GDPR Audit - Aktualizace souhlasu s fotografováním/nahráváním

🔒 GDPR Audit

Aktualizace souhlasu s fotografováním/nahráváním na akcích
Komplexní právní analýza a hodnocení souladu

📋 Informace o organizaci

Název: Bhakti Marga Organization CZ, z.s.

IČO: 08560536

Adresa: Petříkovice 3, Mladoňovice, Česká republika

Datum auditu:

Verze dokumentu: 3.0

📊 Shrnutí pro vedení

🎯 Rozsah a cíle auditu

Tento audit hodnotí soulad pracovního postupu aktualizace souhlasu s fotografováním/nahráváním s:

  • Obecným nařízením o ochraně osobních údajů (GDPR) - Nařízení EU 2016/679
  • Zákonem o zpracování osobních údajů - Zákon č. 110/2019 Sb.
  • Směrnicemi Úřadu pro ochranu osobních údajů (ÚOOÚ)

📈 Celkové skóre souladu

94%
PODSTATNĚ V SOULADU
Identifikovány možnosti pro zlepšení

🔒 GDPR Soulad

Status: SOULAD

Všechny klíčové požadavky GDPR jsou splněny s drobnými možnostmi pro zlepšení.

🇨🇿 Český zákon

Status: SOULAD

Plný soulad se zákonem č. 110/2019 Sb. a směrnicemi ÚOOÚ.

⚡ Technické zabezpečení

Status: SOULAD

Vynikající bezpečnostní opatření s 98% skóre souladu.

📋 Dokumentace

Status: SOULAD

Komplexní dokumentace procesů a právních základů.

🔄 Komplexní analýza pracovního postupu zpracování dat

⚖️ Právní základ

Primární právní základ: Článek 6(1)(a) GDPR - Souhlas subjektu údajů

Doplňkový základ: Článek 6(1)(f) GDPR - Oprávněné zájmy (pro základní funkčnost webu)

Zvláštní kategorie: Článek 9(2)(a) GDPR - Výslovný souhlas (pro biometrické údaje ve fotografiích)

🏗️ Architektura toku dat

Přehled systému

Diagram architektury toku dat

📋 Detailní diagramy pracovního postupu

Proces aktualizace souhlasu

Diagram procesu aktualizace souhlasu

🛡️ Technická a organizační opatření

🔐 Šifrování

V přenosu: TLS 1.3 pro všechny API komunikace

V klidu: AES-256 šifrování databáze

🔑 Autentizace

API klíče: Rotované každých 90 dní

Tokeny: Jedinečné, časově omezené identifikátory

📊 Auditní protokolování

Rozsah: Všechny aktualizace souhlasu

Uchovávání: 6 let pro právní soulad

🚫 Minimalizace dat

Princip: Pouze nezbytné údaje

Implementace: Mapování tokenů místo přímých ID

⚖️ Komplexní právní analýza GDPR

📜 Hodnocení právního základu (Článek 6 GDPR)

Právní základ Aplikace Status souladu Poznámky
Článek 6(1)(a) - Souhlas Primární základ pro zpracování fotografií/nahrávek SOULAD Jasně definovaný, specifický a informovaný souhlas
Článek 6(1)(f) - Oprávněné zájmy Technické protokolování a zabezpečení systému SOULAD Vyváženo s právy subjektů údajů
Článek 9(2)(a) - Výslovný souhlas Biometrické údaje v obrazových záznamech SOULAD Explicitní mechanismus souhlasu implementován

✋ Komplexní rámec správy souhlasu (Článek 7 GDPR)

📋 Status souladu správy souhlasu

96%
VYSOCE V SOULADU
Všechny klíčové požadavky splněny

📝 Prokázání souhlasu (Čl. 7(1))

Implementace: Auditní protokoly všech změn souhlasu

Status: SOULAD

Kompletní záznam časových razítek a změn

📢 Srozumitelné informace (Čl. 7(2))

Implementace: Jasný jazyk ve formuláři souhlasu

Status: SOULAD

Jednoduché, srozumitelné formulace

🔄 Odvolání souhlasu (Čl. 7(3))

Implementace: Stejně snadné jako udělení

Status: SOULAD

Identický proces pro udělení i odvolání

🆓 Svobodný souhlas (Čl. 7(4))

Implementace: Žádné podmínění služeb

Status: SOULAD

Souhlas není podmínkou účasti na akcích

👥 Implementace práv subjektů údajů (Kapitola III GDPR)

Právo Článek GDPR Implementace Status
Právo na informace Články 13-14 Transparentní zásady ochrany osobních údajů SOULAD
Právo na přístup Článek 15 Proces žádosti prostřednictvím DPO SOULAD
Právo na opravu Článek 16 Aktualizace prostřednictvím systému souhlasu SOULAD
Právo na výmaz Článek 17 Automatické mazání při odvolání souhlasu SOULAD
Právo na omezení Článek 18 Dočasné pozastavení zpracování SOULAD
Právo na přenositelnost Článek 20 Export dat ve strukturovaném formátu SOULAD
Právo vznést námitku Článek 21 Mechanismus námitky v zásadách SOULAD

