Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA tajemník úřadu
Praha 6 LOGO ZNAK VLAJKA
Městská část Praha 6 Tajemník Vedoucí úředníci Úřednící Zastupitelstvo Rada Starosta Tajemník Vedoucí úředníci Úřednící
správa věcí veřejných ve veřejném zájmu Působnost úřadu správa věcí veřejných ve veřejném zájmu VEŘEJNÁ SPRÁVA STÁTNÍ SPRÁVA SAMOSPRÁVA
Na základě vlastního rozhodnutí Osobní údaje zpracování Na základě zákona Na základě vlastního rozhodnutí
Časová osa příprav na GDPR BŘEZEN 2017 Seznámení vedení MČ Praha 6 Rada městské části Vedoucí odborů Soupis databází a procesů Seznam WEB Seznam databází (IT) Další databáze a procesy (úkol vedoucím)
Časová osa příprav na GDPR KVĚTEN 2017 ustanovení přípravné pracovní skupiny (preference „in-house“ řešení) Tajemník vedoucí Kanceláře tajemníka (příprava procesů) vedoucí právního odboru interní právník (postupná specializace) vedoucí oddělení IT „externí“ odborník (ochrana osobních údajů vs. poskytování informací)
Časová osa příprav na GDPR ČERVEN až ŘÍJEN 2017 „in house“ výběrová předběžná analýza Vybrány dva vzorové procesy a ty prověřeny Následně prověřován vždy jeden proces za každý odbor Zvažováno dodavatelské řešení
Časová osa příprav na GDPR LISTOPAD Sumarizace získaných informací Zobecnění opakujících se zjištění Konstatována nutnost dodavatelského řešení
Opakující se zjištění k řešení databáze přijatých usnesení orgánů MČ - poměrně široký přístup uživatelů i do neveřejných příloh a "neomezená" doba uchovávání přílohy veřejné x neveřejné doplnit o „důvěrné“ řešit postup v čase široký přístup osob k informacím a spisům obsahující citlivé údaje (např. „staré“ dluhy, sociální aspekty, zdravotní stav, … např. žadatelů) zjemnit členění přístupových práv pseudonymizace zpracování osobních údajů nikoliv pouze na základě požadavku zákona úprava procesů (včetně formulářů) sdílení přístupů (počítačů) zlepšení bezpečnosti informací a ochrany osobních údajů (včetně periodické obnovy hesel) ochrana listinných spisů pravidla pro uchovávání "fyzických" spisů nejasné rozdělení správce vs. zpracovatel nejasné režim zpracování (ze zákona?)
Další kroky Úprava plánu implementace Vstupní analýza (externí) z in-house na externí Vstupní analýza (externí) současný stav Analýza včetně návrhu opatření Implementace opatření V průběhu – jmenování POVĚŘENCE
Vstupní analýza • Analýza organizační struktury, lokalit a působnosti, • Stanovení rozsahu a hranic působnosti GDPR, • Přehled právních norem, na jejichž základě vzniká organizaci povinnost zpracovávat osobní údaje, • Definování kontextu organizace s ohledem na zpracovávání osobních údajů, • Identifikace zainteresovaných stran a jejich požadavků na zajištění bezpečnosti osobních údajů ze strany vedení organizace, • Identifikace a vyhodnocení procesů organizace zpracovávajících osobní údaje, • Identifikace a vyhodnocení komplexnosti, rozsahu a různorodosti ICT infrastruktury v oblasti zpracování a uchovávání osobních údajů: • Identifikace stavu interní procesní a bezpečnostní dokumentace v organizaci, která upravuje řízení bezpečnosti informací a zpracování osobních údajů
Výstup ze vstupní analýzy • Stanovení rozsahu působnosti GDPR, • Doporučení postupu k zajištění připravenosti prostředí zadavatele na Nařízení EU č. 679/2016 včetně harmonogramu, • Odhad časové a rámcové finanční náročnosti doporučeného postupu, • Specifikace a rozsah dílčích oblastí, které musí být předmětem následujících analýz
Shrnutí Seznámit s GDPR vedení „Úklid“ procesů Analyzovat současný stav Analyzovat dopady GDPR a navrhnout opatření Implementovat
Děkuji za pozornost Jan Holický www.praha6.cz tajemnik@praha6.cz