Systémová analýza a opatření v rámci GDPR

Podobné dokumenty
Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

MATERIÁL PRO RADU MĚSTA č. 86

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Představení služeb Konica Minolta GDPR

Ochrana osobních údajů Implementace GDPR

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

Příprava na GDPR. Metodická podpora, pracovní skupiny, systémové analýzy. Petr Vokáč Oddělení civilně-správní legislativy Ministerstvo vnitra

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

JARNÍ ŠKOLA Zdravých měst

SPISOVÁ SLUŽBA A GDPR

JAK SE PŘIPRAVIT NA GDPR?

Zpracování systémové analýzy působnosti krajů z hlediska obecného nařízení o ochraně osobních údajů pro Česká republika Ministerstvo vnitra Závěrečná

Dopady GDPR a jejich vazby

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Obecné nařízení o ochraně osobních údajů

GDPR a veřejná správa

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Metodické nástroje pro přípravu na obecné nařízení o ochraně osobních údajů. Školení pro zástupce obcí duben 2018

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Příprava na GDPR. Metodická podpora, pracovní skupiny, systémové analýzy. Petr Vokáč Oddělení civilně-správní legislativy Ministerstvo vnitra

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Metodické doporučení MV a ÚOOÚ k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

VII. Srovnání bilance rozpočtu se střednědobým rozpočtovým výhledem

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

GDPR compliance v Cloudu. Jiří Černý CELA

I. Bilanční tabulka podle odpovědných míst

GDPR v sociálních službách

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

I. Bilanční tabulka podle odpovědných míst a oblastí

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR Modelová Situace z pohledu IT

GDPR - příklad z praxe

GDPR - příklad z praxe

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

GDPR Obecný metodický pokyn pro školství

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Nová pravidla ochrany osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Střednědobý výhled rozpočtu Jihočeského kraje na období let 2019 a 2020 (v tis. Kč)

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Politika ochrany osobních údajů

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

ORGANIZAČNÍ ŘÁD ŠKOLY

Ochrana osobních údajů

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

V Praze 4. dubna 2018

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

O D B O R K A N C E L ÁŘ HEJTMANA. datum: vyřizuje: Bc. Kamila Křížová telefon:

Seznam vzorů, které naleznete v publikaci:

Informace o zpracování osobních údajů

Školení GDPR pro Cosmetics Atok International

Zpráva o výsledcích finančních kontrol za Liberecký kraj za rok 2004

VII. Srovnání bilance rozpočtu se střednědobým rozpočtovým výhledem

Střednědobý rozpočtový výhled Jihočeského kraje na období let (v tis. Kč)

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

Zásady ochrany osobních údajů

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

GDPR A JEHO IMPLEMENTACE DO KRAJSKÉHO ÚŘADU

Posuzování na základě rizika

Směrnice č. 13/2018. Ochrana osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Vyhodnocení kontrolní činnosti Krajského úřadu Kraje Vysočina za 1. pololetí roku 2019

CENTRUM SOCIÁLNÍCH A ZDRAVOTNÍCH SLUŽEB MĚSTA PŘÍBRAM Brodská 100, Příbram VIII IČO: , datová schránka: dvdk62u

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

General Data Protection Regulation (GDPR) Jak na to?

Porovnání návrhu aktualizace s platným SRV (v celkové struktuře v tis. Kč)

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Zabezpečení osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Ochrana osobních údajů pro personalisty

Vyhodnocení kontrolní činnosti Krajského úřadu Kraje Vysočina za 1. pololetí roku 2018

Ochrana dat ve farmacii aneb připravte se na nové nařízení EU - GDPR

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Střednědobý výhled rozpočtu Jihočeského kraje na období let 2020 a 2021 (v tis. Kč)

Souhlas subjektů údajů NOVÁ, ZRANITELNÁ, INFORMAČNĚ CENNÁ, CENTRÁLNÍ DB 9/11/2017. seminář DPO. dle GDPR. Září 2017

Transkript:

Systémová analýza a opatření v rámci GDPR Kraje a právnické osoby zřizované kraji 1. března 2018

Cíle systémové analýzy Dne 25. května 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR). Cílem projektu bylo zpracovat analýzu současného stavu s ohledem na požadavky GDPR, což zahrnovalo následující témata Přehled zpracovávaných osobních údajů Popis zpracování osobních údajů v informačních systémech v kontextu činnost krajů a právnických osob zřizovaných kraji. Dopady nařízení GDPR Popis dopadů obecného nařízení o ochraně osobních údajů na kraje a právnické osoby zřizované kraji. Zhodnocení souladu s GDPR Zhodnocení, zda stávající činnosti krajů a právnických osob zřizovaných kraji jsou či nejsou v souladu s obecným nařízením o ochraně osobních údajů. Rizika zpracování Zhodnocení rizika zpracování a v kontextu obecného nařízení o ochraně osobních údajů jejich kvalifikování. Nápravná opatření Návrh opatření k nápravě v případě, kdy stávající činnost je nesouladná s obecným nařízením o ochraně osobních údajů. Pověřenec na ochranu osobních údajů Doporučení kvalifikace, organizačního postavení a činnosti pověřence pro ochranu osobních údajů v kraji Systémová analýza byla provedena na vzorku 3 krajů vybraných zadavatelem a vztahuje se ke všem agendám v přenesené působnosti krajů, tak k základním (všem krajům společným) agendám v samostatné působnosti. Systémová analýza pokrývá také vymezené činnosti právnických osob zřizovaných kraji. 2

Typy organizací a jejich agend, které byly zahrnuty do analýzy Kraje Doprava, Školství, mládež, tělovýchova, ŽP a zemědělství, Územní plánování, stavební úřad, Kultura a památková péče, Regionální rozvoj a cestovní ruch, Kontrola, Kancelář hejtmana a vnějších vztahů, Podpora řízení, Kancelář ředitele úřadu, Legislativa a právo, Krajský živnostenský úřad, Sociální věci, Zdravotnictví, Investice a majetek, Finance, Bezpečnost a krizové řízení, Dotace a projekty, Interní audit. Škola a školské zařízení Personálně-mzdová agenda, Úsek ekonomicko-provozní, Agenda pedagogiky. Zdravotnické zařízení Personálně-mzdová agenda, Úsek ekonomicko-provozní, Poskytování zdravotních služeb. Zařízení sociálních služeb Personálně-mzdová agenda, Úsek ekonomicko-provozní, Poskytování sociálních služeb. Kulturní Personálně-mzdová agenda, Úsek ekonomicko-provozní, Knihovnické a informační služby. Oblast dopravní obslužnosti Personálně-mzdová agenda, Úsek ekonomicko-provozní, Agenda dopravní obslužnosti. 3

Vstupní podklady Quick Check Vyplňuje zpravidla zástupce bezpečnosti ve spolupráci s IT. Tento dotazník slouží pro zpracování souhrnné analýzy připravenosti. Dotazník právní Vyplňuje zpravidla zástupce za oddělení nebo danou agendu, je potřeba zpracovat pro každou agendu v rámci dané organizace (tj. krajského úřadu nebo příspěvkové organizace) zvlášť, a to jak v rámci výkonu samostatné působnosti, tak v rámci výkonu přenesené působnosti. Přehled systémů Vyplňuje zpravidla zástupce IT a techničtí zástupci aplikací (garant/vlastník aplikace). Tento dotazník slouží pro zjištění všech informačních systémů, které obsahují OÚ/COÚ, a jejich bezpečnostních parametrů. Směrnice, řády, vzory smluv Vzor pracovní smlouvy (i DPP, DPČ) Vzor dodavatelské smlouvy Vzor souhlasů o zpracování OÚ Směrnice na ochranu OÚ Bezpečnostní směrnice/politika - fyzická a IT/ICT Organizační řád Skartační řád Pracovní řád 4

