GDPR v sociálních službách - Doporučení k implementaci Karel Švarc 1
Zásada přiměřenosti Všechna opatření zavedená pro zabezpečení osobních údajů a jejich zpracování musí (dle čl. 24 a 25): - odpovídat rizikům a pravděpodobnosti a výši škody, která může nastat - odpovídat situaci a možnostem správce Pozor! tímto není dotčena základní povinnost správce osobní údaje zabezpečit a především minimalizovat množství a rozsah, který zpracovává
Používání souhlasu a dodatků - v případě poskytovatelů sociálních služeb se téměř nebudou používat, protože většina zpracování je založena na základě smluvního vztahu, nebo veřejném, či oprávněném zájmu - smluvní dodatky pro zpracovatele (externí dodavatele) by měl definovat úřad ( 52 odst.1 písm. g) adaptačního zákona) - první vzory souhlasu a dodatků ze strany MPSV budou k dispozici přibližně na začátku května
Jak dodržet GDPR 5. Vyhodnocovat události a hlásit incidenty ÚOOÚ. 4. Stále zjišťovat funkčnost zavedeného systému a systém zlepšovat auditní proces (accountabilita) 3. Zavést systém ochrany osobních údajů a dokumentovat záznamy a účely zpracování 2. Vědět kde osobní údaje jsou, kdo k nim přistupuje, co s nimi dělá a jaká rizika jim hrozí. 1. Vědět které údaje shromažďuji a proč. Kdo nehlásí incidenty, ten je nerozpozná, tedy nemá zavedeno GDPR a je nezbytná jeho kontrola.
Cíle implementace GDPR 1. schopnost poskytnout informace a součinnost subjektu údajů - dotazy, námitky, žádosti, oznámení, přenositelnost 2. odůvodnit existenci konkrétních dat u správce a dokumentovat operace s nimi spojené 3. obhájit postup zpracování a úroveň zabezpečení osobních údajů - audit, kontrola ÚOOÚ, stížnosti, ohlašování porušení zabezpečení, posouzení vlivu
Jak na to? 1. Analýza stávajícího stavu a analýza rizik Fyzická, elektronická a příkladová prohlídka Katalog osobních údajů, katalog rizik 2. Definice a implementace procesů GDPR (nových i stávajících) 3. Definice a implementace nápravných opatření (vyplývajících z provedené analýzy rizik) 4. Zavedení řízené dokumentace
Fyzická prohlídka Nutné zhodnotit výskyt osobních údajů a soulad s GDPR v: dokumentaci poskytovatele dokumentaci klientů dokumentaci zaměstnanců dodavatelskoodběratelských vztazích obrazových a audiovizuálních materiálech prostorách, kde je vykonávána činnost poskytovatele ostatních dokumentech a záznamech
Elektronická prohlídka Prostřednictvím zaměstnanců a / nebo dodavatelů IS a / nebo správců posoudit výskyt osobních údajů a soulad s GDPR v: dokumentech v elektronické formě všech databázových strukturách (zde je nezbytné projít všechny aplikace a jejich funkce, stejně jako všechny virtuální prostory pro ukládání a archivaci dat) externích aplikacích, službách a úložištích
Příkladová prohlídka Jedná se o intuitivní formu procesní analýzy, která má za cíl doplnit a zkontrolovat výstupy získané v předchozích prohlídkách. Zároveň se jedná o nástroj umožňující zachytit reálné situace a problémy, především v případech, které nepracují s unifikovanými dokumenty. Principem je zkoumání modelových příkladů zkušenými praktiky. Výstup by teoreticky měl být shodný s fyzickou a elektronickou prohlídkou dohromady.
Příkladová prohlídka Sada zkoumaných příkladů by měla obsahovat všechny činnosti poskytovatele, tj. minimálně jeden příklad pro: každou poskytovanou službu komunikaci s třetími stranami (kraje, MPSV, ostatní úřady, ostatní poskytovatelé apod.) každou interní skupinu agend, nebo agendu (personalistika, účetnictví, dodavatelskoodběratelské vztahy, apod.) vnější prezentaci poskytovatele (www, marketing, propagaci apod.)
Katalog osobních údajů Dokument obsahující výstup z analýzy stávajícího stavu, tj. minimálně pro každý případ: specifikaci identifikovaných osobních údajů oblast subjektu údajů (klienti, zaměstnanci, apod.) proces ve kterém jsou údaje zpracovávány evidenci / aplikaci / službu, která s nimi pracuje gestora a uživatele oprávněné s nimi nakládat umístění (fyzické, nebo virtuální) oprávnění (souhlas, zákon, veřejný zájem apod.) délku zpracování a archivační / skartační lhůty
Katalog rizik Dokument obsahující výstup z identifikace rizik, tj. minimálně pro každý případ identifikovaného rizika: název rizika popis rizika oblast výskytu rizika (proces, agenda, lokalita, apod.) pravděpodobnost rizika význam rizika nápravná opatření
Definice a implementace procesů Nové procesy: GDPR - agenda definice činností souvisejících s osobními údaji a jejich záznamem - proces komunikace se subjekty údajů - proces sběru, vyhodnocení a ohlášení incidentů Rozšířené procesy: - formalizace zpracování osobních údajů - doplnění analýz rizik
Definice a implementace nápravných opatření Úpravy stávající dokumentace: - shoda záznamů obsahujících osobní údaje s dokumentací - doplnění smluvních ustanovení - úprava formy poskytovaných informací Technická opatření - vnitřní funkce IS (logování, verzování, šifrování, pseudonymizace apod.) - uživatelská pravidla (role a jejich oprávnění přístupu k prostředkům) - fyzická opatření (omezení přístupu a systém udělování oprávnění) - bezpečnostní politika
Řízená dokumentace Interní směrnice Kodex chování Záznamy o činnostech Evidence komunikace se subjekty údajů Záznamy o posouzení vlivu Dokumentace bezpečnostních incidentů
Kde hledat pomoc? Úřad pro ochranu osobních údajů: www.uoou.cz web ÚOOÚ, metodiky, výklad ustanovení, definice pojmů MPSV: www.mpsv.cz/cs/13916 kodex chování + metodika implementace a vzorová dokumentace Odd. koncepce sociálních služeb jaroslav.dolansky@mpsv.cz karel.svarc@mpsv.cz