Třetí úroveň služeb se zaměřuje na typy činností, které subjekt potřebuje v rámci splnění povinností spojených s GDPR, případně činnostmi které subjekt potřebuje realizovat průběžně.

Mezi takové patří i poskytování služeb DPOPověřence pro ochranu OÚ.

 

Základní výčet nabízených činností:

  • Zodpovědnost za:
    • zmapování vnitřního prostředí subjektu s ohledem na implementaci GDPR,
    • soupis typů se kterými kancelář pracuje a jaký je právní titul a účel k tomuto zpracování,
    • identifikování vysoce rizikových oblastí, které je třeba řešit, aby byl subjekt uveden do souladu s GDPR pravidly,
    • normativní shodu ohledně plnění nařízení EU k problematice GDPR
    • transparentní systém zpracování a nakládání s 
    • vypracování analýzy rizik a její periodické vyhodnocování (posouzení)
    • kontrolu, nastavení zodpovědností, bezpečnosti ukládaných dat a nastavených procesů v rámci subjektu s ohledem na:
      • RISK (Risk Management System) ISO 31000
      • QMS (Quality Management System) ISO 9001
      • ISMS (Information Security Management System) ISO 27001
    • nezávislý audit ohledně dodržování nařízení EUproblematice GDPR v subjektu
    • přípravu kodexu pro OOÚ, případě smluvních doložek
    • zpracovaný seznam , které se v subjektu zpracovávají
    • včasné nahlášení případů porušení zabezpečení na ÚOOÚ
    • praktické aplikace výkladu GDPR na konkrétní procesy a činnosti subjektu.

 

  • Kontroly:
    • procesů a metodik a vydávání návrhů a doporučení k jejich aktualizaci
    • tvorby návrhů opatření v oblastech fyzické, personální, administrativní a informační bezpečnosti (klasifikace dat, dopad ztráty nebo zcizení interních dat) a kybernetickou bezpečnost

 

  • Působnost jako:
    • mediátor ve vztahu k subjektům OOÚ
    • metodik ve vztahu ke správci a ke zpracovateli
    • osoba odpovědná za zpracování a vyřízení dotazů a požadavků stěžovatelů

 

  • Tvorba návrhů:
    • opatření k OOÚ v subjektu
    • nastavení ochrany (záměrná, standardní)

 

  • Posuzování:
    • vazeb na architekturu IT systémů, aplikací a komunikačních kanálů ve vztahu k evidenci , včetně dopadů na informační bezpečnost v oblasti ochrany , vyhodnocuje případná rizika a navrhuje opatření k jejich eliminaci

 

  • Monitorování:
    • právní novelizace ve vztahu k GDPR a navrhuje interní předpisy k aktualizaci a doplnění v případě přijetí nové národní či evropské legislativy

 

  • Komunikace:
    • s ÚOOU ohledně záležitostí týkajících se OOÚ

 

  • Garant:
    • ochrany ve společnosti, v rámci subjektu zajišťuje kontrolu, že existuje systém na ochranu .