Výstupy systémové analýzy Obecné dopady GDPR Zpracovávané osobní údaje Přehled osobních údajů v IS Analýza rizik Přehled nesouladů s GDPR a návrh opatření Pověřenec pro ochranu osobních údajů (DPO) Výstupy pro jednotlivé organizace Popis dopadů GDPR na kraje a subjekty zřizované kraji Přehled zpracovávaných osobních údajů dle jednotlivých agend Identifikace rolí, účelů zpracování, odpovědností, doby uchování osobních údajů Přehled osobních údajů v identifikovaných typech informačních systémů Zhodnocení rizik zpracování včetně jejich významnosti, dle jednotlivých agend Přehled identifikovaných nesouladů s GDPR Návrh organizačních a technických opatření Doporučení kvalifikace osoby a jejího organizačního začlenění Přehled činností DPO Vyhodnocení Quick Check dotazníků Přehled agend s uvedením jejich právních základů 5

Základní vyhodnocení připravenosti krajů Níže uvedené grafy představují vyhodnocení základního dotazníku Quick Check. Grafy znázorňují aktuální stav připravenosti procesů a organizačních opatření (vlevo) a technických opatření (vpravo) na GDPR. 6

Základní vyhodnocení připravenosti právnických osob zřizovaných kraji Níže uvedené grafy představují vyhodnocení základního dotazníku Quick Check. Grafy znázorňují aktuální stav připravenosti procesů a organizačních opatření (vlevo) a technických opatření (vpravo) na GDPR. 7

Organizační, procesní a právní doporučení Provedení revize interních předpisů (zejména za účelem vymezení rolí a odpovědností ve vztahu ke každé činnosti vykonávané v rámci organizace), Stanovení účelů zpracování a rozsahu zpracovávaných osobních údajů, Revize stávajících právních titulů, včetně udělených souhlasů, Zavedení mechanismů za účelem výkonu práv subjektů údajů, Zpracování či revize výstupu s informacemi pro subjekt údajů, Vedení záznamů o činnostech zpracování, Jmenovaní pověřence pro ochranu osobních údajů, Stanovení podmínek pro zapojení zpracovatele, Zavedení postupu pro ohlášení/oznámení porušení zabezpečení osobních údajů, Vedení záznamů o udělených souhlasech, vedení záznamů o splnění informační povinnosti, dokumentace případů porušení zabezpečení osobních údajů. 8

Doporučená technická opatření Kraje Právnické osoby zřizované kraji 10% 46% Soulad Soulad 54% Nesoulad 90% Nesoulad Následující doporučení platí pro většinu posuzovaných systémů: Zpracování analýzy rizik Zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti vedení auditních záznamů (logů), zajištění přenosu dat šifrovanou komunikací, napojení na centrální monitoring (SIEM). Obnova dostupnosti OÚ a přístupu k nim včas v případě incidentu (plán obnovy po havárii) Pravidelné testování, posuzování a hodnocení účinnosti zavedení opatření pro zajištění bezpečnosti (obnova po havárii, vyhodnocování incidentů, obnova záloh) Pseudonymizace zavedení těchto opatření zvážit na základě výsledku analýzy rizik a posouzení nákladů, pro nově nakupované systémy doporučujeme jako standard. 9

Pověřenec pro ochranu osobních údajů Doporučení ke kvalifikaci žádný požadavek na dosažené vzdělání či certifikaci, jmenování na základě profesních kvalit, zejména odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v čl. 39 GDPR, dostatečná znalost prostředí a prováděných procesů zpracování. Doporučení k organizačnímu začlenění přímé podřízení vrcholovým řídícím pracovníkům, interní či externí pověřenec, zamezení střetu zájmů, výkon funkce a plnění povinností a úkolů nezávislým způsobem. Doporučení k činnosti monitoring, poradenství a konzultace, kontrola, kontaktní místo. 10

2018 Grant Thornton Advisory s.r.o. All rights reserved. Grant Thornton Advisory s.r.o. je členská firma Grant Thornton International Ltd. (Grant Thornton International). Grant Thornton Valuations, a.s. je dceřinou společností Grant Thornton Advisory s.r.o. Odkazy na Grant Thornton se vztahují ke Grant Thornton International nebo ke členským firmám. Grant Thornton International a členské firmy nejsou mezinárodním partnerstvím. Služby jsou nezávisle poskytovány jednotlivými členskými firmami. grantthornton.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář