CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Podobné dokumenty
Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Připravte se na GDPR doporučenou revizí svého stavu

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Zásady ochrany osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Obecné nařízení o ochraně osobních údajů

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR Obecné nařízení o ochraně osobních údajů

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Zásady zpracování osobních údajů.

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Organizační směrnice č. 6/2018 SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

O B E C H O S T Í N Hostín 56, Byšice

Směrnice o ochraně osobních údajů

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

Základní umělecká škola Iši Krejčího Olomouc, Na Vozovce 32

KEO-X GDPR ALIS spol. s r.o.

1/ Memorandum o zpracování osobních údajů dle článku 13 a 14 GDPR.

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

Informace společnosti ohledně ochrany osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ

SPISOVÁ SLUŽBA A GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR. Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady(EU) číslo 2016/679. Str. 1

Politika ochrany osobních údajů GJŠ Zlín

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Interní směrnice o zpracování osobních údajů dle GDPR

Ochrana osobních údajů - GDPR

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO UCHAZEČE O ZAMĚSTNÁNÍ

Informace o zpracování osobních údajů

1. Kdo je správcem Vašich osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

GDPR Obecný metodický pokyn pro školství

Informace o zpracování osobních údajů

Oznámení o zpracování Osobních údajů

Výkon práv subjektů údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady zpracování osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Nová pravidla ochrany osobních údajů

Stavební bytové družstvo České Budějovice

Právní posouzení principů GDPR v rámci organizace

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MĚSTSKÉ KNIHOVNĚ NERATOVICE

GDPR v sociálních službách

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

Ochrana osobních údajů Implementace GDPR

Politika ochrany osobních údajů

Záznamy o činnostech zpracování osobních údajů

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

Zásady zpracování osobních údajů pro zákazníky Daktela s.r.o. dle GDPR

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Záznamy o činnostech zpracování

Poučení zaměstnance o právní úpravě ochrany osobních údajů

Zpracovatel osobních údajů Zpracovatelem je fyzická nebo právnická osoba, která na základě pokynů Správce zpracovává pro Správce osobní údaje.

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Prohlášení o ochraně osobních údajů

Přijatá opatření při zpracovávání osobních údajů. (Informace OÚ Hudlice)

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

GDPR pro základní školy. JUDr. Jiří Matzner, Ph.D., LL.M. Advokát

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Povinně zveřejňované informace Informační memorandum ke zpracování osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů v SECAR BOHEMIA, a. s.

ZÁZNAMY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SDRUŽENÍ ADVOKÁTŮ Tobiášek & Závada, advokátní kancelář

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Informace o zpracování osobních údajů

Vnitřní směrnice obce Dřetovice pro práci s osobními údaji č. 4 /2018

Podmínky ochrany osobních údajů. Základní ustanovení

Zásady zpracování osobních údajů pro zákazníky společnosti Alfa car transport, s.r.o.

Subjekt údajů (dále jen zákazník nebo Subjekt údajů ): fyzická osoba, k níž se osobní údaje vztahují.

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ZÁKLADNÍ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Transkript:

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ? Praha,1.února 2018 Mgr. Miroslava Sobková Svaz měst a obcí České republiky

AKTUÁLNÍ OTÁZKY MENŠÍCH SAMOSPRÁV I. Úvod II. Stručný popis postupu při implementaci GDPR III. Jak na revizi vlastními silami IV. Vytvořit si přehledy se zdroji osobních údajů V. Co požadovat od dodavatelů SW produktů 2

ÚVOD 3 GDPR evropská směrnice o ochraně osobních údajů fyzických osob General Data Protection Regulation Účinná od 25. května 2018 Obec si musí zajistit pověřence pro ochranu osobních údajů, vést vést záznamy o činnostech zpracování Občan bude mít právo na výmaz a přenositelnost dat z evidencí a databází vedených obcí Právo na informace, zda a v jakém rozsahu zpracovávány osobní údaje

ÚVOD Definice podle obecného nařízení Osobním údajem je jméno a příjmení konkrétní osoby, příp. jakýkoli jiný údaj, který umožní konkrétní osobu ztotožnit např. telefonní číslo, emailová adresa, bydliště, tedy veškeré údaje na základě kterých je fyzická osoba identifikovatelná, lze ji přímo či nepřímo identifikovat 4

5 ÚVOD

ÚVOD 6 Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Zpracováním jakákoliv operace s osobními údaji např. ukládání, nahlédnutí, vyhledávání

ÚVOD Pseudonymizace osobních údajů - proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost. Údaje kódované pomocí klíče jsou klasickým příkladem pseudonymizace. Informace se týkají jednotlivců, kteří jsou označeni kódem, přičemž klíč spojující kódy s běžnými identifikátory těchto jednotlivců (jméno, datum narození, adresa apod.) se uchovává odděleně. Pseudonymizované osobní údaje nejsou anonymizovanými údaji, proto se na ně vztahuje obecné nařízení. 7

ÚVOD Fyzická osoba má právo na : 8 přístup ke svým osobním údajům přenositelnost osobních údajů opravu a výmaz osobních údajů právo podat námitku proti zpracování osobních údajů na omezení zpracování

II. STRUČNÝ POPIS POSTUPU PŘI IMPLEMENTACI Zaměřte se na činnosti, které provádíte a na dokumenty, se kterými je v rámci těchto činností nakládáno. Dále si vytvořte, nebo pokud existují, projděte a doplňte základní dokumenty úřadu organizační řád, řád nebo směrnice pro provoz výpočetní techniky a spisový řád. Dále se zaměřte na dokumentaci k provozovaným softwarovým produktům. 9

II. STRUČNÝ POPIS POSTUPU PŘI IMPLEMENTACI 10 1.určete pracovníka, který bude řešit implementaci Obecného nařízení do praxe úřadu. Výsledkem činnosti by mělo být zvládnutí revizi osobních údajů vlastními silami. připravit si např. seznam agend, které obec vykonává a kde jsou používány osobní údaje fyzických osob; Vytvoření nebo doplnění vnitřních předpisů např. organizační řád, řád pro provoz výpočetní techniky

II. STRUČNÝ POPIS POSTUPU PŘI IMPLEMENTACI 11 2. Co si připravit? Pro přípravu revize osobních údajů, stanovení účelu jejího zpracování, analýzu procesů a analýzu rizik je potřebné si připravit následující informace a podklady např. dokumenty, smlouvy, seznam SW (software) produktů provozovaných obecním úřadem, kde se zpracovávají nebo evidují osobní údaje, např. na jakém PC, notebooku, tabletu SW instalován a kdo jej používá a kdo je také dodavatelem SW;

II. STRUČNÝ POPIS POSTUPU PŘI IMPLEMENTACI Připravit si seznam osob, které mají přístup k osobním údajům ze základních registrů, osoby, které mají přístup k CzechPOINTu, např. formou tabulky 12

Vzor III. JAK NA REVIZI VLASTNÍMI SILAMI 13

III. JAK NA REVIZI VLASTNÍM SILAMI - seznam klíčů k budově a komu byly přiděleny - seznam kódů k elektronickým zabezpečovacím zařízením 14

III. JAK NA REVIZI VLASTNÍMI SILAMI Zjistit a vytvořit seznam nařízení a pravidel úřadu, která jsou používána a jsou účinná. Minimálně by měla obec mít: Organizační řád Provozní řád informačního systému Spisový řád, který by měl obsahovat i seznam razítek 15

III. JAK NA REVIZI VLASTNÍMI SILAMI Součástí spisového řádu je spisový a skartační plán. Spisový a skartační plán obsahuje seznam typů dokumentů roztříděných do věcných skupin s vyznačenými spisovými znaky, skartačními znaky a skartačními lhůtami. Určení původci zasílají spisový a skartační plán příslušnému archivu bezodkladně po jeho vydání nebo změně. Příslušný archiv spisový a skartační plán uloží. 16

III. JAK NA REVIZI VLASTNÍMI SILAMI 17 Při zpracování spisového a skartačního řádu doporučujeme využít konzultace s příslušným archivem Oprávněné zničení dokumentu se prokazuje protokolem o provedeném skartačním řízení nebo protokolem o provedeném výběru archiválií mimo skartační řízení Zničení dokumentu bez provedení výběru archiválií je přestupkem

IV. VYTVOŘIT SI PŘEHLEDY A SEZNAMY 1. Vytvořit si seznam zdrojů s výskytem osobních údajů seznam by měl sloužit k přehledu, kde a jak jsou používány osobní údaje. Seznam by měl obsahovat: název zdroje např. doklad, evidence účel zpracování 18

IV. VYTVOŘIT SI PŘEHLEDY A SEZNAMY osobní údaje vyskytující se ve zdroji zákonnou normu, která opravňuje k evidenci a zpracování příjemce osobních údajů 2. Z elektronických i listinných zdrojů vytipovat ty, které obsahují osobní údaje a nejsou zpracovávány na základě zákonné normy nebo výkonu veřejné moci 19

III. JAK NA REVIZI VLASTNÍMI SILAMI 4. Prověřit veškeré listinné zdroje, v kterých se nacházejí osobní údaje tzn. projít veškeré evidence 5. Připravit platné pracovní smlouvy k revizi Pro zpracování naprosté většiny osobních údajů není nutný souhlas zaměstnance, přesto je doporučeno tento souhlas vyjádřit a to buď v pracovní smlouvě nebo formou dodatku 20

Pořadové číslo katalogového listu Pracovní místo Účel zpracování AGENDOVÝ LIST OÚ - Obecní úřad Pořadové číslo listu (může obsahovat i identifikátor např. EK-ekonomika, EV-evidence, SP-správní činnost atd.) Pracovní místo kde dochází ke zpracování OÚ Název, při kterém dochází ke zpracování OÚ Osobní údaje Souhlas subjektu údajů/ano/ne Subjekt údajů Zdroje osobních údajů Příjemce osobních Předání do zahraničí/ano/ne Druh zpracování Způsob zpracování Vyjmenování zpracováním dotčených osobních údajů Pokud existuje souhlas subjektu se zpracováním OÚ. Subjekt dotčený zpracováním OÚ Zdroj, který uvedl a poskytl osobní údaje Kdo (fyzická osoba, organizace) OÚ přijímá (bude k nim mít přístup) Jsou OÚ předávány do zahraničí (seznamy pro zájezdy, družební obce a následná komunikace, smluvní vztahy, fakturace a finanční operace, ) Jaký druh zpracování se bude s OÚ provádět Shromažďování, Zaznamenávání, Uspořádání, Strukturování, Uložení, Přizpůsobení nebo pozměnění dat, Vyhledávání, Nahlédnutí, Použití, Zpřístupnění, Výmaz nebo zničení Manuální práce s papírovými dokumenty, automatizované evidence a zpracování na PC (v sw prostředku) a uvést zda zpracování bude na úřadě nebo bude v cloudu (cloudových službách) 21

POKRAČOVÁNÍ AGENDOVÉHO LISTU OÚ Databáze (např. Excel) Informační systém Popis opatření k zajištění požadované ochrany osobních údajů Adresa zpracování, je li odlišná od sídla úřadu Informace získány (kdy) Pokud budou OÚ zaznamenány a zpracovávány v informačním systému obce nebo mohou být uloženy v nějaké lokální databázi např. Excel nebo jiné používané databázi. Jedná se o zabezpečení budovy, kanceláře, skříně (= EZS, zámky skříní, zámky kanceláří, bezpečností dveře). A i o bezpečnosti při zpracování na PC (hesla, antivirová ochrana + pravidla bezpečnosti VT uvedená ve směrnici úřadu) Pokud zpracování OÚ probíhá v jiné budově, než je budova úřadu uvede se adresa. Kdy byly OÚ zdrojem poskytnuty 22 Doba uchování dle Spisového a skartačního řádu Přístupová oprávnění Kdo má oprávnění (na úřadě) s OÚ pracovat (účetní starosta, správce)

II. STRUČNÝ POPIS POSTUPU PŘI IMPLEMENTACI Doporučení na základě analýzy je nutné realizovat v praxi a vytvořit si plán postupu nasazení Pravidelná revize včetně vzdělávání a školení obsluhy 23

III. JAK NA REVIZI VLASTNÍMI SILAMI 24 Pravidla pro přijímání petic a vyřizování stížností 7. Pro elektronické zdroje resp. informační systémy a programy je nutné ověřit: existenci dokumentace k IS a programům, které obecní úřad používá uživatelská a systémová příručka ověřit, zda systémová příručka obsahuje popis implementovaného systému nebo programu

III. JAK NA REVIZI VLASTNÍMI SILAMI licenční podmínky popis podpory uživatele (hot-line, postupy při pomoci) bezpečnostní podmínky popisy systémem vytvářených logů zprávy a výsledky testů a certifikací pokud úřad používá cloudové služby, měl by mít seznam aplikací, které obsahují osobní údaje 25

V. CO POŽADOVAT OD DODAVATELŮ SW A DOPLNĚNÍ VNITŘNÍCH PŘEDPISŮ 26 1. Písemně se dotázat dodavatele IS a programů, zda jeho systémy budou včas na nařízení připraveny a že je připraven spolupracovat s pověřencem pro ochranu osobních údajů Dodavatelé by měli určitě zabezpečit: závazek spolupracovat s pověřencem pro ochranu osobních údajů zajistit splnění dostupnosti údajů a informací o zpracování pro subjekt údajů

V. CO POŽADOVAT OD DODAVATELŮ SW A IS A DOPLNĚNÍ VNITŘNÍCH PŘEDPISŮ 2. Smlouva by měla také obsahovat: jak budou zajištěny osoby oprávněné zpracovávat osobní údaje a jejich mlčenlivost jaké jsou podmínky pro zapojení dalšího zpracovatele dle nařízení 679/2016 jakým způsobem budou zajištěna práva subjektu 27

V. CO POŽADOVAT OD DODAVATELŮ SW A IS A DOPLNĚNÍ VNITŘNÍCH PŘEDPISŮ schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů (nahlášení incidentu 72 hodin na ÚOOÚ) proces pravidelného testování 28

Mgr. Miroslava Sobková sobkova@smocr.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář