GDPR v sociálních službách - analýza stavu a rizik Ing. Jaroslav Dolanský 1 1
Analýza stávajícího stavu Nástroje analýzy: Procesní analýza (= obecný pojem pro analýzu práce v organizacích) - dobrovolná Prohlídky (fyzická, elektronická a příkladová) Výstupy analýzy: Katalog osobních údajů další výstupy – procesní mapy, karty procesů, dokumentace, aplikací, nástrojů apod. Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 2
S I P O C Procesní analýza Metoda SIPOC (source, input, proces, output, customer) – dodavatel z materiálu vytvoří výrobky pro zákazníka – poskytovatel svými prostředky poskytne službu klientovi S I P O C poskytovatel prostředky proces výrobek klient pracovník materiál dokument zaměstnanec dodavatel dokument změna odběratel zdravotního stavu Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 3
Fyzická prohlídka Nutné zhodnotit výskyt osobních údajů a soulad s GDPR v: dokumentaci poskytovatele dokumentaci klientů dokumentaci zaměstnanců dodavatelskoodběratelských vztazích obrazových a audiovizuálních materiálech prostorách, kde je vykonávána činnost poskytovatele ostatních dokumentech a záznamech Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 4
Elektronická prohlídka Prostřednictvím zaměstnanců a / nebo dodavatelů IS a / nebo správců posoudit výskyt osobních údajů a soulad s GDPR v: dokumentech v elektronické formě všech databázových strukturách (zde je nezbytné projít všechny aplikace a jejich funkce, stejně jako všechny virtuální prostory pro ukládání a archivaci dat) externích aplikacích, službách a úložištích Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 5
Příkladová prohlídka Jedná se o intuitivní formu procesní analýzy, která má za cíl doplnit a zkontrolovat výstupy získané v předchozích prohlídkách. Zároveň se jedná o nástroj umožňující zachytit reálné situace a problémy, především v případech, které nepracují s unifikovanými dokumenty. Principem je zkoumání modelových příkladů zkušenými praktiky. Výstup by teoreticky měl být shodný s fyzickou a elektronickou prohlídkou dohromady. Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 6
Příkladová prohlídka Sada zkoumaných příkladů by měla obsahovat všechny činnosti poskytovatele, tj. minimálně jeden příklad pro: každou poskytovanou službu komunikaci s třetími stranami (kraje, MPSV, ostatní úřady, ostatní poskytovatelé apod.) každou interní skupinu agend, nebo agendu (personalistika, účetnictví, dodavatelskoodběratelské vztahy, apod.) vnější prezentaci poskytovatele (www, marketing, propagaci apod.) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 7
Katalog osobních údajů Dokument obsahující výstup z analýzy stávajícího stavu, tj. minimálně pro každý případ: specifikaci identifikovaných osobních údajů oblast subjektu údajů (klienti, zaměstnanci, apod.) proces ve kterém jsou údaje zpracovávány evidenci / aplikaci / službu, která s nimi pracuje gestora a uživatele oprávněné s nimi nakládat umístění (fyzické, nebo virtuální) oprávnění (souhlas, zákon, veřejný zájem apod.) délku zpracování a archivační / skartační lhůty Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 8
Analýza rizik Riziko – hrozící negativní jev, vznikající jako sekundární důsledek požadovaného procesu Identifikace rizik – postup pro zkoumání možných rizik Katalog rizik – evidence rizik ve standardizovaném formátu Hodnocení rizik – subjektivní hodnocení dopadu rizika na organizaci Nápravná opatření – návrhy eliminace rizik a předcházení jejich vzniku Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 9
Identifikace rizika Musí být provedena pro každý záznam v katalogu osobních údajů. Obsahuje minimálně posouzení: oprávněnosti – zda je mohu zpracovávat (čl. 25) dostupnosti – kdo s nimi pracuje (čl. 25) bezpečnosti – jak jsou zabezpečena (čl. 32) logování = úroveň dokumentace zpracování (čl. 30) přístupnosti – jaká jsou možnosti přístupu, oprav a mazání ze strany subjektu údajů (čl. 14 – 19) rizikovosti pro práva a svobody subjektu (čl. 35) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 10
Katalog rizik Dokument obsahující výstup z identifikace rizik, tj. minimálně pro každý případ identifikovaného rizika: název rizika popis rizika oblast výskytu rizika (proces, agenda, lokalita, apod.) pravděpodobnost rizika (viz. hodnocení rizik) význam rizika (viz. hodnocení rizik) nápravná opatření Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 11
Hodnocení rizik Pravděpodobnost rizika: Závažnost rizika: minimální nízká střední vysoká velmi vysoká Závažnost rizika: bezvýznamné akceptovatelné nežádoucí významné nepřijatelné Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 12
Matice hodnocení rizik Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 13
Nápravná opatření Jedná se o opatření snižující závažnost, nebo pravděpodobnost rizika ideálně na nulu. Může se jednat o opatření fyzické, administrativní, personální, technické, nebo dokumentační. Může být vztaženo k riziku i skupině rizik, stejně jako může být definováno k jednomu riziku více opatření. Při formulaci pokud nevíte jak riziko řešit: poptejte spolupráci třetí osoby (např. dodavatele) konzultujte s MPSV, DPO, KÚ apod. v této fázi lze i nechat prázdné, nebo odkázat na implementaci GDPR Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 14
Závěr Souhrn metodické podpory MPSV: aktualizované prezentace úvod, analýza a metodika implementace první verze kodexu chování na portále mpsv vzor katalogu osobních údajů a katalogu rizik na portále mpsv a další přílohy ostatní přílohy budou zveřejněny na začátku května dále předpokládáme: zajistit schválení kodexu UOOU průběžně aktualizovat znění kodexu a příloh doplňovat vzory relevantních dokumentů Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 15