Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ.03.4.74/0.0/0.0/16_034/0002888) GDPR Problematika stanovení zásad zpracování.

Podobné prezentace


Prezentace na téma: "Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ.03.4.74/0.0/0.0/16_034/0002888) GDPR Problematika stanovení zásad zpracování."— Transkript prezentace:

1 Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ /0.0/0.0/16_034/ ) GDPR Problematika stanovení zásad zpracování osobních údajů a podmínek ochrany práv subjektů údajů v organizaci Antonín Šefčík, NGSS

2 General Data Protection Regulation
Nové nařízení Evropského parlamentu ze , přímo závazné pro členské státy, nadřazené národní legislativě Je nadřazeno stávajícímu zákonu č.101/2000 Sb. o ochraně osobních údajů a směrnici 95/46/EC Nenahrazuje oborově specifické zákony a úpravy V účinnosti od 25. května 2018

3 Nové v ochraně osobních údajů
Právo být zapomenut, přenositelnost a další rozšíření práv osob Celoevropská působnost, evropský sbor pro ochranu osobních údajů (EU) Povinnost vedení interních záznamů o činnostech zpracování Zpracování osobních údajů se nemusí registrovat Vydávání osvědčení, kodexy chování a podniková pravidla Ohlášení porušení zabezpečení osobních údajů dozorovému úřadu Pověřenec pro ochranu osobních údajů GDPR Rozšíření povinností zpracovatele osobních údajů Posouzení vlivu na ochranu osobních údajů při vysokém riziku

4 Postup u škol Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství

5 Možná úprava Pokut pro obce
Praha - Ministerstvo vnitra podpoří ve Sněmovně snížení horní hranice pokuty pro malé obce, jejich organizace a pro školy za porušení nových pravidel ochrany osobních údajů Předloha předpokládá sankci až deset milionů korun Vnitro by mělo podle informací z výboru podpořit úpravu Jany Vildumetzové (ANO), která se týká jen malých obcích a jejich organizací a všech škol. Horní hranici postihu předpokládá 5000 korun Zástupci ministerstva mluvili i o variantě s korunami Vildumetzové pozměňovací návrh odpovídá původnímu návrhu vnitra, který ale ve vládě neprosadilo Vydáno:  , 11:12

6 Další z tisku

7 OSOBNÍ ÚDAJE Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě Nevztahují se na osobní údaje zesnulých osob nebo anonymizované údaje Vztahuje se i na šifrované osobní údaje Rozšíření pojmu osobní údaj v souladu s výkladovu praxí (e- mail adresa, IP adresa, cookies, apod.) Osobním údajem jsou veškeré informace (obrazové, slovní, rentgenové snímky, IP adresa, Cookies) vztahující se (vztah daný obsahem – jméno, adresa, pracovní pozice) k identifikované nebo identifikovatelné osobě (výběr vyčleněním)

8 Registr zpracování osobních údajů
Základní dokument pro správu osobních údajů

9 Výsledky analýzy rizik
31 vysokých rizik Především OSP, DDM a MŠ Tato rizika musí být pokryta pomocí opatření 39 středních rizik Rovnoměrně rozloženo mezi organizačními útvary Rizika by měla být pokryta, pokud to umožní dostupné zdroje

10 Plán dosažení souladu s GDPR
Plán dosažení souladu s GDPR je rozdělen do 11 skupin opatření Číslo skupiny Název skupiny opatření 1 Vytvoření pracovní skupiny pro zavedení GDPR a ochranu OÚ 2 Jmenování pověřence pro ochranu osobních údajů 3 Provedení změn ve znění souhlasů se zpracováním OÚ a formulace informací o zpracování osobních údajů 4 Prověření náležitostí smluv se zpracovateli OÚ a jejich úprava 5 Vydání pravidel na ochranu OÚ 6 Změny v procesech a zpracování formální dokumentace procesů 7 Kontrola a úprava archivačních a skartačních lhůt 8 Hodnocení rizik a posouzení vlivu na ochranu osobních údajů 9 Posouzení oprávněného zájmu (balanční test) 10 Příprava technických prostředků pro zpracování OÚ 11 Úprava SW aplikací

11 Vytvoření pracovní skupiny pro zavedení GDPR a ochranu OÚ
Pracovní skupina bude existovat po dobu trvání implementace GDPR a tuto implementaci bude koordinovat. Pracovní skupina může existovat jako podpora činností DPO i během účinnosti GDPR Sestavení harmonogramu pro zavedení GDPR Členové pracovní skupiny budou – DPO a zástupci OKT, OLP, INF, ŠKO a PO – pro školy a DDm vedoucí odboru školství, do skupiny je třeba doplnit zástupce SSS Lukáš Pracovní skupina ze svých jednání pořizuje zápis a schází se: pravidelně, v současné době každý pátek ad hoc, tj. v případě potřeby řešení nastalých problému apod. V případě potřeby řešení otázek v oblasti zpracování OÚ, které je potřebné koordinovat napříč úřadem a PO je možné se obrátit na svého zástupce v pracovní skupině

12 Jmenování pověřence pro ochranu osobních údajů
Pověřenec již byl jmenován Pověřenec : dohlíží na soulad všech zpracování OÚ s GDPR radí ostatním pracovníkům MČ, jak zajistit ochranu OÚ zpracovává potřebné posudky zajišťuje kontaktní místo pro subjekty údajů a dozorový úřad v záležitostech týkajících se zpracování OÚ Za samotná zpracování prováděná MČ nenese Pověřenec odpovědnost Jde o konzultanta, který rozumí jak zpracovávání OÚ, tak chodu MČ, a který bude prakticky řešit situace, které při zpracovávání OÚ nastanou nebo mohou nastat

13 Kontakt na pověřence Tomáš Tesarčík Telefon:

14 Provedení změn ve znění souhlasů A informací
Pro zajištění souladu potřebných souhlasů se zpracováním a poskytovaných informací o zpracování je potřebné: prověřit dosud udělené souhlasy, zda obstojí dle požadavků GDPR, a případně zajistit udělení nových souhlasů provést kontrolu znění účelů zpracování OÚ tak, aby byly dostatečně konkrétní Upravit informace poskytované subjektu údajů – přitom nezapomenout: Informace se podává nově nejen při poskytnutí souhlasu (tedy i při použití ostatních právních titulů) Informaci je možné spojit se souhlasem (je-li použit) dle doprovodného vzoru Odkaz na informaci o zpracování osobních údajů je možné umístit na veřejně dostupném místě, např. umístit jej na web ÚMČ resp. PO V konkrétních případech je možné se obrátit s radou na DPO

15 souhlas Pro účely GDPR se rozumí souhlasem״ subjektu údajů“ jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů (čl. 4 odst. 11) Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (čl. 6 odst. 1a)

16 Vzor souhlasu dle metodiky

17 Informace Povinnost informace již byla uvedena ve stávajícím zákoně č. 101/2000 Sb. Nově jsou definovány požadavky na informace poskytované v při získání osobních údajů přímo od subjektu údajů Informace jsou nově poskytovány i v případě, že není potřebný souhlas ke zpracování při naplnění právních povinností a při použití dalších právních titulů

18 Informace – čl. 13 odst. 1 totožnost a kontaktní údaje správce a jeho případného zástupce případně kontaktní údaje případného pověřence pro ochranu osobních údajů účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování oprávněné zájmy správce nebo třetí strany / veřejný zájem v případě, že je použit případné příjemce nebo kategorie příjemců osobních údajů případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci …

19 Informace – čl. 13 odst. 2 doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování (u oprávněného a veřejného zájmu), jakož i práva na přenositelnost údajů (u souhlasu) pokud je zpracování založeno na souhlasu (nebo výslovném souhlasu), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním (vždy u souhlasu) existence práva podat stížnost u dozorového úřadu skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů skutečnost, že dochází k automatizovanému rozhodování, včetně profilování … Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2

20 Vzor Informace se souhlasem

21 Prověření náležitostí smluv se zpracovateli OÚ a jejich úprava
Pro prosazení požadavků GDPR do smluv a další dokumentace je nutné prověřit, zda smlouvy obsahují zejména následující údaje: Vymezení konkrétních kategorií OÚ a kategorií subjektů, nejenom konstatování, že se jedná o OÚ Vymezení povahy zpracování a stanovení účelu zpracování tak, aby byl vymezen konkrétně a aby byl v souladu s účelem, pro který osobní údaje zpracovává PO Konkrétní pokyny PO ke zpracování OÚ a způsob dokládání těchto pokynů Podmínky mlčenlivosti smluvní strany, zabezpečení OÚ, řetězení dodavatelů, součinnosti při reakci na žádosti o výkon práv subjektů údajů Závazek smluvního partnera, aby byl nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů, ohlašování porušení tohoto zabezpečení, při řešení nebo eskalaci těchto situací, při posuzování vlivu zpracování na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem; Povinnost smluvního partnera umožnit provádění inspekcí a auditů ze strany PO a poskytovat součinnost k těmto auditům; Uvedení sankcí za nedodržení závazku smluvního partnera

22 Zpracovatelské smlouvy
Vzor smlouvy dostáváte k dispozici Smlouva může být jako samostatná smlouva, jasně oddělený článek celkové smlouvy, příloha nebo dodatek celkové smlouvy Jedná se zejména o zpracovatele osobních údajů (dodavatele) které máte uvedeny v Registru zpracování osobních údajů Zpracovatelé osobních údajů byli zaznamenáni u DMM Se zpracováním konkrétních smluv poradí Pověřenec pro ochranu osobních údajů

23 Zpracovatelské smlouvy
Zpracovatelé jsou uvedeni v Registru zpracování osobních údajů. Základní přehled rozdělení zpracování OÚ se zpracovateli je následující: DMM má celkem 15 zpracování za pomocí zpracovatele: Různé pomocné evidenční služby u používání pracovních mailových adres - omluvenky, storna, přihlášky s citlivými údaji Personalistika a mzdy Kamerový systém SSS Lukáš 3 zpracování za pomocí zpracovatele: Personalistika Účetnictví r.o. Kozel má 2 zpracování za pomocí zpracovatele: Účetnictví Personalistika ZŠ okolo 6 zpracování za pomocí zpracovatele: Mzdy a jejích různé potvrzení platů Kamerové systémy Dotace z EU Jídelna MŠ asi kolem asi kolem stejně jako u ZŠ

24 Vydání pravidel na ochranu oú
Pravidla budou: formulována tak, aby byla srozumitelná pro všechny pracovníky ÚMČ resp. PO, jichž se týká životní cyklus zpracování osobních údajů ověřitelná (měřitelné), zda je v každém zpracování OÚ pravidlo plněno nebo ne. realistická tak, aby byla proveditelná a nebyla chápána pouze jako formální zohledňovat současné technologie i aktuální způsoby zpracování OÚ Dále je doporučeno: revidovat stávající provozní a bezpečnostní dokumentaci a požadavky GDPR dopracovat jako požadavky na ochranu informací odpovídajícího klasifikačního stupně. V této souvislosti je vhodné zavést směrnici pro klasifikaci informací zavést proces hlášení bezpečnostních incidentů tak, aby ho bylo možné využít pro naplnění požadavku čl. 33 a 34 GDPR, ideálně v součinnosti s technickou podporou procesu ze strany IT

25 Pravidla na ochranu oú Vzor pravidel bude k dispozici v pátek Upřesnění jakým způsobem bude/ou předpis/y zavedeny bude provedeno v pátek Hlášení bezpečnostních incidentů bude realizováno cestou Pověřence pro ochranu osobních údajů – porušení je potřebné hlásit jemu Na úrovní úřadu budou zpracovány centrální vzory (v základní verzi budou k dispozici v pátek , některé již dostáváte), ale je odpovědností každého správce jejich použití nebo případná úprava Nemělo by se zapomenout na evidenci souhlasů se zpracováním Pravidla je opět možné konzultovat s Pověřencem pro ochranu osobních údajů

26 Změny v procesech a jejich zdokumentování
poskytnutí informací o zpracování osobních údajů subjektům údajů dle čl. 13 a 14 GDPR (včetně jejich umístění na web ÚMČ resp. PO) reakce na požadavek subjektu údajů dle čl. 15 GDPR a následujících (např. žádosti o přístup k OÚ, opravu nebo výmaz OÚ…) – zdokumentovat postup reakce na podání námitky proti zpracování osobních údajů dle čl. 21 GDPR, tj. zpracování na základě právního titulu oprávněný zájem organizace, popř. veřejný zájem (v již uvedeném postupu) pravidelná kontrola povinnosti skartovat citlivé dokumenty, politiky čistého stolu a dalších pravidel GDPR – v pravidlech kontrola přesnosti a aktualizace osobních údajů v případě zjištění nepřesných nebo neaktuálních osobních údajů – stanovit postup provádění záznamů o zpracování OÚ – zavést evidence Se změnou procesů poradí Pověřenec pro ochranu osobních údajů

27 úprava archivačních a skartačních lhůt
prověřit lhůty archivace a skartace dokumentů obsahujících OÚ, zda zbytečně nepřekračují délky stanovené zákonem a zda je Registr zpracování osobních údajů v souladu s archivačními a skartačními lhůtami ve všech případech musí být subjekt údajů informován o době, po kterou budou jeho osobní údaje zpracovávány - to je nutné splnit před zahájením zpracování i v jeho průběhu, pokud dojde ke změně doby zpracování OÚ např. při změně právního titulu. doba zpracování OÚ může být stanovena i relativně, ve vztahu k určité rozhodné události (např. ukončení poskytování určité služby) doba zpracování OÚ nemůže být stanovena jako neurčitá - musí být definována tak, aby vždy existovala možnost objektivně posoudit, zda doba uchování nepřekročila dobu nezbytnou k naplnění účelu zpracování V současné době probíhá změna na úřadu, k úpravě bude dán pokyn z odboru školství

28 Hodnocení rizik a posouzení vlivu na ochranu OÚ
Hodnocení rizik bylo provedeno Je potřebné zavést pravidelný proces řízení rizik, a provádět pravidelně (1x za 3 roky nebo před zahájením nově zavedeného zpracování) hodnocení rizik Znalost výše rizika je předpokladem k realizaci adekvátních opatření Pokud budou u některých zpracování výsledná rizika vysoká, musí správce OÚ provést před zpracováním OÚ tzv. posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů Posouzení rizik bude zajištovat úřad ve spolupráci s DPO

29 Proces posouzení vlivu na ochranu OÚ
Posouzení vlivu na ochranu osobních údajů (angl.. DPIA) je proces, při kterém: jsou identifikovány toky dat do a z organizace následuje určení rizik spojených s ochranou osobních údajů identifikace řešení k minimalizaci těchto rizik určení odpovědnosti ve vztahu k těmto identifikovaným rizikům Posouzení se musí provádět: především u zpracování která jsou zahajována nebo měněna (ale doporučeno u všech s vysokým rizikem) Nutné po Je doporučena 3 letá perioda posouzení

30 Potřebná posouzení vlivu na ochranu osobních údajů

31 Posouzení oprávněného zájmu (balanční test)
U zpracování osobních údajů která jsou založena na právním titulu „oprávněný zájem“ bude nutné provést posouzení: zda se v případě těch zpracování OÚ, skutečně jedná o oprávněný zájem PO zda je toto zpracování nezbytné – posoudit, zda je možné daný proces realizovat bez zpracování těchto OÚ V kladném případě se potom provede posouzení, zda oprávněný zájem PO převažuje nad zájmy nebo základními právy a svobodami osob Vlastní posouzení oprávněného zájmu potom spočívá v provedení balančního testu, tj. posouzení váhy oprávněného zájmu oproti zájmům nebo základním právům a svobodám subjektů údajů Balanční testy bude organizovat úřad ve spolupráci s Pověřencem

32 Příprava technických prostředků pro zpracování OÚ a úprava SW
Je nutné zavést technická opatření na základě výsledků analýzy rizik Technická opatření spočívají v přípravě technických prostředků pro zpracování OÚ – to zahrnuje úpravu a implementaci prostředí pro vynucování zásad bezpečnosti informací a ochrany OÚ; v úpravě datového modelu a kódu SW aplikací Z pohledu technických požadavků GDPR na zabezpečení zpracování OÚ (tj. zajištění integrity, dostupnosti a důvěrnosti informací) v rámci jednotlivých systémů je potřeba dodržovat v praxi opatření uvedená v bezpečnostní dokumentaci Přijatá technická opatření je vhodné ověřit testováním s cílem vyhodnotit jejich kvalitu

33 Úprava IT Úprava IT – dlouhodobá záležitost
Zvažuje se zavedení systému řízení bezpečnosti informací Je nutné zajistit zejména: Řízení uživatelských práv Stanovení a vynucování odpovědností uživatelů informačního systému Provádění audit informačních systémů zpracovávajících osobní údaje Stanovení bezpečnostních požadavků na informační systémy zpracovávajících osobní údaje Stanovení bezpečnostních požadavků na dodavatelsky zajišťované služby a jejich kontrola Zavedení procesu testování bezpečnosti osobních údajů Přijetí opatření pro zabezpečení mobilních zařízení a vzdáleného přístupu k IS Stanovení pravidel pro ochranu fyzických médií Provádění zálohování Pořizování záznamů z přístupu k osobním údajům a bezpečnostní dohled

34 KONTAKTY Antonín Šefčík lead konzultant bezpečnosti informací


Stáhnout ppt "Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ.03.4.74/0.0/0.0/16_034/0002888) GDPR Problematika stanovení zásad zpracování."

Podobné prezentace


Reklamy Google