Přeskočit na obsah
TECHNOMATON | Docs SAI certifikovaní trenéři

GDPR Checklist

Deadline: Průběžně

Část C: GDPR Compliance

#AktivitaReferenceFázePopis
C1Scope & GAP AnalýzaČl. 2, 3PřípravaUrčení rozsahu zpracování a analýza mezer
C1.1– Territorial scopeČl. 3PřípravaZpracování dat EU rezidentů?
C1.2– Current state assessmentČl. 5, 24PřípravaAudit současného stavu GDPR compliance
C1.3– GAP identificationČl. 24PřípravaIdentifikace mezer vs. GDPR požadavky
C2Data Mapping (ROPA)Čl. 30AnalýzaRecords of Processing Activities
C2.1– Personal Data CategoriesČl. 30(1)(c)AnalýzaJména, emaily, IP, cookies, behaviorální, health data
C2.2– Legal BasisČl. 6, 9AnalýzaConsent / Contract / Legal / Legitimate interest
C2.3– Data Subject CategoriesČl. 30(1)(c)AnalýzaCustomers, employees, partners, prospects
C2.4– Retention PeriodsČl. 5(1)(e), 30(1)(f)AnalýzaJak dlouho uchovávat? Auto-delete procedury
C2.5– Data Flow DiagramČl. 30AnalýzaVizualizace toků osobních údajů
C2.6– Third-country transfersČl. 44-49AnalýzaPřenosy mimo EU/EEA
C3Data Processing Agreements (DPA)Čl. 28GovernanceSmlouvy se všemi zpracovateli
C3.1– Controllers vs. ProcessorsČl. 4(7,8), 26GovernanceAudit: Kdo je controller? Kdo processor?
C3.2– Processor listČl. 28(1)GovernanceSeznam všech zpracovatelů
C3.3– Sub-processor ManagementČl. 28(2,4)GovernanceKdo jsou sub-processors? Souhlasy?
C3.4– DPA TemplatesČl. 28(3)GovernanceStandardizované smlouvy (EN, CZ)
C3.5– SCCs for transfersČl. 46(2)(c)GovernanceStandard Contractual Clauses pro non-EU transfers
C4Privacy by Design & DefaultČl. 25ImplementaceOchrana soukromí v návrhu systémů
C4.1– Privacy by Design principlesČl. 25(1)ImplementaceZabudování privacy do návrhu systémů
C4.2– Privacy by DefaultČl. 25(2)ImplementaceVýchozí nastavení = minimum dat
C4.3– Data MinimizationČl. 5(1)(c)ImplementacePouze nutná data. Smazání zbytečných sloupců
C4.4– PseudonymizationČl. 4(5), 25ImplementacePro analytics: pseudonymizovat kde možné
C4.5– AnonymizationGDPR Recital 26ImplementacePlná anonymizace kde možné
C5Technical & Organizational MeasuresČl. 32ImplementaceBezpečnost zpracování
C5.1– Encryption at restČl. 32(1)(a)ImplementaceŠifrování osobních údajů at rest (AES-256)
C5.2– Encryption in transitČl. 32(1)(a)ImplementaceŠifrování při přenosu (TLS 1.3)
C5.3– Access controlČl. 32(1)(b)ImplementaceŘízení přístupu k osobním údajům
C5.4– ConfidentialityČl. 32(1)(b)ImplementaceZajištění důvěrnosti
C5.5– IntegrityČl. 32(1)(b)ImplementaceZajištění integrity dat
C5.6– AvailabilityČl. 32(1)(b)ImplementaceZajištění dostupnosti
C5.7– ResilienceČl. 32(1)(b)ImplementaceOdolnost systémů
C5.8– Restore capabilityČl. 32(1)(c)ImplementaceSchopnost obnovit dostupnost dat
C5.9– Regular testingČl. 32(1)(d)TestováníPravidelné testování účinnosti opatření
C6DPIA (Impact Assessment)Čl. 35AnalýzaData Protection Impact Assessment
C6.1– DPIA proces definovánČl. 35(1)GovernanceKdy a jak provádět DPIA
C6.2– DPIA templateČl. 35(7)GovernanceŠablona pro DPIA
C6.3– DPIA pro high-risk processingČl. 35(3)AnalýzaProvedeno pro high-risk zpracování
C6.4– DPIA pro AI systemsČl. 35 + AI ActAnalýzaDPIA pro AI zpracovávající osobní údaje
C7Subject Rights (DSAR)Čl. 15-22ImplementacePráva subjektů údajů
C7.1– DSAR workflowČl. 12ImplementaceProces zpracování žádostí subjektů
C7.2– DSAR email/formulářČl. 12(2)ImplementaceKanál pro přijímání žádostí
C7.3– Identity verificationČl. 12(6)ImplementaceProces ověření identity žadatele
C7.4– Right to AccessČl. 15ImplementaceWorkflow: odpovědět do 30 dní
C7.5– Right to ErasureČl. 17ImplementaceDelete user data včetně backupů
C7.6– Right to RectificationČl. 16ImplementaceOprava chyb, audit log
C7.7– Right to PortabilityČl. 20ImplementaceExport v CSV/JSON/XML
C7.8– Right to RestrictionČl. 18ImplementaceOmezení zpracování
C7.9– Right to ObjectČl. 21ImplementaceNámitka proti zpracování
C7.10– DSAR registerČl. 12MonitoringEvidence zpracovaných žádostí
C8Consent ManagementČl. 7ImplementaceSpráva souhlasů
C8.1– Cookie ManagementČl. 7, ePrivacyImplementaceEssential/Functional/Analytics/Marketing cookies
C8.2– Cookie bannerePrivacyImplementaceGDPR-compliant cookie banner
C8.3– Email Consent TrackingČl. 7(1)ImplementaceDouble-opt-in workflow
C8.4– Consent WithdrawalČl. 7(3)ImplementaceProcedura odvolání souhlasu
C8.5– Consent recordsČl. 7(1)MonitoringEvidence udělených souhlasů
C9Privacy Policy & TransparencyČl. 12-14DokumentaceInformační povinnost
C9.1– Privacy PolicyČl. 13, 14DokumentaceSrozumitelná, kompletní, aktuální
C9.2– GDPR Transparency (Art. 13/14)Čl. 13, 14Dokumentace18 items informací pro subjekty
C9.3– AI TransparencyČl. 22 + AI ActDokumentaceInformace o AI v rozhodování
C9.4– Layered noticesČl. 12(1)DokumentaceVíceúrovňové informace (shrnutí + detail)
C10Data Breach ManagementČl. 33, 34IncidentProcedura hlášení porušení
C10.1– Breach detectionČl. 33IncidentProcesy pro detekci porušení
C10.2– Breach assessmentČl. 33(1)IncidentRisk assessment dopadu porušení
C10.3– ÚOOÚ notification (72h)Čl. 33IncidentNotifikace do 72 hodin
C10.4– Subject notificationČl. 34IncidentNotifikace subjektů při vysokém riziku
C10.5– Breach registerČl. 33(5)MonitoringEvidence všech porušení
C10.6– Notification templatesČl. 33, 34DokumentaceŠablony pro notifikace (ÚOOÚ, subjekty)
C11DPO (Data Protection Officer)Čl. 37-39GovernancePověřenec pro ochranu osobních údajů
C11.1– DPO jmenovánČl. 37GovernanceDPO určen a jmenován
C11.2– DPO independenceČl. 38(3)GovernanceNezávislost DPO zajištěna
C11.3– DPO Contact PublicČl. 37(7)Governancedpo@firma.cz publikováno na webu
C11.4– DPO registered with ÚOOÚČl. 37(7)GovernanceRegistrace DPO u dozorového úřadu
C11.5– DPO ResponsibilitiesČl. 39GovernanceMonitoring, audit, education, liaison
C12Training & AwarenessČl. 39(1)(b)TrainingŠkolení zaměstnanců
C12.1– GDPR training (all staff)Čl. 39(1)(b)TrainingZákladní GDPR školení pro všechny
C12.2– Role-specific trainingČl. 39(1)(b)TrainingSpecializované školení (HR, Marketing, IT)
C12.3– Training recordsČl. 24(1)MonitoringEvidence absolvovaných školení
C12.4– Awareness programČl. 39(1)(b)TrainingPrůběžné zvyšování povědomí

Kritická cesta

  1. C2 Data Mapping (ROPA) → dokončit do 31.1.2026
  2. C7.4-C7.5 DSAR Access + Erasure → dokončit do 28.2.2026
  3. C10 Breach Management → dokončit do 28.2.2026
  4. C3 DPA se všemi vendors → dokončit do 31.3.2026
  5. C5 Technical Measures → dokončit do 31.3.2026

Implementační fáze

Zdroje