Tato práce se zabývá zajištěním souladu interních procesů ve vybrané firmě v okrese Děčín s nařízením EU pro ochranu osobních údajů obecně známým pod zkratkou GDPR. Pro zajištění anonymity název firmy není uváděn. Práce díky jeho komplexní povaze zadaný úkol řeší v duchu systémového managementu a používá k dosažení cílů technik systémové analýzy. Pomocí interního auditu byla provedena analýza podnikového prostředí vedoucí k identifikaci procesů, u nichž dochází k manipulaci s osobními daty, souvisejících datových toků a přenosových cest. Sběr primárních dat proběhl ve druhé polovině roku 2019 formou řízených rozhovorů. S pomocí systémové analýzy byly zjištěné informace znázorněny v diagramu datových toků. Pro jednotlivé procesy byly následně zkoumány právní důvody zpracování osobních dat a lhůty exspirace. Celkový výsledek práce pak přináší ucelený přehled firemních aktivit zasazených do kontextu diagramu datových toků popisujícího přehledně architekturu organizace z hlediska práce s osobními daty a na jeho základě vypracované záznamy o zpracování osobních dat spolu s návrhem opatření vedoucích k odstranění zjištěných nedostatků včetně jejich finančního zhodnocení. Výsledky této práce budou využity především v analyzované firmě, nicméně práce může být inspirací pro ostatní organizace, které se zabývají problematikou souladu interních procesů s GDPR. Nezanedbatelným přínosem práce je též demonstrace řešení komplexních problémů organizace s využitím přístupu systémového managementu.
Anotace v angličtině
This thesis deals with ensuring compliance of internal processes in a selected company in the district of Děčín with EU regulation for the protection of personal data generally known by its acronym GDPR. The company name is not given to ensure anonymity. Due to its complex nature, the work solves the assigned task in the spirit of system management and uses system analysis techniques to achieve the goal. Business environment was analysed using an internal audit, leading to the identification of processes in which personal data is manipulated, related data flows and transmission paths. The collection of primary data took place in the second half of 2019 by guided interviews. Collected information was transformed into the data flow diagram with the help of system analysis. The legal reasons for processing personal data and the expiration date for individual processes were subsequently examined. The overall result of the work provides a comprehensive overview of company activities set in context of data flow diagram clearly describing the architecture of the organization in terms of working with personal data and based on it records of personal data processing. The result of the work will be used mainly in the analysed company. However, the work can be an inspiration for other organizations that deal with the issue of internal processes compliance with GDPR. A significant benefit of the work is also a demonstration of solving complex problems of the organization using the system management approach.
Klíčová slova
Osobní údaje, GDPR, interní audit, datový tok, úložiště, systémový management
Klíčová slova v angličtině
Personal data, GDPR, internal audit, data flow, storage, system management
Rozsah průvodní práce
53 s. (65 377 znaků), 158 s.
Jazyk
CZ
Anotace
Tato práce se zabývá zajištěním souladu interních procesů ve vybrané firmě v okrese Děčín s nařízením EU pro ochranu osobních údajů obecně známým pod zkratkou GDPR. Pro zajištění anonymity název firmy není uváděn. Práce díky jeho komplexní povaze zadaný úkol řeší v duchu systémového managementu a používá k dosažení cílů technik systémové analýzy. Pomocí interního auditu byla provedena analýza podnikového prostředí vedoucí k identifikaci procesů, u nichž dochází k manipulaci s osobními daty, souvisejících datových toků a přenosových cest. Sběr primárních dat proběhl ve druhé polovině roku 2019 formou řízených rozhovorů. S pomocí systémové analýzy byly zjištěné informace znázorněny v diagramu datových toků. Pro jednotlivé procesy byly následně zkoumány právní důvody zpracování osobních dat a lhůty exspirace. Celkový výsledek práce pak přináší ucelený přehled firemních aktivit zasazených do kontextu diagramu datových toků popisujícího přehledně architekturu organizace z hlediska práce s osobními daty a na jeho základě vypracované záznamy o zpracování osobních dat spolu s návrhem opatření vedoucích k odstranění zjištěných nedostatků včetně jejich finančního zhodnocení. Výsledky této práce budou využity především v analyzované firmě, nicméně práce může být inspirací pro ostatní organizace, které se zabývají problematikou souladu interních procesů s GDPR. Nezanedbatelným přínosem práce je též demonstrace řešení komplexních problémů organizace s využitím přístupu systémového managementu.
Anotace v angličtině
This thesis deals with ensuring compliance of internal processes in a selected company in the district of Děčín with EU regulation for the protection of personal data generally known by its acronym GDPR. The company name is not given to ensure anonymity. Due to its complex nature, the work solves the assigned task in the spirit of system management and uses system analysis techniques to achieve the goal. Business environment was analysed using an internal audit, leading to the identification of processes in which personal data is manipulated, related data flows and transmission paths. The collection of primary data took place in the second half of 2019 by guided interviews. Collected information was transformed into the data flow diagram with the help of system analysis. The legal reasons for processing personal data and the expiration date for individual processes were subsequently examined. The overall result of the work provides a comprehensive overview of company activities set in context of data flow diagram clearly describing the architecture of the organization in terms of working with personal data and based on it records of personal data processing. The result of the work will be used mainly in the analysed company. However, the work can be an inspiration for other organizations that deal with the issue of internal processes compliance with GDPR. A significant benefit of the work is also a demonstration of solving complex problems of the organization using the system management approach.
Klíčová slova
Osobní údaje, GDPR, interní audit, datový tok, úložiště, systémový management
Klíčová slova v angličtině
Personal data, GDPR, internal audit, data flow, storage, system management
Zásady pro vypracování
Tato práce se zabývá procesem zajištění souladu s nařízením EU pro ochranu osobních údajů obecně známého pod zkratkou GDPR ve vybrané firmě v okrese Děčín, jejíž název není uváděn z důvodu zajištění anonymity. V této firmě bude proveden audit zaměřený na práci s osobními daty, kdy sběr primárních dat proběhne formou řízených rozhovorů. Důvodem je nemožnost získat relevantní informace jinými snadněji vyhodnotitelnými metodami jako jsou dotazníky apod. Dále budou zajištěna sekundární data ve formě interních předpisů vztahujících se k dané problematice. Dle získaných dat bude sestrojen diagram datových toků. Všechny prvky diagramu budou označeny jedinečným identifikátorem a ve speciálním dokumentu k nim budou přiřazeny zjištěné informace. Poté budou pro jednotlivé prvky, tudíž potažmo pro všechna oddělení, úložiště, přenosové kanály, apod. odvozeny vyplývající legislativní požadavky. Pokud bude zjištěn rozpor s identifikovanými interními předpisy a kontrolními mechanizmy, bude stanoveno doporučení vedoucí k jeho odstranění a tím zajištění souladu s nařízením GDPR, což je vlastním cílem této práce. Výsledným výstupem bude kompletní soubor hodnocení a navrhovaných opatření zasazený do kontextu diagramu datových toků, popisujícím architekturu organizace z hlediska práce s osobními daty a cenová kalkulace odhadovaných nákladů na zapracování navržených opatření. Výstup práce umožní firmě po jeho implementaci nejen vyhnout se vysokým sankcím, ale bude mít i pozitivní dopad na hodnocení firmy ze strany vlastních zaměstnanců, partnerů i široké veřejnosti. Na obecné úrovni pak může tato práce posloužit jako vodítko pro ostatní firmy, jak postupovat při zajišťování souladu interních procesů a opatření s GDPR.
Zásady pro vypracování
Tato práce se zabývá procesem zajištění souladu s nařízením EU pro ochranu osobních údajů obecně známého pod zkratkou GDPR ve vybrané firmě v okrese Děčín, jejíž název není uváděn z důvodu zajištění anonymity. V této firmě bude proveden audit zaměřený na práci s osobními daty, kdy sběr primárních dat proběhne formou řízených rozhovorů. Důvodem je nemožnost získat relevantní informace jinými snadněji vyhodnotitelnými metodami jako jsou dotazníky apod. Dále budou zajištěna sekundární data ve formě interních předpisů vztahujících se k dané problematice. Dle získaných dat bude sestrojen diagram datových toků. Všechny prvky diagramu budou označeny jedinečným identifikátorem a ve speciálním dokumentu k nim budou přiřazeny zjištěné informace. Poté budou pro jednotlivé prvky, tudíž potažmo pro všechna oddělení, úložiště, přenosové kanály, apod. odvozeny vyplývající legislativní požadavky. Pokud bude zjištěn rozpor s identifikovanými interními předpisy a kontrolními mechanizmy, bude stanoveno doporučení vedoucí k jeho odstranění a tím zajištění souladu s nařízením GDPR, což je vlastním cílem této práce. Výsledným výstupem bude kompletní soubor hodnocení a navrhovaných opatření zasazený do kontextu diagramu datových toků, popisujícím architekturu organizace z hlediska práce s osobními daty a cenová kalkulace odhadovaných nákladů na zapracování navržených opatření. Výstup práce umožní firmě po jeho implementaci nejen vyhnout se vysokým sankcím, ale bude mít i pozitivní dopad na hodnocení firmy ze strany vlastních zaměstnanců, partnerů i široké veřejnosti. Na obecné úrovni pak může tato práce posloužit jako vodítko pro ostatní firmy, jak postupovat při zajišťování souladu interních procesů a opatření s GDPR.
Seznam doporučené literatury
Evans, C. (2017). How GDPR will shake up data storage. Computer Weekly, 25. Retrieved
25th March 2018 from: http://eds.b.ebscohost.com/eds/pdfviewer/pdfviewer?vid=8&sid=667dcb21-bafa-434a-bcd5-1f3356cda018%40pdc-v-sessmgr01
Evropská Unie (2018). Nařízení, směrnice a další právní akty. Retrieved 18th March 2018 from: https://europa.eu/european-union/eu-law/legal-acts_cs
Kerner, S. M. (2018). Organizations View GDPR as an Opportunity to Improve, IBM Reports. Eweek, 1. Retrieved 8th June 2018 from: http://eds.a.ebscohost.com/eds/detail/detail?vid=4&sid=fa11a03a-3298-409e-a504-f6117a097eaa@sessionmgr4010&bdata=Jmxhbmc9Y3Mmc2l0ZT1lZHMtbGl2ZQ==#db=a9h&AN=129935850
Krystlik, J. (2017). With GDPR, preparation is everything. Computer Fraud & Security, 2017(6), 5-8. Retrieved 25th March 2018 from: https://www.sciencedirect.com/science/article/pii/S1361372317300507
Nezmar, L. (2017). GDPR: praktický průvodce implementací. Praha: Grada Publishing, 2017.
Pavlić, M., Čandrlić, S., Pavlić, D. (2009). A process model of maritime insurance. Pomorstvo / Journal Of Maritime Studies, 23(1), 13-20. Retrieved 8th June 2018: https://eds.a.ebscohost.com/eds/detail/detail?vid=15&sid=9383d48d-934c-4f6e-af4a-cb3ba5edd2d5%40sessionmgr4010&bdata=Jmxhbmc9Y3Mmc2l0ZT1lZHMtbGl2ZQ%3d%3d#AN=44455226&db=a9h
Úřad pro ochranu osobních údajů (2018). Dozorová činnost. Retrieved 25th March 2018 from: https://www.uoou.cz/dozorova-cinnost/ds-1277/p1=1277
Úřad pro ochranu osobních údajů (2018). Schválené pokyny. Retrieved 25th March 2018 from: https://www.uoou.cz/schvalene-pokyny/d-28603
Žůrek, J. (2017). Praktický průvodce GDPR. Olomouc: Anag Publishing, 2017.
Seznam doporučené literatury
Evans, C. (2017). How GDPR will shake up data storage. Computer Weekly, 25. Retrieved
25th March 2018 from: http://eds.b.ebscohost.com/eds/pdfviewer/pdfviewer?vid=8&sid=667dcb21-bafa-434a-bcd5-1f3356cda018%40pdc-v-sessmgr01
Evropská Unie (2018). Nařízení, směrnice a další právní akty. Retrieved 18th March 2018 from: https://europa.eu/european-union/eu-law/legal-acts_cs
Kerner, S. M. (2018). Organizations View GDPR as an Opportunity to Improve, IBM Reports. Eweek, 1. Retrieved 8th June 2018 from: http://eds.a.ebscohost.com/eds/detail/detail?vid=4&sid=fa11a03a-3298-409e-a504-f6117a097eaa@sessionmgr4010&bdata=Jmxhbmc9Y3Mmc2l0ZT1lZHMtbGl2ZQ==#db=a9h&AN=129935850
Krystlik, J. (2017). With GDPR, preparation is everything. Computer Fraud & Security, 2017(6), 5-8. Retrieved 25th March 2018 from: https://www.sciencedirect.com/science/article/pii/S1361372317300507
Nezmar, L. (2017). GDPR: praktický průvodce implementací. Praha: Grada Publishing, 2017.
Pavlić, M., Čandrlić, S., Pavlić, D. (2009). A process model of maritime insurance. Pomorstvo / Journal Of Maritime Studies, 23(1), 13-20. Retrieved 8th June 2018: https://eds.a.ebscohost.com/eds/detail/detail?vid=15&sid=9383d48d-934c-4f6e-af4a-cb3ba5edd2d5%40sessionmgr4010&bdata=Jmxhbmc9Y3Mmc2l0ZT1lZHMtbGl2ZQ%3d%3d#AN=44455226&db=a9h
Úřad pro ochranu osobních údajů (2018). Dozorová činnost. Retrieved 25th March 2018 from: https://www.uoou.cz/dozorova-cinnost/ds-1277/p1=1277
Úřad pro ochranu osobních údajů (2018). Schválené pokyny. Retrieved 25th March 2018 from: https://www.uoou.cz/schvalene-pokyny/d-28603
Žůrek, J. (2017). Praktický průvodce GDPR. Olomouc: Anag Publishing, 2017.