- Kategorie a přibližný počet dotčených subjektů
- Kategorie a přibližný počet dotčených záznamů
- Jméno a kontaktní údaje DPO nebo jiné kontaktní osoby
- Pravděpodobné důsledky porušení
- Přijatá nebo plánovaná opatření k řešení
Kde podat hlášení
Hlášení se podává elektronicky na ÚOOÚ prostřednictvím formuláře dostupného na stránkách úřadu (uoou.cz). Ujistěte se, že váš DPO nebo zodpovědná osoba formulář zná ještě před tím, než incident nastane.
Informování subjektů (čl. 34 GDPR)
Pokud incident pravděpodobně představuje **vysoké riziko** pro subjekty (úniky hesel, zdravotních dat, finančních informací), musíte informovat **přímo dotčené osoby** bez zbytečného odkladu. Výjimka: pokud jste implementovali opatření, která vysoké riziko eliminují (šifrování — dotčené šifrované soubory bez klíče nepředstavují riziko).
Oblast 6: Dokumentace jako zákonný požadavek (accountability)
GDPR v článku 5(2) stanoví princip odpovědnosti (accountability): správce musí být schopen **doložit** soulad s GDPR — nestačí jen soulad existovat.
Dokumenty, které musíte mít a uchovávat
- Dokument: ROPA | Účel: Přehled zpracovatelských činností | Kde uchovávat: Interní systém, aktualizovaný
- Dokument: DPA se všemi zpracovateli | Účel: Zákonný základ zpracování přes 3. strany | Kde uchovávat: Archív smluv
- Dokument: Záznamy o incidentech | Účel: Povinné i pro nehláštěné incidenty | Kde uchovávat: Bezpečné úložiště
- Dokument: Záznamy o DSAR | Účel: Přijatá a vyřízená práva subjektů | Kde uchovávat: Archív, minimálně 3 roky
- Dokument: DPIA (kde relevantní) | Účel: Hodnocení rizika pro vysokorizikové zpracování | Kde uchovávat: Interní systém
- Dokument: Záznamy o souhlasech | Účel: Pokud je souhlas právním základem | Kde uchovávat: Systém, ze kterého lze dohledat
- Dokument: Záznamy o školení | Účel: Kdo byl proškolen a kdy | Kde uchovávat: HR systém nebo interní evidence
- Dokument: Politika ochrany osobních dat (interní) | Účel: Interní pravidla, ne jen web. zásady | Kde uchovávat: Intranet / interní dokumentace
Jak reagovat na zákaznický audit
Enterprise zákazník typicky žádá:
Mějte tyto dokumenty dostupné a aktuální — ne jako 80stránkový PDF, ale jako strukturovaný přehled, který zaměstnatelný security officer zákazníka přečte za 20 minut.
- 1. **Přehled zpracování jeho dat** — výtah z ROPA pro relevantní činnosti
- 2. **DPA** — máte ji připravenou? Odpovídá aktuálnímu zpracování?
- 3. **Přehled sub-zpracovatelů** — kdo má přístup k jejich datům kromě vás
- 4. **Technická a organizační opatření** — stručný popis: šifrování, přístupy, zálohy, monitoring
- 5. **Postup při incidentu** — jak a kdy je informujete, pokud dojde k incidentu
- 6. **Certifikace** — ISO 27001 nebo ekvivalentní potvrzení o bezpečnostní úrovni
Quick checklist — kde jste teď
Projděte tento seznam a označte stav každé položky:
ROPA
- [ ] ROPA existuje a pokrývá všechny zpracovatelské činnosti (zákazníci, zaměstnanci, web, marketing)
- [ ] ROPA byla aktualizována v posledních 12 měsících
- [ ] Každá zpracovatelská činnost má definovaný právní základ
- [ ] Jsou identifikovány všechny přenosy dat mimo EU/EEA a jejich právní základ
DPA
- [ ] DPA je uzavřena se všemi zpracovateli (cloud, CRM, HR, analytika, platby, zákaznická podpora)
- [ ] DPA jsou aktuální a odpovídají skutečnému zpracování
- [ ] Pro přenosy mimo EU/EEA jsou uzavřeny SCC (nebo jiný mechanismus)
Práva subjektů
- [ ] Existuje definovaný proces pro přijímání a vyřizování žádostí (DSAR)
- [ ] Lhůta 1 měsíce je reálně splnitelná (víte, kde ve všech systémech jsou data)
- [ ] Záznamy o přijatých žádostech jsou vedeny
DPIA
- [ ] Identifikovali jste zpracování, která vyžadují DPIA
- [ ] DPIA byly provedeny a jsou zdokumentovány
Incidenty
- [ ] Existuje interní proces pro detekci a klasifikaci incidentů
- [ ] Zodpovědná osoba zná formulář pro hlášení na ÚOOÚ a lhůtu 72 hodin
- [ ] Záznamy o všech incidentech (i nehláštěných) jsou vedeny
Dokumentace
- [ ] Záznamy o školení zaměstnanců existují (kdo, kdy, co)
- [ ] Interní politika ochrany osobních dat (ne jen webová zásada) existuje a je dostupná zaměstnancům
TL;DR
- GDPR auditovatelnost = schopnost doložit, co děláte a proč. Dokumentace je zákonný požadavek, ne volba.
- Základ: aktuální ROPA + DPA se všemi zpracovateli + záznamy o incidentech a DSAR.
- 72 hodinová lhůta pro hlášení incidentu je krátká — mějte postup a kontakty připraveny ještě před incidentem.
- Zákaznické audity testují totéž, co ÚOOÚ — mít jeden dobře zdokumentovaný systém slouží pro oba účely.
- Jednou ročně projděte ROPA a DPA — technické prostředí a dodavatelé se mění, dokumentace musí odpovídat realitě.
Související přehled předpisu
Otevřít přehled: GDPR →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma