MĚSTO HODONÍ N. Masarykovo nám. 1, Hodonín. Zpracování analýzy ochrany osobních údajů

Transkript

1 MĚSTO HODONÍ N Masarykovo nám. 1, Hodonín Bod číslo: 22. pro jednání: 60. schůze rady města konané dne: Obsah zprávy: Zpracování analýzy ochrany osobních údajů Důvod projednávání: Nařízení Evropského parlamentu a Rady (GDPR) Finanční dopad ±: ,- Kč bez DPH + navazující náklady na zavedení opatření Standardní postup (ano/ne): ANO VYPRACOVAL: PŘEDKLÁDÁ: Mgr. Petr Spazier odbor právní Ing. Jarmila Horská tajemnice Měú PŘEDNÁŠEJÍCÍ: Mgr. Petr Spazier vedoucí odboru právního NÁVRH USNESENÍ: 1) Rada města schvaluje uzavření smlouvy na zpracování analýzy ochrany osobních údajů se společností Equica, a.s., se sídlem Praha 9 - Vysočany, Rubeška 215/1, PSČ 19000, IČ , dle přiložené nabídky, za cenu ,- Kč bez DPH.

2 Vyjádření: Vážení členové rady města, dnem vstoupí v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu údajů. Toto nařízení bude přímo použitelné ve všech členských státech EU a bude dopadat na MěÚ, organizační složky, příspěvkové organizace a právnické osoby založené městem (POZN: správcem je každý orgán veřejné moci, který určuje účely a prostředky zpracování osobních údajů). Cílem nařízení je co nejvíce hájit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR nařizuje správcům/zpracovatelům dat zřídit nezávislou kontrolní funkci tzv. pověřence pro ochranu osobních údajů. Pověřenec by měl dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona dozorovému orgánu. Nařízení stanovuje pokuty až do výše 20 mil. EUR nebo 4% celoročního celosvětového obratu společnosti (dle toho, co je vyšší). Nařízení GDPR stanovuje, že osobní údaje musí být: - ve vztahu k subjektu údajů zpracovány korektně a zákonným způsobem, - shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný, - přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, - přesné a v případě potřeby aktualizované, musí být přijata rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny, - uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, - zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, Za dodržení zásad a povinností stanovených tímto nařízením odpovídá správce a musí být schopen dodržení souladu s nařízením doložit. Kroky, které již byly učiněny: - sestavena pracovní skupina (členové tajemnice, vedoucí odboru právního, vedoucí odboru ekonomiky a financí, interní audit, vedoucí oddělení informatiky a podatelny), - účast na prezentacích ohledně GDPR, - zajištění odborné prezentace pro vedoucí odborů a osoby zřízené a založené městem za účelem seznámení s problematikou a informování o nezbytných krocích, které musí být učiněny do května 2018, - vytipování osoby, která odborným způsobem provede zpracování analýzy ochrany osobních údajů a ochrany dat pro plnění povinnosti nařízení.

3 Kroky, které doporučujeme učinit, aby byl zajištěn soulad s nařízením GDPR: - zadat zpracování analýzy ochrany osobních údajů a ochrany dat pro plnění povinnosti GPDR (v rámci analýzy by mělo být provedeno odborné mapování aktuálního stavu, stanovena, vyhodnocena rizika a navrženy opatření, která tyto rizika eliminují, vypracovány materiály, kterými bude ochrana osobních údajů v organizaci ošetřena, vznikne vnitřní předpis, který bude plnění povinnosti GDPR upravovat), - zajistit finanční prostředky (nejen na vypracování analýzy, ale také na opatření, které bude nezbytné zavést tato opatření vzejdou z analýzy), - zavést navržená opatření za účelem zvýšení ochrany osobních údajů, resp. dodržení podmínek stanovených nařízením, - jmenovat pověřence pro ochranu osobních údajů (může být stanoven externí pověřenec nebo vytvořena nová pozice), - nahlásit pověřence Úřadu pro ochranu osobních údajů, který současně bude ve smyslu nařízení dozorovým orgánem, - řídit se stanovenými postupy, pravidelně reflektovat nová rizika a reagovat na ně. V rámci seznámení se dotčenou problematikou nás nejvíce oslovila nabídka společnosti Equica, a.s. na provedení analýzy ochrany osobních údajů, v návaznosti na povinnosti stanovené nařízením GDPR, jejímž výsledkem by mj. mělo být zhodnocení stávajícího stavu a návrh na přijetí vhodných technických a organizačních opatření. Nabídka společnosti Equica, a.s. je přílohou tohoto dokumentu a obsahuje zpracování analýzy pro městský úřad a organizační složky. Mgr. Petr Spazier vedoucí odboru právního Příloha: nabídka společnosti Equica, a.s.

4 KOMPLEXNÍ NAPLNĚNÍ POŽADAVKŮ NAŘÍZENÍ GDPR PROJECT INSTINCT TENTO DOKUMENT JE MAJETKEM SPOLEČNOSTI EQUICA, A.S. A PROTO TENTO DOKUMENT ANI INFORMACE V NĚM OBSAŽENÉ NESMÍ BÝT POSKYTNUTY TŘETÍM OSOBÁM, ROZMNOŽOVÁNY ANI POUŽITY PRO JAKÉKOLIV JINÉ ÚČELY BEZ PŘEDCHOZÍHO PÍSEMNÉHO SOUHLASU SPOLEČNOSTI EQUICA, A.S.

5 Vážená paní tajemnice, předkládám Vám nabídku společnosti Equica, a.s. na komplexní naplnění požadavků Nařízení GDPR. Vážím si možnosti předložit Vám tuto nabídku a jsem připravena ji dále upravit co do rozsahu i obsahu podle Vašich potřeb. GDPR je zkratka pro General Data Protection Regulation, tedy Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Nařízení GDPR upravuje zpracování osobních údajů fyzických osob (nově upravuje pravidla stanovená v současné době zákonem č. 101/2000 Sb., o ochraně osobních údajů). GDPR zavádí celou řadu nových práv a povinností, a také zpřesňuje či zpřísňuje stávající pravidla. Řídit se jím musí všichni správci a zpracovatelé osobních údajů ze všech odvětví, včetně veřejné správy. GDPR je přímo aplikovatelné, tedy není třeba další domácí zákon ani prováděcí předpisy nebo výkladová stanoviska. Nařízení GDPR musí být plně zavedeno do 25. května 2018 v celém svém rozsahu v celé EU. Organizace veřejné správy (jako správce osobních údajů) je povinna zajistit soulad s GDPR a musí být schopna jej prokázat. K tomu má přijmout vhodná technická a organizační opatření. Předmětem nabízených služeb je příprava organizace na platnost GDPR, tedy provedení analýzy stávajícího stavu sběru, zpracování a nakládání s osobními údaji a návrh vhodných technických a organizačních opatření k dosažení a doložení souladu s GDPR: Analytická etapa: Analýza procesů správy, zpracování a nakládání s osobními údaji Analýza rozsahu a potřebnosti spravovaných osobních údajů ve vazbě na vykonávané agendy Analýza legislativních oprávnění pro nakládání s osobními údaji při výkonu svěřených agend Analýza stávajících organizačních opatření k zajištění ochrany osobních údajů Analýza stávajících technických opatření k zajištění ochrany osobních údajů Analýza stávající dokumentace k ochraně osobních údajů (jak pro elektronické, tak listinné zpracování) Analýza smluvních vztahů s dodavateli služeb ICT (zpracovatel osobních údajů) Návrhová etapa: Zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR Zhodnocení stávajících opatření (organizačních a technických) a jejich dostatečnosti ve vztahu k požadavkům GDPR Zhodnocení stávající dokumentace (její úplnosti) nezbytné k ochraně osobních údajů a prokázání shody s požadavky dle GDPR Provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů Návrh organizačních a technických opatření ke snížení rizik (prevence, detekce, zranitelnost a schopnost zvládat incidenty) 2 / 8

6 Výstupem nabízených služeb bude: Záznamy o činnostech zpracování Posouzení vlivu na ochranu osobních údajů Návrh opatření - seznam opatření, harmonogram, priority, náklady, přínosy, rizika, provázanost Koncepce nakládání s osobními údaji (včetně procesů zvládání incidentů) Doporučení vhodného organizačního začlenění pozice Pověřenec pro ochranu osobních údajů a popis jeho pracovní pozice Školení všech osob, podílejících se na zpracování osobních údajů a jejich ochraně Všechny výše uvedené činnosti a jejich výstupy podléhají schválení jmenovaným odpovědným pracovníkem Zadavatele. Nad rámec výše uvedených služeb je společnost Equica, a.s. připravena následně zajistit výkon role Pověřenec pro ochranu osobních údajů. Harmonogram poskytnutých služeb Společnost Equica, a.s. nabízí provedení nabízených služeb do 4 měsíců od podpisu smlouvy. Záruky za poskytnuté služby Společnost Equica, a.s. je držitelem platného pojištění odpovědnosti za škody způsobené třetí osobě výkonem činnosti ve výši ,- Kč. Součástí této nabídky je i závazek společnosti Equica, a.s. doplnit zpracované výstupy v případě jejich nesouladu s dodatečně zveřejněnými metodickými pokyny Úřadu pro ochranu osobních údajů k problematice GDPR. Tento závazek je platný do 6-ti měsíců od předání výstupů Zadavateli. 3 / 8

