Ochrana osobních údajů v hotelech, lázních a nemocnicích

Transkript

1 Ochrana osobních údajů v hotelech, lázních a nemocnicích Připravil: GUBI computer systems s.r.o. Autor: Mgr. Marek Nawrath Poslední úprava: 6. října Listopadu č. 17, Šumperk tel. /fax: support@gubi.cz Copyright Gubi s.r.o. 1

2 Obsah Úvod... 3 Naše nabídka... 4 Odborné webináře... 4 Manuál k vypracování dokumentace... 5 Vypracování dokumentace korespondenční formou... 6 Vypracování dokumentace na základě auditu... 7 Školení vybraných zaměstnanců... 7 Závěr... 8 Kontakt

3 Úvod Již od roku 2000 je pro každého podnikatele závazný zákon č. 101/2000 Sb., o ochraně osobních údajů. Pro poskytovatele ubytovacích, a lázeňských služeb a nemocnice je obsah tohoto zákona obzvláště důležitý, neboť s osobními údaji klientů přichází do styku prakticky každý den. Uvedený zákon ukládá správcům osobních údajů (což je v podstatě každý poskytovatel ubytovacích, stravovacích a lázeňských služeb) některé zásadní povinnosti. 13 zákona č. 101/2000 Sb., o ochraně osobních údajů: (1) Správce (případně zpracovatel) jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Úřad na ochranu osobních údajů provádí ze zákona kontrolu plnění povinností správců osobních údajů a ukládá sankce za jejich neplnění. Porušení zákona na ochranu osobních údajů může znamenat vysokou finanční sankci. Podle závažnosti porušení zákona může Úřad na ochranu osobních údajů stanovit pokutu až do výše Kč. Zákon přímo stanovuje výši pokuty takto: Kč při nestanovení účelů, prostředků nebo způsobu zpracování (bezpečnostní směrnice) osobních údajů, uchování osobních údajů mimo vymezený účel uvedený v souhlasu s jejich zpracováním, uchování osobních údajů po dobu delší než nezbytně nutnou, zpracování osobních údajů bez souhlasu Kč při ohrožení většího počtu osob neoprávněným zasahováním do soukromého a osobního života, porušení povinnosti při zpracování citlivých údajů. 3

4 Naše nabídka Provozovatelům hotelů a lázní a zdravotnickým zařízením nabízíme služby spojené s řešením problematiky ochrany osobních údajů tak, aby se nebezpečí porušení zákona a případných sankcí vyhnuli. Společnost GUBI computer systems s.r.o. již dvacet let vyvíjí informační systémy pro velké hotely a lázeňská zařízení a poskytuje služby, které jsou spojené s provozováním těchto informačních systémů. Naše informační systémy pokrývají veškerou činnost hotelů a lázní. Práce s takovým informačním systémem představuje samozřejmě práci s osobními údaji klientů, případně zaměstnanců hotelů a lázní. Naše informační systémy obsahují klíčové prvky, které umožní při zpracování osobních údajů splnění povinností, které ze zákona č. 101/2000 Sb., o ochraně osobních údajů vyplývají. Tím ovšem naše práce v této oblasti nekončí. Problematikou ochrany osobních údajů se již dlouho zabýváme a na základě našich zkušeností jsme již několika provozovatelům hotelů a lázní pomohli s analýzou stavu ochrany osobních údajů i mimo naše informační systémy, s registrací zpracování osobních údajů v registru Úřadu na ochranu osobních údajů a s vypracováním dokumentu, jehož zpracování zákon ukládá. Pomoc v oblasti ochrany osobních údajů nabízíme v těchto čtyřech základních úrovních: Odborné webináře Manuál k vypracování dokumentace Vypracování dokumentace korespondenční formou Vypracování dokumentace na základě auditu Školení vybraných zaměstnanců Odborné webináře Délka webináře se odvíjí od počtu a závažnosti dotazů v diskuzi. Průměrná délka běžného webináře se pohybuje mezi 45 až 60 minutami. První strana webinář pro fiktivní společnost Wellness Oáza s.r.o. Obsah webináře může také výrazně ovlivnit závěrečná diskuze, případně aktuální změny v oblasti ochrany osobních údajů. Standardně lze od obsahu webináře očekávat informace o těchto tématech: 4

5 Legislativní rámec problematiky Vysvětlení základních pojmů Úřad na ochranu osobních údajů (UOOU) Povinnosti správců osobních údajů Kamerové a jiné choulostivé systémy Osobní údaje v elektronických informačních systémech Důsledky neplnění zákona Příklady porušení zákona řešené UOOU Registrace zpracování osobních údajů Příprava dokumentace v podobě směrnice Kamerové, biometrické a podobné systémy jsou z hlediska ochrany osobních údajů velmi choulostivé. Webinář poskytne správci osobních údajů základní informace k provedení analýzy stavu ochrany osobních údajů ve firemních informačních systémech, provedení registrace zpracování tam, kde to je nutné a především vypracování příslušné dokumentace v podobě směrnice, kterou zákon ukládá. Manuál k vypracování dokumentace Vzhledem k našim zkušenostem s vypracováním směrnice Technicko-organizační opatření na ochranu osobních údajů podle zákona č.101/2000 Sb. můžeme poskytnout základní šablonu a manuál k vypracování potřebné dokumentace s tím, že základní analýzu stavu ochrany osobních údajů a následné vyhodnocení si správce osobních údajů provede sám. Takový postup vyžaduje spolupráci s firemním právníkem, ale je schůdným řešením, jak potřebnou dokumentaci v podobě závazné směrnice vypracovat. Vypracování dokumentace s využitím manuálu je vhodné doplnit školením ochrany dat pro vybrané zaměstnance na místě nebo formou webináře. 5

6 Úvodní strany manuálu pro vytvoření směrnice Vypracování dokumentace korespondenční formou Nabízíme také přímo vypracování příslušné dokumentace na základě online komunikace se správcem osobních údajů. Správce osobních údajů vyplní několik dotazníků ke stavu ochrany osobních údajů ve firemních informačních systémech a na základě získaných údajů a vzájemné komunikace provedeme analýzu stavu a vypracujeme příslušnou směrnici včetně doporučení k případným nezbytným změnám. Titulní strana dokumentu fiktivní společnosti Vypracování dokumentace korespondenční formou je vhodné doplnit školením ochrany dat pro vybrané zaměstnance na místě nebo formou webináře. 6

7 Vypracování dokumentace na základě auditu Nejdůkladnější formou provedení analýzy stavu ochrany osobních údajů ve firemních informačních systémech je využití nezávislého auditu. V takovém případě naši zaměstnanci na místě provedou kontrolu ochrany osobních údajů podobně, jako podobnou kontrolu provádí inspektoři Úřadu na ochranu osobních údajů. Na základě takové kontroly pak naši zaměstnanci vypracují nezávislý audit a poté příslušnou směrnici. Velkou výhodou takového auditu je nezávislý pohled zvenčí. Náš pracovník se zkušenostmi v oblasti ochrany osobních údajů může objevit problémy, které si správce osobních údajů nemusí uvědomovat. V závislosti na velikosti hotelu nebo lázní a na využívaných informačních systémech může nezávislý audit představovat zhruba pět návštěv, vždy v rozsahu osmi hodin. Vypracování dokumentace na základě auditu je vhodné doplnit školením ochrany dat pro vybrané zaměstnance na místě nebo formou webináře. Školení vybraných zaměstnanců V rámci ochrany osobních údajů je mimořádně důležité, aby o opatřeních správce osobních údajů byli důkladně a prokazatelně informováni všichni zaměstnanci. S vypracovanou směrnicí by se měl každý zaměstnanec seznámit a tuto skutečnost potvrdit svým podpisem. Školení může různými formami provést zaměstnanec pověřený správcem osobních údajů. Nabízíme školení provedené naším zkušeným pracovníkem, který má za sebou několik auditů a vypracování směrnic k ochraně osobních údajů včetně pomoci při registraci zpracování údajů v registru Úřadu na ochranu osobních údajů. Nabízíme školení na těchto úrovních: 7

8 Školení pracovníků vrcholového managementu Školení pracovníků se speciálními povinnostmi v rámci ochrany osobních údajů (personální manažer, bezpečnostní manažer, správce informačních systémů apod.) Školení řadových pracovníků Školení může proběhnout formou prezentace a diskuze na místě nebo jako webinář. Závěr Důvěra zákazníků v bezpečnost svých osobních dat a s tím spojené dobré jméno společnosti jsou velmi důležitými aktivy každé společnosti. Analýza stavu nakládání s osobními údaji, následná dokumentace a přijetí adekvátních opatření mohou maximálně eliminovat pravděpodobnost nějakých incidentů S problémem pochybení v oblasti ochrany osobních dat nemusí být spojena pouze finanční sankce. Mnohem zásadnější může být právě ztráta dobrého jména společnosti, což může mít pro společnost fatální důsledky. Kvalitní analýza stavu ochrany osobních údajů a následná dokumentace včetně pravidelných revizí, může mít zásadní vliv na eliminaci chyb, které s ochranou osobních údajů souvis. Kontakt V případě zájmu o další informace o našich službách v této oblasti nás kontaktujte tel.: , asistentka@gubi.cz, mnawrath@gubi.cz 8