GDPR v sociálních službách

Podobné dokumenty
Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR. Požadavky na dokumentaci. Luděk Nezmar

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Nová pravidla ochrany osobních údajů

Seznam vzorů, které naleznete v publikaci:

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

Představení služeb Konica Minolta GDPR

GDPR Modelová Situace z pohledu IT

GORDIC a GDPR? Připraveno!

Implementace GDPR. Prioritní okruhy

GDPR Obecný metodický pokyn pro školství

Systémová analýza a opatření v rámci GDPR

GDPR RYCHLE A ZBĚSILE

Informace o zpracování osobních údajů

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

V Praze 4. dubna 2018

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů v SECAR BOHEMIA, a. s.

GDPR - příklad z praxe

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

Informace o zpracování osobních údajů

Zabezpečení osobních údajů

Zásady zpracování osobních údajů.

Informace o zpracování osobních údajů

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

JAK SE PŘIPRAVIT NA GDPR?

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR: příležitosti k úsporám. Martin Hladík 30. listopadu 2017

GDPR compliance v Cloudu. Jiří Černý CELA

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

Metodické nástroje pro přípravu na obecné nařízení o ochraně osobních údajů. Školení pro zástupce obcí duben 2018

Podmínky ochrany osobních údajů

ORGANIZAČNÍ ŘÁD ŠKOLY

Směrnice o ochraně osobních údajů

Očekávané dopady GDPR do pojišťovnictví

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Obecné nařízení o ochraně osobních údajů

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Dopady GDPR na elektronizaci zdravotnictví

GDPR informace podle čl. 13 uvedeného nařízení

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

GDPR a veřejná správa

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Farmakovigilance z pohledu ochrany osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

GDPR evoluce v ochraně osobních údajů.

Směrnice ČLS JEP číslo 1/2018 O ochraně a zpracování osobních údajů

Zásady zpracování osobních údajů

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů GDPR

Informace o zpracování osobních údajů fyzických osob

Záznamy o činnostech zpracování

GDPR informace podle čl. 13 uvedeného nařízení

Ochrana osobních údajů Implementace GDPR

Ochrana dat v pojišťovnictví

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

SPISOVÁ SLUŽBA A GDPR

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Informace o zpracování osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

OBECNÉ POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMACE POSKYTOVANÉ SUBJEKTŮM OSOBNÍCH ÚDAJŮ VE SMYSLU GDPR

GDPR informace podle čl. 13 uvedeného nařízení

Politika ochrany osobních údajů

ČINNOST SPOLEČNOSTI V INVEST CZ A.S.

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

GDPR informace podle čl. 13 uvedeného nařízení

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

SROVNÁNÍ PRÁVNÍ ÚPRAVY DLE ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ A NAŘÍZENÍ GDPR

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Dopady GDPR a jejich vazby

Posouzení dopadu činnosti na ochranu osobních údajů. 1. Předmět ochrany osobních údajů. Hexpol Compounding s.r.o.

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

Transkript:

GDPR v sociálních službách - Doporučení k implementaci Karel Švarc 1

Zásada přiměřenosti Všechna opatření zavedená pro zabezpečení osobních údajů a jejich zpracování musí (dle čl. 24 a 25): - odpovídat rizikům a pravděpodobnosti a výši škody, která může nastat - odpovídat situaci a možnostem správce Pozor! tímto není dotčena základní povinnost správce osobní údaje zabezpečit a především minimalizovat množství a rozsah, který zpracovává

Používání souhlasu a dodatků - v případě poskytovatelů sociálních služeb se téměř nebudou používat, protože většina zpracování je založena na základě smluvního vztahu, nebo veřejném, či oprávněném zájmu - smluvní dodatky pro zpracovatele (externí dodavatele) by měl definovat úřad ( 52 odst.1 písm. g) adaptačního zákona) - první vzory souhlasu a dodatků ze strany MPSV budou k dispozici přibližně na začátku května

Jak dodržet GDPR 5. Vyhodnocovat události a hlásit incidenty ÚOOÚ. 4. Stále zjišťovat funkčnost zavedeného systému a systém zlepšovat auditní proces (accountabilita) 3. Zavést systém ochrany osobních údajů a dokumentovat záznamy a účely zpracování 2. Vědět kde osobní údaje jsou, kdo k nim přistupuje, co s nimi dělá a jaká rizika jim hrozí. 1. Vědět které údaje shromažďuji a proč. Kdo nehlásí incidenty, ten je nerozpozná, tedy nemá zavedeno GDPR a je nezbytná jeho kontrola.

Cíle implementace GDPR 1. schopnost poskytnout informace a součinnost subjektu údajů - dotazy, námitky, žádosti, oznámení, přenositelnost 2. odůvodnit existenci konkrétních dat u správce a dokumentovat operace s nimi spojené 3. obhájit postup zpracování a úroveň zabezpečení osobních údajů - audit, kontrola ÚOOÚ, stížnosti, ohlašování porušení zabezpečení, posouzení vlivu

Jak na to? 1. Analýza stávajícího stavu a analýza rizik Fyzická, elektronická a příkladová prohlídka Katalog osobních údajů, katalog rizik 2. Definice a implementace procesů GDPR (nových i stávajících) 3. Definice a implementace nápravných opatření (vyplývajících z provedené analýzy rizik) 4. Zavedení řízené dokumentace

Fyzická prohlídka Nutné zhodnotit výskyt osobních údajů a soulad s GDPR v: dokumentaci poskytovatele dokumentaci klientů dokumentaci zaměstnanců dodavatelskoodběratelských vztazích obrazových a audiovizuálních materiálech prostorách, kde je vykonávána činnost poskytovatele ostatních dokumentech a záznamech

Elektronická prohlídka Prostřednictvím zaměstnanců a / nebo dodavatelů IS a / nebo správců posoudit výskyt osobních údajů a soulad s GDPR v: dokumentech v elektronické formě všech databázových strukturách (zde je nezbytné projít všechny aplikace a jejich funkce, stejně jako všechny virtuální prostory pro ukládání a archivaci dat) externích aplikacích, službách a úložištích

Příkladová prohlídka Jedná se o intuitivní formu procesní analýzy, která má za cíl doplnit a zkontrolovat výstupy získané v předchozích prohlídkách. Zároveň se jedná o nástroj umožňující zachytit reálné situace a problémy, především v případech, které nepracují s unifikovanými dokumenty. Principem je zkoumání modelových příkladů zkušenými praktiky. Výstup by teoreticky měl být shodný s fyzickou a elektronickou prohlídkou dohromady.

Příkladová prohlídka Sada zkoumaných příkladů by měla obsahovat všechny činnosti poskytovatele, tj. minimálně jeden příklad pro: každou poskytovanou službu komunikaci s třetími stranami (kraje, MPSV, ostatní úřady, ostatní poskytovatelé apod.) každou interní skupinu agend, nebo agendu (personalistika, účetnictví, dodavatelskoodběratelské vztahy, apod.) vnější prezentaci poskytovatele (www, marketing, propagaci apod.)

Katalog osobních údajů Dokument obsahující výstup z analýzy stávajícího stavu, tj. minimálně pro každý případ: specifikaci identifikovaných osobních údajů oblast subjektu údajů (klienti, zaměstnanci, apod.) proces ve kterém jsou údaje zpracovávány evidenci / aplikaci / službu, která s nimi pracuje gestora a uživatele oprávněné s nimi nakládat umístění (fyzické, nebo virtuální) oprávnění (souhlas, zákon, veřejný zájem apod.) délku zpracování a archivační / skartační lhůty

Katalog rizik Dokument obsahující výstup z identifikace rizik, tj. minimálně pro každý případ identifikovaného rizika: název rizika popis rizika oblast výskytu rizika (proces, agenda, lokalita, apod.) pravděpodobnost rizika význam rizika nápravná opatření

Definice a implementace procesů Nové procesy: GDPR - agenda definice činností souvisejících s osobními údaji a jejich záznamem - proces komunikace se subjekty údajů - proces sběru, vyhodnocení a ohlášení incidentů Rozšířené procesy: - formalizace zpracování osobních údajů - doplnění analýz rizik

Definice a implementace nápravných opatření Úpravy stávající dokumentace: - shoda záznamů obsahujících osobní údaje s dokumentací - doplnění smluvních ustanovení - úprava formy poskytovaných informací Technická opatření - vnitřní funkce IS (logování, verzování, šifrování, pseudonymizace apod.) - uživatelská pravidla (role a jejich oprávnění přístupu k prostředkům) - fyzická opatření (omezení přístupu a systém udělování oprávnění) - bezpečnostní politika

Řízená dokumentace Interní směrnice Kodex chování Záznamy o činnostech Evidence komunikace se subjekty údajů Záznamy o posouzení vlivu Dokumentace bezpečnostních incidentů

Kde hledat pomoc? Úřad pro ochranu osobních údajů: www.uoou.cz web ÚOOÚ, metodiky, výklad ustanovení, definice pojmů MPSV: www.mpsv.cz/cs/13916 kodex chování + metodika implementace a vzorová dokumentace Odd. koncepce sociálních služeb jaroslav.dolansky@mpsv.cz karel.svarc@mpsv.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář