Detailní specifikace předmětu zakázky

Podobné dokumenty
Registr vozidel a evidence stanic měření emisí. fyzická osoba, podnikající fyzická osoba, statutární orgán právnické osoby

fyzická osoba, podnikající fyzická osoba, statutární orgán právnické osoby

fyzická osoba, podnikající fyzická osoba

GDPR ochrana osobních údajů

fyzická osoba, podnikající fyzická osoba

Pozemní komunikace a silniční správní úřady. fyzická osoba, podnikající fyzická osoba

GDPR - příklad z praxe

Žádost o zařazení do Seniorského programu - zájemce

Poučení o ochraně osobních údajů

Zásady ochrany osobních údajů

Žádost o zrušení údaje o místu trvalého pobytu *

Informace o zpracování osobních údajů

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PŘI PODNIKATELSKÉ ČINNOSTI dle Nařízení Evropského parlamentu a Rady EU 2016/679

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

GDPR pro základní školy. JUDr. Jiří Matzner, Ph.D., LL.M. Advokát

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Záznam o zpracování osobních údajů

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Sloupec1 Sloupec2 Sloupec3 Sloupec4 Sloupec5 Sloupec6 Sloupec7 Sloupec8 Sloupec9 Sloupec10 Sloupec102 Sloupec11 Sloupec12 Sloupec13

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

GDPR Obecné nařízení o ochraně osobních údajů

Nová pravidla ochrany osobních údajů

Školení GDPR pro Cosmetics Atok International

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Informační povinnost správce osobních údajů vůči subjektu údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ. I. Základní ustanovení

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů hostů Wellness hotelu & restaurace Green Gondola Plzeň

P. č. Účel zpracování Kategorie osobních údajů Kategorie subjektu údajů Kategorie příjemců

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Posouzení dopadu činnosti na ochranu osobních údajů. 1. Předmět ochrany osobních údajů. Hexpol Compounding s.r.o.

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

KIS Mariánské Lázně s.r.o.

Farmakovigilance z pohledu ochrany osobních údajů

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

P. č. Účel zpracování Kategorie osobních údajů Kategorie subjektu údajů Kategorie příjemců

Informace o zpracování osobních údajů

Informace o správci osobních údajů:

Směrnice o ochraně osobních údajů

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ. (dále jen Zásady) 1 Úvodní ustanovení

Evidence obyvatel. Fyzická osoba:

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. ODBOR: EVIDENČNÍCH SPRÁVNÍCH SLUŽEB A OBECNÍHO ŽIVNOSTENSKÉHO ÚŘADU Oddělení: přestupků

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Odbor legislativy a vnitřních věcí

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů ve společnosti. ZPS-TRANSPORT, a.s.

ZÁSADY ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ (dále také jako zásady )

Informační memorandum Český hudební fond, o.p.s.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR v sociálních službách

GDPR Obecný metodický pokyn pro školství

Seznam vzorů, které naleznete v publikaci:

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

Moravský rybářský svaz, z.s. pobočný spolek. spolek zapsaný ve spolkovém rejstříku vedeným Krajským soudem v Brně, oddíl L, vložka Sídlo:. IČ:.

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ OBCHODNÍCH PARTNERŮ

GDPR Ochrana osobních údajů. Informace o zpracování osobních údajů. Subjekty údajů mají právo

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOSTI SKLÁRNY MORAVIA, akciová společnost.

Informace o vybraných zpracováních osobních údajů společnostmi ze skupiny CPI PG

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Kabelíkova 14a, Přerov. Tel.: , fax: Sociální služby města Přerova, p.o. Záznamy o činnostech zpracování

Právní povinnost, splnění smlouvy, Právní povinnost, splnění smlouvy, Ne Ne 56 Smlouvy 56.7 darovací V/5

Zásady zpracování osobních údajů spolku Česká speleologická společnost

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Informace o vybraných zpracováních osobních údajů společnostmi ze skupiny CPI PG

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOCIÁLNÍCH SLUŽBÁCH MĚSTA VELKÉ MEZIŘÍČÍ

Zásady zpracování osobních údajů.

VI / Dokumentace o poskytování sociální služby

Prohlášení o ochraně osobních údajů ve společnosti. TAJMAC-ZPS, a.s.