7 Cenová nabídka výše uvedených služeb Společnost Equica nabízí provedení výše uvedených činností v ceně ,- Kč bez DPH. Cena zahrnuje zavedení GDPR pro Městský úřad Hodonín a jeho organizační složky. Cena nezahrnuje zavedení GDPR ve zřizovaných a zakládaných organizacích města, nabídka však o tyto organizace může být v případě zájmu rozšířena. Tato cena se může dále změnit na základě upřesnění potřeb Zadavatelem. Cena se také může snížit, pokud některé vybrané činnosti bude realizovat Zadavatel vlastními zdroji, pouze s metodickým vedením společnosti Equica, a.s. Vážená paní tajemnice, vážím si možnosti předložit Vám tuto nabídku a jsem připravena ji dále upravit co do rozsahu i obsahu podle Vašich potřeb. Děkuji a těším se na případnou budoucí spolupráci. Eva Lipovská Partner Equica, a.s. 4 / 8

8 Relevantní reference a zkušenosti S ohledem na zaměření problematiky GDPR se mezi relevantní reference společnosti Equica, a.s. řadí bohaté zkušenosti s provedením procesní a organizační optimalizace v organizacích veřejné správy, včetně zpracování interní organizačně - řídící dokumentace, zpracování strategických dokumentů ve veřejné správě a definice vhodné podpory informačními technologiemi při výkonu svěřených agend. Tato unikátní kombinace procesně organizačního poradenství v prostředí veřejné správy a znalost možností informačních a komunikačních technologií při podpoře výkonu agend veřejné správy tvoří vhodnou znalostí základnu pro kvalitní poskytování výše uvedených služeb. V neposlední řadě je Atestační středisko Equica rozhodnutím Ministerstva vnitra ČR č.j. MV /EG-2016 ze dne 22. listopadu 2016 pověřeno k provádění atestací dle zákona 365/2000 Sb., o informačních systémech veřejné správy. Detailní rozpis referencí je uveden na a v příloze této nabídky. Kontaktní údaje Obchodní firma: Equica, a.s. Sídlo: Rubeška 215/1, , Praha 9 Vysočany Právní forma: akciová společnost IČ: DIČ: CZ Bankovní spojení: Komerční banka, č. účtu: /0100 Osoba odpovědná za vypracování nabídky: Eva Lipovská Telefon: eva.lipovska@equica.cz 5 / 8

9 SPOLEČNOST EQUICA, A.S. Společnost Equica nabízí průnik procesně-organizačního poradenství a projektového řízení. Navíc disponuje rozsáhlými znalostmi a zkušenostmi v oblasti zavádění a využívání informačních technologií. Za dobu působení na trhu se česká společnost Equica zařadila mezi významné dodavatele projektových manažerů pro řízení rozsáhlých projektů v soukromém sektoru i ve státní správě, a to především v oblasti informačních a komunikačních technologií. Equica, a.s. má také dlouholeté zkušenosti s poradenstvím v oblasti podpory vrcholového vedení organizací, řízení firem a podniků a jejich optimalizace a zlepšování. Společnost Equica se také profiluje v oblasti dotačního a grantového poradenství a nabízí svým zákazníkům identifikaci vhodného dotačního titulu, témat pro žádost o dotaci či zpracování kompletní žádosti o dotaci včetně následující povinné administrace poskytnuté dotace. Špičkoví projektoví manažeři a konzultanti jsou schopni se velmi rychle seznámit s potřebnou problematikou, flexibilně reagovat na potřeby zákazníka či projektu a v úzké spolupráci se zákazníkem významně přispívat k dosažení stanovených cílů. Pro potřeby projektového řízení vyvinula Equica vlastní metodiku Equicauilibrium Project Management Solutions (EPMS), která je plně srovnatelná se světově uznávanými metodikami a přitom respektuje specifika českého prostředí. Společnost Equica je držitelem prověrky NBÚ pro stupeň Tajné a ve svých řadách má projektové manažery, kteří jsou držiteli osvědčení NBÚ o absolvování bezpečnostních prověrek ve smyslu zákona č. 412/2005 Sb. Dále je společnost Equica na základě rozhodnutí Ministerstva vnitra ČR č. j. MV /VEG-2013 akreditovanou institucí pro vzdělávání úředníků územní veřejné správy podle zákona č. 312/2002 Sb., o úřednících územních samosprávných celků, v oblasti projektového řízení, procesního řízení, strategického řízení a plánování, finančního řízení a řízení lidských zdrojů. Atestační středisko Equica je rozhodnutím Ministerstva vnitra ČR č.j. MV /EG-2016 ze dne 22. listopadu 2016 pověřeno k provádění atestací dle zákona 365/2000 Sb., o informačních systémech veřejné správy. Equica je 100% vlastněná tuzemským kapitálem a v současné době zaměstnává 20 pracovníků. 6 / 8

10 Příloha č. 1 - Relevantní reference společnosti Equica, a.s. M Ě S TO M Š ENO Zavedení GDPR v Městském úřadě Mšeno a jeho organizačních složkách - v realizaci M Ě S TO KO L ÍN Zavedení GDPR v Městském úřadě Kolín a jeho organizačních složkách - v realizaci M Ě S T SKÁ ČÁ S T P RA HA 12 Zavedení GDPR v Úřadě městské části Praha 12 a jeho organizačních složkách - v realizaci M Ě S TO Š LUKNO V Zavedení GDPR v Městském úřadě Šluknov a jeho organizačních složkách - v realizaci A SO C IAC E KRAJŮ Č E SKÉ R E PUB L IK Y Implementace, podpora a evaluace e-gov v územní veřejné správě C EN TRUM RE G IONÁ LN Í HO ROZ VOJ E Audit plnění cílů strategie regionálního rozvoje v oblasti informačního zabezpečení Č E SK Ý T E L EKOMU N IKAČN Í Ú ŘAD. Zmapování současného stavu provozně-ekonomických systémů ČTÚ Kompletní příprava a zpracování žádosti o dotaci v rámci výzvy MV ČR č. 14/2012 D E LO I TT E C ZE CH R EPU BL I C Strategický, organizační, funkční, procesní a informační audit v resortu MZV Organizační, funkční, procesní a informační audit v resortu MF Procesně organizační audit ve vybraných útvarech Ministerstva práce a sociálních věcí F OND D A L Š ÍH O VZD Ě LÁV ÁN Í Aktualizace Strategie digitální gramotnosti ČR na období M AG I S TRÁ T H LA VN Í HO M Ě S TA PRA H Y Vytvoření katalogu rizik MHMP Tvorba přehledového procesního schématu MHMP M Ě S TO B Í L IN A Zpracování žádosti vč. povinných příloh a administrace projektu IOP Konsolidace IT města Bílina M Ě S TO B Y ST Ř IC E Návrh systému řízení strategie ve Městě Bystřici M Ě S TO Č E LÁK OV I CE Zpracování zadávací dokumentace a administrace veřejncýh zakázek projektu Konsolidace IT Čelákovice Zpracování žádosti vč. povinných příloh a administrace projektu IOP Konsolidace IT Čelákovice M Ě S TO Č ERNO Š I CE Zpracování a následná implementace projektového řízení M Ě S TO HU STO P EČ E Zpracování procesní analýzy, optimalizace a implementace procesního řízení, poradenství, dodávka speciálního software M Ě S TO J E S EN ÍK Zpracování metodiky řízení a rozvoje lidských zdrojů úřadu M Ě S TO L ETO HR AD Strategický plán M Ě S TO OR LO VÁ Procesní audit v podmínkách Městského úřadu Orlová Zpracování studie o možnost vzniku Městského sportovního klubu (studie proveditelnosti) na území města Orlové M Ě S TO PŘE LOU Č Procesní a bezpečnostní audit M Ě S TO RO TA VA Zpracování Strategického plánu rozvoje města Rotava M Ě S TO R ÝMAŘ OV Zefektivnění chodu úřadu prostřednictvím optimalizace lidských zdrojů M Ě S TO VAM B ERK Strategický plán M IN I S T ER ST VO F IN ANC Í ČR Strategie ICT resortu MF 2008 Transformační projekt ICT Ministerstva financí I. Analýza datových toků resortu MF Optimalizace procesně organizačního řízení ICT MF M IN I S T ER ST VO PR ÁC E A SO C IÁ LN ÍC H V ĚC Í ČR Vypracování jednotné metodiky řízení projektů na MPSV a v celém resortu vč. zajištění komplexní konzultační podpory a souvisejících vzdělávacích aktivit 7 / 8

11 Nastavení jednotného standardu materiálního vybavení zaměstnanců MPSV Personální audit v resortu MPSV a vytvoření Personální strategie MPSV Minimální standardy pro pracoviště posudkových komisí MPSV M IN I S T ER ST VO PRŮ MY SL U A OB CHO DU ČR Služby řízení, monitoringu a administrace projektu Úprava Registru živnostenského podnikání v návaznosti na základní registry veřejné správy M IN I S T ER ST VO OBR ANY ČR Strukturální analýza složek MO zajišťujících koncepční rozvoj IS/ICT MO Zpracování analýzy způsobu evidence a kategorizace výdajů a smluvních vztahů na IS/ICT v jednotlivých relevantních organizačních celcích/prvcích MO a návrhy na zlepšení současného stavu M IN I S T ER ST VO S PR AV ED LNO S T I Č R Vypracování technického a implementačního projektu na implementaci aktivních prvků M IN I S T ER ST VO Š KO L STV Í, M LÁD EŽ E A T ĚL OV ÝCH O VY ČR Studie proveditelnosti Informačního systému kvalifikací a autorizací (ISKA) Studie proveditelnosti Resortního informačního systému MŠMT M IN I S T ER ST VO VN I TRA ČR Organizační, ekonomický a právní audit u státní příspěvkové organizace Tiskárna MV Zpracování projektových záměrů pro systémy e-legislativa a e-sbírka Poskytnutí majetkových autorských práv a konzultačních služeb k Metodice PrincEgon Jednotná úroveň informačních systémů operačního řízení a modernizace technologií pro příjem tísňového volání základních složek integrovaného záchranného systému Konzultačních služeb při vytvoření metodiky síťování projektových kanceláří v organizacích veřejné správy Vypracování architektury IS Registr práv a povinností Administrace a zajištění dohledu nad projektem Vypracování architektury IS Registr práv a povinností. Aktualizace Strategie realizace Smart Administration a pilotní implementace metody finančního řízení projektů na MVČR MO RA V SKO S L EZ SKÝ KRAJ Zpracování procesní analýzy a sestavení rámcového procesního modelu Krajského úřadu MSK N ÁRODN Í B EZP E ČNO STNÍ ÚŘ AD Systém detekce kybernetických bezpečnostních incidentů ve vybraných informačních systémech veřejné správy (Systém detekce) N ADAC E CH AR TY 7 7 Vývoj a implementace informačního systému Poskytnutí služeb projektového řízení O BE C HÁJ U DUC HCO VA Zpracování Strategického plánu rozvoje obce Háj u Duchcova P ARDU B ICK Ý KR AJ Zpracování studie proveditelnosti projektu Regionální datová síť ICT strategie Pardubického kraje P RAŽ S KÁ IN FORM AČN Í S L UŽ BA Realizace procesního auditu back-office, doporučení k nastavení vztahu s externími dodavateli služeb S T Á TN Í FO ND Ž I VO TN Í HO PRO S TŘ ED Í Č R Vytvoření projektové kanceláře v rámci projektu Optimalizace řízení interních a externích procesů na SFŽP S T Á TN Í ÚŘA D IN S PE KC E PRÁ CE ČR Efektivita personálního řízení SÚIP S T A TUTÁ RN Í M Ě S TO J I HL A VA Zavedení procesního řízení Optimalizace a zefektivnění řízení a rozvoj lidských zdrojů S T A TUTÁ RN Í M Ě S TO O S TR AV A Řízení projektu Informační systém pro komunikaci občana s úřadem S T A TUTÁ RN Í M Ě S TO PŘ ERO V Zvýšení kvality řízení na Magistrátu města Přerova S T A TUTÁ RN Í M Ě S TO Ú S TÍ N AD L AB EM Zpracování Strategie rozvoje ICT ÚŘ AD PRO T ECH N ICKOU NOR MA L IZ AC I, M ETR OLO GI I A S TÁ TN Í ZKU Š EBN IC T V Í Popis procesů distribuce dokumentů Z L ÍN SK Ý KR AJ Zpracování žádosti k projektu Integrovaný záchranný systém Zlínského kraje 8 / 8