GDPR v sociálních službách

Slides:



Advertisements
Podobné prezentace
Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Advertisements

Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
Program rozvoje Ústeckého kraje Obsah prezentace Představení PRÚK účel zpracování struktura PRÚK struktura priorit a opatření indikátory.
Číslo projektu:CZ.1.07/1.5.00/ Název školy:SOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblast: Ekonomie Předmět:Inovace výuky prostřednictvím.
Inf Používání a tvorba databází. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.
Informace fyzických a právnických osob na Portálu veřejné správy Ing. Pavel Tesař, projektový manažer odbor eGovernmentu
INFORMAČNÍ POLITIKA V PRAXI Účetní a daňová kancelář Pavla Mikésky Jíchová Renáta Podloucká Karolína Poláková Lucie Šedivá Klára.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
Vypracování národních norem kódování pro český systém DRG číslo projektu CZ2005/017/ Program Evropské Unie Transition Facility pro Českou.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Standardy kvality sociálních služeb. soubory měřitelných a ověřitelných kritérií, které popisují, jak má vypadat kvalitní sociální služba. Jsou použitelné.
Odbor dozoru a kontroly veřejné správy Hodnotící zpráva k výsledkům kontrol ÚSC (2010 – 2011) Ing. Marie Kostruhová.
Virtuální kolega Attavena, o.p.s. Prezentace projektu a návrh implementace jeho nabídky: do systému vzdělávání.
Jihlava 29. února Chci-li rozhodnout o tom jak a co mám měnit, zlepšovat, modernizovat, musím vědět PROČ TO DĚLÁM a PRO KOHO. Tedy znát ÚČEL……
Seminář na MZ Bezpečnost zdravotních služeb - současná priorita MZ MUDr. Markéta Hellerová Ministerstvo zdravotnictví.
Mgr. Bedřich Myšička vrchní ředitel sekce ekonomické Sekce ekonomická 10. dubna 2014.
STŘEDNÍ ODBORNÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ MĚSTEC KRÁLOVÉ, T. G. MASARYKA 4 Pracovní právo.
Ing. Zdeňka Šilhová Institut pro veřejnou správu Praha INTERAKTIVNÍ PERSONÁLNÍ PORTÁL PRO POTŘEBY ZAMĚSTNANCŮ VE VEŘEJNÉ SPRÁVĚ KONFERENČNÍ VZDĚLÁVACÍ.
Pracovní skupina Portál elektronického zdravotnictví NSeZ – neveřejná prezentace Emauzy, MUDr. Pavel VEPŘEK předseda pracovní skupiny.
Principy Základních registrů Ing. Ondřej Felix, CSc.
VYSOKÁ ŠKOLA TECHNICKÁ A EKONOMICKÁ ČESKÉ BUDĚJOVICE ÚSTAV PODNIKOVÉ STRATEGIE Autor bakalářské práce: Jitka Macháčková Vedoucí bakalářské práce: Ing.
PROJEKT ISTI INFORMAČNÍ SYSTÉM TECHNICKÉ INFRASTRUKTURY VEŘEJNÉ SPRÁVY
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Bezpečnost silniční a železniční dopravy
Aplikace nástrojů marketingového mixu ve vybrané společnosti
model fungování a praxe
Úřad práce České republiky
Zákon o sociálním podnikání
Procesní management v oddělení logistiky
KVALITA – BEZPEČNOST - EFEKTIVITA
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Vnitropodniková komunikace ve vybraném subjektu
Název opory – Právní předpisy – požární ochrana
Společenská odpovědnost ve školství
Aplikace Monitorovací systém
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Povinnosti provozovatele střešních instalací při dodávkách přímým vedením
eRecept – komunikace se základními registry
Marketingový plán společnosti
Workshop projektu systémová podpora sociální práce v obcích na téma:
Aplikace Monitorovací systém
RIZIKO.
Obchodní plán projektu
Digitální učební materiál
Regionální operační program regionu soudržnosti Střední Morava
Základy pracovního práva a sociálního zabezpečení v ES
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
NV č. 201/2010 Sb. ze dne 31. května 2010  o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu ve znění NV č. 170/2014 Sb. ze dne 6. srpna 2014.
Blanka Valdecká, TOO ČMKOS, Seminář pro SIBP
GDPR: ochrana osobních údajů
Tresty a ochranná opatření ( trestní sankce)
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
RIZIKO.
Technická Evidence Zdravotnických Prostředků 1
Centralizované rozvojové projekty 2017
GDPR v sociálních službách - metodika implementace
GDPR v sociálních službách
Aktuálně o stavu příprav na účinnost GDPR
Hodnocení korupčních rizik (CIA) Oddělení boje s korupcí Praha, 2018
INFORMACE TAJEMNÍKA PROFESNÍCH UNIÍ
Implementace BAT závěrů do integrovaných povolení v Moravskoslezském kraji Krakow.
Seminář AMG, Písek 2018 GDPR.
Podpora sociální práce na území Statutárního města Kladna
Obecné nařízení o ochraně osobních údajů
Klíčové aktivity projektu
Online databáze pro ohrožené rodiny a děti v ORP Chrudim SÍŤ POMOCI A PODPORY na Chrudimsku V RÁMCI PROJEKTU EFEKTIVNÍ ŘÍZENÍ SÍTĚ SLUŽEB PRO OHROŽENÉ.
ePrivacy a komunikace M2M
Transkript prezentace:

GDPR v sociálních službách - analýza stavu a rizik Ing. Jaroslav Dolanský 1 1

Analýza stávajícího stavu Nástroje analýzy: Procesní analýza (= obecný pojem pro analýzu práce v organizacích) - dobrovolná Prohlídky (fyzická, elektronická a příkladová) Výstupy analýzy: Katalog osobních údajů další výstupy – procesní mapy, karty procesů, dokumentace, aplikací, nástrojů apod. Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 2

S I P O C Procesní analýza Metoda SIPOC (source, input, proces, output, customer) – dodavatel z materiálu vytvoří výrobky pro zákazníka – poskytovatel svými prostředky poskytne službu klientovi S I P O C poskytovatel prostředky proces výrobek klient pracovník materiál dokument zaměstnanec dodavatel dokument změna odběratel zdravotního stavu Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 3

Fyzická prohlídka Nutné zhodnotit výskyt osobních údajů a soulad s GDPR v: dokumentaci poskytovatele dokumentaci klientů dokumentaci zaměstnanců dodavatelskoodběratelských vztazích obrazových a audiovizuálních materiálech prostorách, kde je vykonávána činnost poskytovatele ostatních dokumentech a záznamech Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 4

Elektronická prohlídka Prostřednictvím zaměstnanců a / nebo dodavatelů IS a / nebo správců posoudit výskyt osobních údajů a soulad s GDPR v: dokumentech v elektronické formě všech databázových strukturách (zde je nezbytné projít všechny aplikace a jejich funkce, stejně jako všechny virtuální prostory pro ukládání a archivaci dat) externích aplikacích, službách a úložištích Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 5

Příkladová prohlídka Jedná se o intuitivní formu procesní analýzy, která má za cíl doplnit a zkontrolovat výstupy získané v předchozích prohlídkách. Zároveň se jedná o nástroj umožňující zachytit reálné situace a problémy, především v případech, které nepracují s unifikovanými dokumenty. Principem je zkoumání modelových příkladů zkušenými praktiky. Výstup by teoreticky měl být shodný s fyzickou a elektronickou prohlídkou dohromady. Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 6

Příkladová prohlídka Sada zkoumaných příkladů by měla obsahovat všechny činnosti poskytovatele, tj. minimálně jeden příklad pro: každou poskytovanou službu komunikaci s třetími stranami (kraje, MPSV, ostatní úřady, ostatní poskytovatelé apod.) každou interní skupinu agend, nebo agendu (personalistika, účetnictví, dodavatelskoodběratelské vztahy, apod.) vnější prezentaci poskytovatele (www, marketing, propagaci apod.) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 7

Katalog osobních údajů Dokument obsahující výstup z analýzy stávajícího stavu, tj. minimálně pro každý případ: specifikaci identifikovaných osobních údajů oblast subjektu údajů (klienti, zaměstnanci, apod.) proces ve kterém jsou údaje zpracovávány evidenci / aplikaci / službu, která s nimi pracuje gestora a uživatele oprávněné s nimi nakládat umístění (fyzické, nebo virtuální) oprávnění (souhlas, zákon, veřejný zájem apod.) délku zpracování a archivační / skartační lhůty Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 8

Analýza rizik Riziko – hrozící negativní jev, vznikající jako sekundární důsledek požadovaného procesu Identifikace rizik – postup pro zkoumání možných rizik Katalog rizik – evidence rizik ve standardizovaném formátu Hodnocení rizik – subjektivní hodnocení dopadu rizika na organizaci Nápravná opatření – návrhy eliminace rizik a předcházení jejich vzniku Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 9

Identifikace rizika Musí být provedena pro každý záznam v katalogu osobních údajů. Obsahuje minimálně posouzení: oprávněnosti – zda je mohu zpracovávat (čl. 25) dostupnosti – kdo s nimi pracuje (čl. 25) bezpečnosti – jak jsou zabezpečena (čl. 32) logování = úroveň dokumentace zpracování (čl. 30) přístupnosti – jaká jsou možnosti přístupu, oprav a mazání ze strany subjektu údajů (čl. 14 – 19) rizikovosti pro práva a svobody subjektu (čl. 35) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 10

Katalog rizik Dokument obsahující výstup z identifikace rizik, tj. minimálně pro každý případ identifikovaného rizika: název rizika popis rizika oblast výskytu rizika (proces, agenda, lokalita, apod.) pravděpodobnost rizika (viz. hodnocení rizik) význam rizika (viz. hodnocení rizik) nápravná opatření Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 11

Hodnocení rizik Pravděpodobnost rizika: Závažnost rizika: minimální nízká střední vysoká velmi vysoká Závažnost rizika: bezvýznamné akceptovatelné nežádoucí významné nepřijatelné Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 12

Matice hodnocení rizik Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 13

Nápravná opatření Jedná se o opatření snižující závažnost, nebo pravděpodobnost rizika ideálně na nulu. Může se jednat o opatření fyzické, administrativní, personální, technické, nebo dokumentační. Může být vztaženo k riziku i skupině rizik, stejně jako může být definováno k jednomu riziku více opatření. Při formulaci pokud nevíte jak riziko řešit: poptejte spolupráci třetí osoby (např. dodavatele) konzultujte s MPSV, DPO, KÚ apod. v této fázi lze i nechat prázdné, nebo odkázat na implementaci GDPR Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 14

Závěr Souhrn metodické podpory MPSV: aktualizované prezentace úvod, analýza a metodika implementace první verze kodexu chování na portále mpsv vzor katalogu osobních údajů a katalogu rizik na portále mpsv a další přílohy ostatní přílohy budou zveřejněny na začátku května dále předpokládáme: zajistit schválení kodexu UOOU průběžně aktualizovat znění kodexu a příloh doplňovat vzory relevantních dokumentů Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 15