Představení služeb Konica Minolta GDPR

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Zástupce správce osobních údajů. Odpovědný útvar Odpovědná osoba Zpracovatel osobních údajů. Fyzická osoba, podnikající fyzická osoba

Záznam o činnostech zpracování

Informace o zpracování osobních údajů

Výběrová a zadávací řízení pro městský úřad a příspěvkové organizace města

ŽÁDOST O POSKYTNUTÍ SOCIÁLNÍ SLUŽBY DOMOV SE ZVLÁŠTNÍM REŽIMEM (pro zájemce s Alzheimerovou chorobou nebo jiným typem demence)

1.3. Tyto podmínky jsou přístupné na webových stránkách Správce

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

SPISOVÁ SLUŽBA A GDPR

Odbor bytový Úřadu městské části Brno-střed Dominikánská 2, Brno. Já níže podepsaný/á

Zásady zpracování osobních údajů

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

DOMOV DŮCHODCŮ HORNÍ PLANÁ

Základní informace o GDPR

Prohlášení o ochraně osobních údajů ve společnosti ZPS MECHANIKA, a. s.

Transkript:

Detailní specifikace předmětu zakázky Zadavatel požaduje provedení projektových a konzultačních služeb k dosažení shody s požadavky Na Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále též GDPR ) a navržení způsobu dosažení souladu s těmito požadavky, aby měl zadavatel k datu účinnosti GDPR zavedena pravidla a postupy odpovídající požadavkům tohoto na (dále též jen služby k dosažení shody nebo dílo ). Úřad již má zpracovaný základní sběr informací o zpracování osobních dat, který popisuje současný stav a důvody zpracování osobních údajů. Ten lze poskytnout k dalšímu použití (viz Tabulka č.1 - Vzor sběru informací na odboru ekonomiky). Zadavatel je zřizovatelem organizačních složek, městské policie a příspěvkových organizací (viz Příloha č.6 Seznam organizací). Realizace služeb k dosažení shody u těchto organizací je součástí zakázky. Zakázka bude provedena ve čtyřech etapách, které jsou popsány níže. Výstupy budou zpracovány pro každou organizaci a pro každou etapu zvlášť, s výjimkou školských organizací, u kterých budou provedeny pouze etapy 1 a 2, přičemž etapy 3 a 4 budou zpracovány pouze u dvou školských organizací určených zadavatelem po konzultaci s dodavatelem tak, aby byly získané informace v co nejširší míře aplikovatelné i na ostatní školské organizace. Výstupy ze všech čtyř etap budou v souhrnu tvořit komplexní strategický dokument zahrnující část analytickou (1. srovnávací analýza, 2. posouzení rizik), část návrhovou (3. Plán dosažení souladu s GDPR) a část implementační (4. implementace některých konkrétních GDPR opatření). 1. Srovnávací analýza V rámci Srovnávací analýzy požaduje zadavatel od uchazeče posoudit úroveň stavu ochrany osobních údajů dle aktuálního rozsahu zpracování těchto údajů v prostředí zadavatele. Skutečnosti zjištěné při srovnávací analýze poskytnou informace o slabinách a nedostatcích v zajištění ochrany osobních údajů zadavatele. Kritéria srovnávací analýzy budou vycházet zejména z požadavků GDPR. Výstupní dokumenty budou obsahovat souhrnnou přehledovou tabulku hodnocení pro jednotlivé požadavky GDPR se stanovením míry jejich zavedení. Jako součást srovnávací analýzy musí být provedeny úkony, které povedou ke zjištění stavu souladu s požadavky GDPR: identifikace respondentů pro provedení interview; analýza dokumentace ochrany osobních údajů; provedení rozhovorů a posouzení stavu ochrany osobních údajů na pracovištích zadavatele pomocí různých náhledů: o Pohled přes požadavky GDPR bude zpracovaný na základě interview se zaměstnanci ICT a vedoucími zaměstnanci. Výstupem bude přehled plnění jednotlivých požadavků GDPR a hodnocení stávajících opatření pro ochranu osobních údajů (bezpečnostní politika, organizace bezpečnosti, aktiv, bezpečnost lidských zdrojů, fyzická bezpečnost a bezpečnost prostředí, kryptografie, komunikací, provozu, přístupu, akvizice, vývoj a údržba informačních systémů, dodavatelské vztahy, zvládání bezpečnostních incidentů, kontinuity činností organizace a souladu s požadavky); Strana 1

o o Pohled přes organizační jednotky bude zpracovaný na základě interview se zástupci jednotlivých organizačních jednotek, s cílem identifikovat procesy nakládající s osobními údaji, které nemusí být plně známé centrálnímu ICT a vedení. Pohled přes skupiny informačních aktiv s cílem identifikovat aktiva (skupiny systémů a aplikací) nakládající s osobními údaji, které nemusí být plně pod kontrolou centrálního ICT a vedení; analýza zdrojů osobních údajů, právních titulů a účelů k jejich zpracování a způsobu jejich dokumentace; analýza kategorizace typů osobních údajů v návaznosti na klasifikaci informací; analýza zpracovatelských operací osobních údajů; analýza životního cyklu osobních údajů v návaznosti na procesy a datové toky v informačním systému; analýza uživatelských přístupů k osobním údajům v informačním systému; zpracování záznamu ze srovnávací analýzy popisující míru splnění požadavků GDPR a předání tohoto záznamu zadavateli. sestavení jednotného registru zpracování osobních údajů (tj. ucelený seznam zpracování osobních údajů). Výstupem bude: Zpráva ze srovnávací analýzy požadavků GDPR - přehledová zpráva o plnění legislativních požadavků GDPR zaměřená na typy osobních údajů spravovaných zadavatelem, procesy a opatření pro jejich ochranu. Zpráva bude obsahovat přehled plnění jednotlivých požadavků GDPR a hodnocení stávajících opatření pro ochranu osobních údajů (bezpečnostní politika, organizace bezpečnosti, aktiv, bezpečnost lidských zdrojů, fyzická bezpečnost a bezpečnost prostředí, kryptografie, komunikací, provozu, přístupu, akvizice, vývoj a údržba informačních systémů, dodavatelské vztahy, zvládání bezpečnostních incidentů, kontinuity činností organizace a souladu s požadavky); Dalším výstupem bude registr zpracování osobních údajů. 2. Posouzení rizik Posouzení rizik bude nezbytné pro návrh vhodných organizačních a technických opatření k zajištění plnění požadavků GDPR. Posouzení rizik bude provedeno pro jednotlivá zpracování identifikovaná v rámci Srovnávací analýzy. Pro posuzování rizikovosti jednotlivých zpracování osobních údajů požaduje zadavatel použit následující postup: Identifikace, zda jde o zpracování popsané v čl.35 odst. 3 písm. a), b) nebo c) Na; Identifikace, zda je zpracování označené za rizikové dozorovým úřadem; Identifikace hrozeb spojených se zpracováním (např. porušení zabezpečení údajů, zpracování údajů v rozporu se základními zásadami GDPR apod.); Identifikace potenciální újmy dotčených osob spojené se zpracováním jejich osobních údajů (fyzická, hmotná nebo nehmotná újma způsobená správcem nebo třetí stranou); Zhodnocení pravděpodobnosti, že újma vznikne (posouzení slabých míst systémů a procesů zpracování oproti povaze hrozby); Strana 2

Zhodnocení závažnosti potenciální újmy, pokud by vznikla (z hlediska citlivosti nebo objemu osobních údajů apod.); Vyhodnocení, zda zpracování obsahuje rizikové faktory dle výkladového pokynu WP29 ze dne 4.4.2016 (WP 248); Vyhodnocení rizika (vysoké riziko je důvodem k tomu, aby bylo provedeno podrobné Posouzení vlivu na ochranu osobních údajů; naopak nízké riziko může být důvodem pro aplikaci některé výjimky z povinností dle GDPR). Výstupem bude: Dokument popisující rizikovost jednotlivých zpracovatelských operací. 3. Plán dosažení souladu s GDPR V návaznosti na Srovnávací analýzu a Posouzení rizik bude zpracován detailní návrh jednotlivých změn, které je třeba provést před nabytím účinnosti GDPR ke dni 25.5.2018. Cílem Plánu dosažení souladu s GDPR (dále též Plánu ) bude podrobné stanovení dílčích úkolů a postupu jejich realizace pro dosažení souladu s GDPR ke stanovenému datu. Plán zohlední zjištění ze Srovnávací analýzy a bude zaměřen na sestavení postupu k dosažení následujících cílů: redukce rozsahu potřebného zpracování údajů s cílem snížit tak náklady na opatření nezbytné na jeho zabezpečení; revize bezpečnostní politiky a další bezpečnostní dokumentace, pokrývající oblast osobních údajů; úprava procesů spojených s osobními údaji a jejich ochranou; přijetí technických opatření pro zlepšení bezpečnosti osobních údajů; revize smluv s externími subjekty, které vstupují do zpracování osobních údajů, případně se kterými jsou osobní údaje vyměňovány na základě zákonné potřeby; provedení školení zaměstnanců zadavatele zodpovědných za zajištění bezpečnosti osobních údajů. Výstupem bude: Dokument stanovující plán přijetí potřebných opatření k odstranění nesouladu s požadavky GDPR, jejich vzájemnou návaznost a doporučení pro jejich realizaci. Uvedená opatření budou navrhovat změny v oblastech právních, procesních a ICT. Plán bude obsahovat popis zadání pro následnou implementaci technických a organizačních opatření; odhad náročnosti jednotlivých kroků a doporučení pro postup implementace potřebných opatření do prostředí zadavatele. 4. Implementace některých konkrétních GDPR opatření V návaznosti na Plán dosažení souladu s GDPR zadavatel požaduje (v nezbytné součinnosti se zadavatelem) úpravu a vytvoření veškerých dodavatelem navržených povinných právních dokumentů a směrnic, zejména: Strana 3

vytvořit nový vnitřní předpis ke sjednocení postupů jednotlivých pracovišť zadavatele při sběru a zpracování jednotlivých OÚ vytvořit postupy v případě porušení zabezpečení OÚ, vytvořit vzorová oznámení o porušení zabezpečení OÚ, která jsou zasílána dotčených osobám a ÚOOÚ, policejnímu orgánu, vytvořit formuláře pro záznamy o jednotlivých incidentech vytvořit postupy pro vypracování záznamů o činnostech zpracování a záznamů o všech kategoriích činností zpracování zjistit všechny obecně závazné právní předpisy, které slouží jako podklad pro zpracování OÚ vytvořit nový vnitřní předpis upravující práva a povinnosti pověřence vytvořit nový vnitřní předpis upravující získávání souhlasu Subjektu údajů, souhlasů dítěte nebo jeho zákonného zástupce a jejich odvolání a archivace, vytvořit vzor souhlasu, získávaného pro všechny možné způsoby zpracování vytvořit pravidla pro informování subjektů údajů o jeho právech v souvislosti se zpracováním osobních údajů (práva na přístup, na opravu, na výmaz, na omezení zpracování, na přenositelnost údajů, právo vznést námitku), včetně zavedení postupů pro vyřizování žádostí subjektů údajů o uplatnění jednotlivých práv a námitek proti zpracování, vytvořit vzorová informační oznámení pro jednotlivé druhy subjekty údajů vytvořit postupy pro revizi zpracování, které probíhá, byť i částečně, automaticky stanovit pravidla pro dobu uchovávání jednotlivých druhů osobních údajů, vč. nastavení postupů pro výmaz údajů v případě uplynutí lhůty nebo odvolání souhlasu se zpracováním Etapa Popis Odhad doby trvání Předpokládaná realizace 1. Zpracování srovnávací analýzy cca 3 týdny duben 2018 2. Provedení posouzení rizik cca 2 týdny duben 2018 - květen 2018 3. Plán dosažení souladu s GDPR cca 2 týdny květen 2018 4. Implementace některých GDPR opatření cca 2 týdny květen červen 2018 Strana 4

Tabulka č.1 Vzor sběru informací na odboru ekonomiky ČÁST 1 Vymáhání pohledávek Rozpočet Účtárna Proč? O kom? Co? Kdy? Jak? z. 280/2009 Sb. z. 565/1990 Sb. Vyhlášky o místních poplatcích daňový subjekt, poplatník, které byla uložena platební povinnost za přestupek, která se dopustila PRK legislativa výčet níže + registrace k vyrozumívání - poté, co se osoba stane poplatníkem (odpady trvalé bydliště přistěhování, narození), nebo poté co splní podmínky pro placení poplatku (stane se držitelem psa, ohlásí zábor, platí pobytové poplatky apod.) - poté, kdy je osobě uložena pravomocná sankce za přestupek - v případě PRK Doba vymáhání až 20 let, skartace S5 (pět let po ukončení) síťové programy: SW GINIS espis sms.chomutov.cz lokální stanice: excel, word při hromadném vymáhání Fyzické spisovny smluvní vztahy (smlouvy, objednávky) smluvní strana Správní Dotační z. 500/2004 z. 250/2000 Sb., smlouva, rozšířený formulář žádosti o dotaci se kterou je vedeno správní smlouva legislativa výčet níže A10 po uzavření smluvního vztahu (smlouva, objednávka, fakturace) A10, S10 SW GINIS, ProfiBanka (někdy IČ a název) v případě zahájení správního S5 SW GINIS žadatel o dotaci (jeho statutární zástupce, popř. též zmocněná kontaktní osoba) legislativa, smlouva, souhlas již v případě přijetí žádosti o dotaci /i pokud není dotace přiznána/ v případě poskytnutí dotace + smlouva a kontrola vyúčtování dotace V10 SW egranty, SW GINIS, SW espis SW form.flow.server Pokladna z. 563/1990 Sb., z. 320/2001 Sb. která platbu hradí či jejímž jménem je platba přijímána legislativa pokladní doklady S5 SW GINIS Kdo V případě sankcí dělená správa (odpady ukládají, OE vymáhá) oprávněná úřední tajemník, primátor, kontrolní orgán (ÚK) Podatelna Hybridní pošta?? účetní, primátor, audit (interní i externí) oprávněná úřední tajemník, primátor, kontrolní orgán (ÚK) Podatelna Administrátor dotací, tajemníci komisí, členové komisí, RM, ZM (některé údaje jsou i na webu města) Podatelna Pokladní, primátor Strana 5

ČÁST 2 Obecné osobní údaje Vymáhání pohledávek Rozpočet Účtárna Strana 6 Správní Dotační Pokladna Jméno ANO NE (výjimky) ANO ANO ANO ANO Pohlaví nepřímo lze zjistit, účelově nesledujeme Věk nepřímo lze zjistit, účelově nesledujeme Datum ANO NE NE ANO ANO ANO narození (výjimečně) Rodné číslo ANO NE NE ANO ANO ANO IP adresa NE NE NE NE zřejmě NE v systému egranty stopa existuje Fotografický záznam Organizační údaje e-mailová adresa Telefonní číslo Identifikační údaje vydané státem Citlivé údaje ANO (pokud se subjekt zaregistruje) NE NE NE ANO NE ANO (pokud se subjekt NE NE NE ANO NE zaregistruje) ANO NE ANO ANO ANO ANO Rasový, etnický původ politické názory náboženství filozofické vyznání členství v odborech zdravotní stav ČÁST 3 sexuální orientace trestní delikty ANO držitel průkazu ZTP/P má zadarmo odpady a i psa (nárok na úlevu má, pokud skutečnost doloží) Umístění v léčebně, dětském domově či domově pro seniory, klokánku apod. úleva od poplatku za odpady Vymáhání pohledávek NE NE NE NE (výjimka již jsme se setkali s grantem na nákup automobilu pro vozíčkáře), zahrnu sem i sbírku CHOMUTOV POMÁHÁ Rozpočet Účtárna Správní Dotační Nepřímo viz sloupec vymáhání pohledávek (údaje však neeviduje) Pokladna ANO (sankce za delikty přímo vymáháme) NE NE ANO (pokud přímo vedeme (zákon o loteriích nebo porušení rozpočtové= kázně) Nepřímo ten kdo poruší RK je vyloučen z dotačního NE

pravomocná odsouzení genetické, biometrické údaje a osobní údaje dětí ANO osoba ve výkonu trestu nebo ve vazbě má nárok na prominutí poplatku za odpady NE NE NE NE NE Strana 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář