GDPR v sociálních službách - metodika implementace

Slides:



Advertisements
Podobné prezentace
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Advertisements

Přechod na nový systém akreditací JIŘÍ SMRČKA TAJEMNÍK AKREDITAČNÍ KOMISE.
Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.
Celní správa České republiky Činnost Celní správy ČR při uplatňování mezinárodních sankci.
Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
Rizika, specifikace administrace na konci programového období ve vazbě na eliminaci rizik z „přezávazkování“/nedočerpání Programu Přerov
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Střednědobé plány krajů, sítě sociálních služeb a přechod financování sociálních služeb na kraje Konference Financování sociálních služeb pro města a obce.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
BEZPEČNOST JEŘÁBOVÉ DOPRAVY Při konstrukci a provozu jeřábů musí být přísně dbáno na zásady bezpečnosti, aby nebyl ohrožen život a zdraví osob a zabránilo.
Centrální registr zbraní – změna právní úpravy. Harmonogram novely červenec 2012 rozeslání novely do meziresortního připomínkového řízení předložení.
1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Standardy kvality sociálních služeb. soubory měřitelných a ověřitelných kritérií, které popisují, jak má vypadat kvalitní sociální služba. Jsou použitelné.
1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS – zadání a vypracování ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání.
Seminář na MZ Bezpečnost zdravotních služeb - současná priorita MZ MUDr. Markéta Hellerová Ministerstvo zdravotnictví.
Seminář pro žadatele k 3.,4. a 9. výzvě IROP Ing. Helena Mertová Výběrová a zadávací řízení
Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Ministerstvo vnitra ČR, leden 2012 Centrální nákup v resortu MV.
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT. 2 Administrativní bezpečnost Režimová bezpečnost Ochrana spisové agendy Automatizované prostředky spisové.
OCHRANA PROTI NESPRÁVNÉMU POSTUPU ZADAVATELE. PRAVOMOCI ÚOHS - § 112 vydává předběžná opatření, vydává předběžná opatření, rozhoduje, zda zadavatel při.
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
PROJEKT ISTI INFORMAČNÍ SYSTÉM TECHNICKÉ INFRASTRUKTURY VEŘEJNÉ SPRÁVY
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Akreditační standardy SAK ČR pro nemocnice - I
Stávající systém kontroly při těžbě dřeva
Úřad práce České republiky
Zákon o sociálním podnikání
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Stipendijní řád MU Jiří Nantl 17. května 2006.
Název opory – Právní předpisy – požární ochrana
Zpráva o uplatňování ÚP
Společenská odpovědnost ve školství
Aplikace Monitorovací systém
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Povinnosti provozovatele střešních instalací při dodávkách přímým vedením
eRecept – komunikace se základními registry
Norma ČSN JUDr. Tomáš Koníček
Workshop projektu systémová podpora sociální práce v obcích na téma:
Oblast: Dobré životní podmínky zvířat
Schvalovací proces + hodnoticí kritéria
kpt. Ing. Tomáš Hoffmann HZS Karlovarského kraje
Regionální operační program regionu soudržnosti Střední Morava
Zpráva o uplatňování územního plánu
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
GDPR: ochrana osobních údajů
Legislativní změny na úseku EO, OP, CD (k datu )
Živnostenské podnikání (správně-právní režim) III. část
Změny právní úpravy ochrany přírody a krajiny
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
Centralizované rozvojové projekty 2017
Podnikové dětské skupiny Kristina Zapletalová
GDPR v sociálních službách
GDPR v sociálních službách
Aktuálně o stavu příprav na účinnost GDPR
© STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
Praktické zkušenosti s implementací GDPR ve školách
Hodnotící zpráva k výsledkům kontrol výkonu přenesené a samostatné působnosti svěřené orgánům obcí, krajů a hlavního města Prahy za léta 2014–2016.
PROCES STANDARDIZACE SOCIÁLNÍ PRÁCE V LOVOSICÍCH
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Seminář AMG, Písek 2018 GDPR.
Podpora sociální práce na území Statutárního města Kladna
Obecné nařízení o ochraně osobních údajů
Klíčové aktivity projektu
Transkript prezentace:

GDPR v sociálních službách - metodika implementace Ing. Jaroslav Dolanský 1 1

Cíle implementace GDPR 1. schopnost poskytnout informace a součinnost subjektu údajů - dotazy, námitky, žádosti, oznámení, přenositelnost 2. odůvodnit existenci konkrétních dat u správce a dokumentovat operace s nimi spojené 3. obhájit postup zpracování a úroveň zabezpečení osobních údajů - audit, kontrola ÚOOÚ, stížnosti, ohlašování porušení zabezpečení, posouzení vlivu Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 2

Implementace GDPR 1. Definice a implementace procesů GDPR (nových i stávajících) 2. Definice a implementace nápravných opatření (vyplývajících z provedené analýzy rizik) 3. Zavedení řízené dokumentace GDPR Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 3

Procesy GDPR Nové procesy: - agenda definice činností souvisejících s osobními údaji a jejich záznamem - proces komunikace se subjekty údajů - proces sběru, vyhodnocení a ohlášení incidentů Rozšířené procesy: - formalizace zpracování osobních údajů - doplnění analýz rizik Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 4

Nápravná opatření Úpravy stávající dokumentace: - shoda záznamů obsahujících osobní údaje s dokumentací - doplnění smluvních ustanovení - úprava formy poskytovaných informací Technická opatření - vnitřní funkce IS (logování, verzování, šifrování, pseudonymizace apod.) - uživatelská pravidla (role a jejich oprávnění přístupu k prostředkům) - fyzická opatření (omezení přístupu a systém udělování oprávnění) - bezpečnostní politika Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 5

Řízená dokumentace Interní směrnice Kodex chování Záznamy o činnostech Záznamy o zpracování Evidence komunikace se subjekty údajů Záznamy o posouzení vlivu Dokumentace bezpečnostních incidentů Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 6

Kodex chování Ve formě doporučeného metodického postupu, včetně základní sady dokumentace. Byl schválen poradou vedení MPSV. MPSV zajistí jeho schválení dozorovým úřadem. MPSV bude v rámci svého metodického vedení zajišťovat jeho soulad s legislativními předpisy i vznikající výkladovou praxí. Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 7

Záznamy o činnostech Specifikace dle čl. 30: - údaje o správci - účely zpracování - kategorie subjektu údajů a osobních údajů - kategorie příjemců - informace o předání do třetí země - lhůty pro výmaz Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 8

Záznamy o zpracování Evidence všech přístupů k osobním údajům, tj.: - záznam, editace, výmaz - čtení Lze je provádět v elektronické i psané formě. Musí obsahovat: - datum - kterých údajů se záznam týká a případnou změnu hodnot - kdo změnu provedl, resp. kdo do nich nahlížel Nezbytné zajistit jejich bezpečnost a neměnnost! Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 9

Ostatní dokumenty Záznamy o komunikaci se subjektem údajů - evidence korespondence (dotazy, námitky, žádosti, oznámení) - záznamy o vypořádání vstupu Záznamy o posouzení - evidence průběhu a závěrů posouzení vlivu na ochranu osobních údajů (rozsáhlé a systematické monitorování veřejných prostorů) Evidence procesu identifikace bezpečnostních incidentů - evidence hlášení, vyhodnocení a případného ohlášení Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 10

Auditní procesy 1. kontrola úplnosti evidovaných osobních údajů 2. kontrola správnosti vedení všech záznamů osobních údajů (včetně skartačních lhůt) 3. revize stavu rizik (především z pohledu bezpečnosti osobních údajů) 4. aktualizace řízené dokumentace Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 11

Přestupky dle § 61 - nestanovím účel, nebo ho stanovím špatně - nezajistím přesnost osobních údajů - uchovávám údaje déle než je povoleno - neposkytnu informace subjektu údajů - nevedu dokumentaci technických opatření - nevedu písemné záznamy o zpracování, nebo je použiji nedovoleně - poruším povinnost prověřovat potřebnost dalšího zpracování, nebo možnost výmazu Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 12

Závěr Doporučení dalšího postupu: - dokončit analýzu stávajícího stavu - provést analýzu rizik a definici možných opatření - zavést navržená opatření - přihlásit se k předloženému kodexu chování - sledovat stránky www.uoou.cz - v případe pochybností kontaktovat KÚ, nebo MPSV Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 13