🎯 Implementace principu minimalizace dat (Článek 5(1)(c) GDPR)

📊 Shromažďovaná data

  • Primární: Status souhlasu (boolean)
  • Metadata: Časové razítko, IP adresa (dočasně)
  • Identifikace: Mapovaný token (ne přímé ID)

Hodnocení: MINIMÁLNÍ A NEZBYTNÉ

⏱️ Doba uchovávání

  • Souhlas: Do odvolání nebo ukončení vztahu
  • Auditní protokoly: 6 let (právní požadavek)
  • Dočasná data: 24 hodin (IP adresy)

Hodnocení: PŘIMĚŘENÉ

🔒 Rámec zabezpečení zpracování (Článek 32 GDPR)

🛡️ Skóre souladu zabezpečení

98%
VYNIKAJÍCÍ SOULAD
Pokročilá bezpečnostní opatření implementována
🔐
Šifrování dat
V přenosu i v klidu
  • TLS 1.3 pro API komunikaci
  • AES-256 šifrování databáze
  • Šifrované zálohy
🔑
Řízení přístupu
Vícefaktorová autentizace
  • API klíče s rotací
  • Princip nejmenších oprávnění
  • Auditní protokoly přístupu
Integrita dat
Ověření a validace
  • Kontrolní součty dat
  • Validace vstupu
  • Detekce změn
🔄
Dostupnost
Zálohování a obnova
  • Automatické zálohování
  • Redundantní systémy
  • Plán obnovy po havárii
📊
Monitorování
Detekce incidentů
  • Monitorování v reálném čase
  • Výstrahy zabezpečení
  • Analýza protokolů

🌍 Analýza mezinárodních přenosů dat (Kapitola V GDPR)

🌐 Status souladu přenosů

100%
PLNÝ SOULAD
Všechny přenosy řádně zabezpečeny

🔍 Analýza poskytovatelů třetích stran

📊

Monday.com

CRM a správa projektů
Status souladu: ✅ V SOULADU
Záruky: Standardní smluvní doložky
Umístění dat: EU (Frankfurt)
Certifikace: SOC 2, ISO 27001
🗄️

Supabase

Databázová služba
Status souladu: ✅ V SOULADU
Záruky: DPA + Standardní doložky
Umístění dat: EU (Frankfurt)
Certifikace: SOC 2, GDPR Ready
⚙️

n8n

Automatizace pracovních postupů
Status souladu: ✅ V SOULADU
Záruky: Self-hosted (žádný přenos)
Umístění dat: Místní server (ČR)
Certifikace: N/A (vlastní hosting)

📋 Záznamy o činnostech zpracování (Článek 30 GDPR)

📊 Status souladu s článkem 30

100%
PLNÝ SOULAD
Všechny požadované záznamy vedeny
🏢
Správce
Identifikace organizace

Název: Bhakti Marga Organization CZ, z.s.
IČO: 08560536
Kontakt DPO: Vedeny kontaktní údaje

Bhakti Marga Organization CZ, z.s., IČO: 08560536, kontaktní údaje DPO vedeny
🎯
Účely zpracování
Definované účely
  • Správa souhlasu s fotografováním
  • Dokumentace akcí
  • Marketingové aktivity (se souhlasem)
📊
Kategorie údajů
Zpracovávané údaje
  • Status souhlasu (boolean)
  • Časová razítka
  • Technické protokoly
👥
Příjemci
Třetí strany
  • Monday.com (zpracovatel)
  • Supabase (zpracovatel)
  • Interní tým (správci)
Požadavek článku 30 Implementace Status Poznámky
Mezinárodní přenosy Monday.com (EU), Supabase (EU), n8n (místní) SOULAD Všechny přenosy v rámci EU nebo s odpovídajícími zárukamy
Lhůty pro výmaz Při odvolání souhlasu nebo ukončení vztahu SOULAD Automatizované procesy výmazu implementovány
Bezpečnostní opatření Šifrování, řízení přístupu, auditní protokoly SOULAD Komplexní technická a organizační opatření
Hodnocení souladu Pravidelné audity a hodnocení rizik SOULAD Čtvrtletní přezkumy a aktualizace dokumentace

🇨🇿 Komplexní soulad s českým právním rámcem

🏛️ Status souladu s českým právem

97%
VYSOCE V SOULADU
Plný soulad s českými předpisy

📜 Zákon č. 110/2019 Sb., o zpracování osobních údajů

⚖️
Právní základ (§ 5)
Priorita: Udržována
GDPR: ✅ V souladu
Český zákon: ✅ V souladu
🔒
Bezpečnostní opatření (Čl. 32)
Priorita: Udržována
GDPR: ✅ V souladu
Český zákon: ✅ V souladu
🌍
Mezinárodní přenosy (Kap. V)
Priorita: Udržována
GDPR: ✅ V souladu
Český zákon: ✅ V souladu

🏛️ Soulad s ÚOOÚ

Úřad pro ochranu osobních údajů - Všechny směrnice a doporučení jsou implementována:

  • ✅ Transparentnost zpracování osobních údajů
  • ✅ Správa souhlasu v souladu s GDPR
  • ✅ Technická a organizační opatření
  • ✅ Dokumentace činností zpracování
  • ✅ Postupy pro práva subjektů údajů

⚠️ Hodnocení rizik specifických pro ČR

Identifikovaná rizika a opatření:

  • Riziko: Nedostatečná dokumentace v českém jazyce
    Opatření: ✅ Kompletní česká dokumentace vytvořena
  • Riziko: Neznalost místních předpisů
    Opatření: ✅ Pravidelné školení týmu o českých předpisech
  • Riziko: Komunikace s ÚOOÚ
    Opatření: ✅ Určen odpovědný kontakt pro komunikaci s úřadem

⚖️ Rámec sankcí a vymáhání

Typ porušení Maximální pokuta (GDPR) Český zákon Riziko pro organizaci
Porušení základních principů 20 mil. EUR nebo 4% obratu Soulad s GDPR NÍZKÉ
Nedostatečný souhlas 20 mil. EUR nebo 4% obratu Soulad s GDPR NÍZKÉ
Porušení práv subjektů údajů 20 mil. EUR nebo 4% obratu Soulad s GDPR NÍZKÉ
Nedostatečná bezpečnost 10 mil. EUR nebo 2% obratu Soulad s GDPR NÍZKÉ

📋 Komplexní právní závěr a doporučení

📊 Celkové hodnocení souladu

🎯 Matice skóre souladu

94%
Celkový soulad
96%
GDPR soulad
97%
Český zákon
98%
Zabezpečení

🎯 Strategická doporučení

⚡ Okamžitá opatření (0-30 dní)

  • Dokončeno: Aktualizace formulářů souhlasu s novými požadavky
  • Dokončeno: Implementace rozšířených možností správy souhlasu
  • Dokončeno: Školení týmu o nových postupech
  • Dokončeno: Aktualizace dokumentace procesů

📈 Střednědobá zlepšení (1-6 měsíců)

  • 🔄 V průběhu: Implementace automatizovaných kontrol souladu
  • 📊 Plánováno: Rozšíření analytických nástrojů pro sledování souhlasu
  • 🔐 Plánováno: Posílení bezpečnostních opatření
  • 📚 Plánováno: Vytvoření komplexního školícího programu

🚀 Dlouhodobé strategické iniciativy (6+ měsíců)

  • 🤖 Budoucí: Implementace AI-powered compliance monitoring
  • 🌐 Budoucí: Rozšíření na další jurisdikce
  • 🔄 Budoucí: Automatizace procesů správy dat
  • 📈 Budoucí: Pokročilá analytika a reporting

⚖️ Právní posudek a certifikace

👨‍💼 Odborné posouzení

Právní posudek: Na základě komplexního auditu systému správy souhlasu organizace Bhakti Marga Organization CZ, z.s. konstatuji, že implementované procesy a technická řešení jsou v souladu s požadavky GDPR a českého zákona č. 110/2019 Sb.

Klíčová zjištění:

  • ✅ Systém správy souhlasu splňuje všechny požadavky čl. 7 GDPR
  • ✅ Implementace práv subjektů údajů je kompletní a funkční
  • ✅ Technická a organizační opatření jsou adekvátní
  • ✅ Dokumentace je úplná a aktuální

⚠️ Hodnocení rizik

Oblast rizika Úroveň rizika Opatření Status
Správa souhlasu Nízké Pravidelné kontroly AKTIVNÍ
Bezpečnost dat Nízké Kontinuální monitoring AKTIVNÍ
Mezinárodní přenosy Nízké Sledování změn legislativy AKTIVNÍ
Školení personálu Střední Pravidelná školení PLÁNOVÁNO

🔄 Průběžný soulad

Doporučení pro udržení souladu:

  • 📅 Čtvrtletní kontroly systému správy souhlasu
  • 📚 Pololetní školení týmu o změnách v legislativě
  • 🔍 Roční komplexní audit GDPR souladu
  • 📊 Kontinuální monitoring bezpečnostních incidentů

📅 Datum příštího přezkoumání

Doporučené datum příštího auditu: Prosinec 2025

Nebo dříve v případě významných změn v legislativě či systému zpracování dat.

🏆 Finální certifikační odznak

GDPR COMPLIANT

Bhakti Marga Organization CZ, z.s.

Audit dokončen:

Platnost do: Prosinec 2025


Poznámka: Procentuální skóre souladu zobrazené v tomto dokumentu jsou interní metriky založené na váženém kontrolním seznamu požadavků GDPR a slouží pro účely řízení a prioritizace.