GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Podobné dokumenty
GDPR. Požadavky na dokumentaci. Luděk Nezmar

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

ORGANIZAČNÍ ŘÁD ŠKOLY

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Zásady ochrany osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Nová pravidla ochrany osobních údajů

O B E C H O S T Í N Hostín 56, Byšice

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

GDPR - příklad z praxe

Politika ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Politika ochrany osobních údajů GJŠ Zlín

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

#gdpr #gastro #hotel. 16. února Janka Brezániová

GDPR - příklad z praxe

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Informace o zpracování osobních údajů fyzických osob

Zabezpečení osobních údajů

GDPR. Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady(EU) číslo 2016/679. Str. 1

GDPR Obecné nařízení o ochraně osobních údajů

Dopady GDPR a jejich vazby

Představení služeb Konica Minolta GDPR

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Oznámení o zpracování Osobních údajů

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

GDPR a veřejná správa

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

Základní umělecká škola Iši Krejčího Olomouc, Na Vozovce 32

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

JAK SE PŘIPRAVIT NA GDPR?

Dopady GDPR na elektronizaci zdravotnictví

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

GDPR obecně Svaz měst a obcí

Seznam vzorů, které naleznete v publikaci:

GDPR ochrana osobních údajů

Informace o zpracování osobních údajů. Úvodní informace

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace k ochraně osobních údajů - GDPR

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

Poučení zaměstnance o právní úpravě ochrany osobních údajů

Informování veřejnosti o zpracování osobních údajů

Právní posouzení principů GDPR v rámci organizace

Máte právo požadovat od správce přístup k osobním údajům, které se ho týkají, podle článku 15 GDPR:

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

Ochrana osobních údajů Implementace GDPR

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Ochrana osobních údajů - GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

Informační memorandum pro veřejnost

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Systémová analýza a opatření v rámci GDPR

Výkon práv subjektů údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Zpracovatel osobních údajů Zpracovatelem je fyzická nebo právnická osoba, která na základě pokynů Správce zpracovává pro Správce osobní údaje.

Prohlášení o ochraně osobních údajů

Informování veřejnosti o zpracování osobních údajů

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

Stavební bytové družstvo České Budějovice

Prohlášení o zpracování osobních údajů a informační sdělení (GDPR)

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Informování veřejnosti o zpracování osobních údajů

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Informování veřejnosti o zpracování osobních údajů

Transkript:

GDPR PRO VEŘEJNÝ SEKTOR GDPR - Specifika státní správy a samosprávy

EU GENERAL DATA PROTECTION REGULATION Nové nařízení Evropského parlamentu ze 14.4.2016, přímo závazné pro členské státy, nadřazené národní legislativě Konsolidující existující pravidla o ochraně osobních údajů napříč 28 členskými státy Je nadřazeno stávajícímu zákonu č.101/2000 Sb. o ochraně osobních údajů a směrnici 95/46/EC Nenahrazuje oborově specifické zákony a úpravy Platné i pro Non EU organizace, které pracují s údaji o EU občanech V účinnosti od 25. května 2018

NOVÉ V OCHRANĚ OSOBNÍCH ÚDAJŮ Celoevropská působnost, evropský sbor pro ochranu osobních údajů (EU) Právo být zapomenut, přenositelnost a další rozšíření práv osob Povinnost vedení interních záznamů o činnostech zpracování Zpracování osobních údajů se nemusí registrovat Vydávání osvědčení, kodexy chování a podniková pravidla Ohlášení porušení zabezpečení osobních údajů dozorovému úřadu Pověřenec pro ochranu osobních údajů GDPR Rozšíření povinností zpracovatele osobních údajů Posouzení vlivu na ochranu osobních údajů při vysokém riziku Strana 3

SANKCE V RÁMCI GDPR Správní Civilní Peněžitá pokuta až do 20 mil. EUR nebo do 4 % ročního obratu Náhrada škody Náhrada nemajetkové újmy Národní legislativa může stanovit další správní sankce Národní legislativa může zmocnit neziskovou organizaci k podávání stížností i bez zmocnění dotčeným subjektem údajů Možnost žalovat u soudů v zemi bydliště subjektu údajů Možnost subjektu údajů nechat se zastoupit neziskovou organizací zaměřenou na ochranu osobních údajů Společná a nerozdílná odpovědnost správce a zpracovatele

OSOBNÍ ÚDAJE Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě Nevztahují se na osobní údaje zesnulých osob nebo anonymizované údaje Vztahuje se i na šifrované osobní údaje Osobním údajem jsou veškeré informace (obrazové, slovní, rentgenové snímky, IP adresa, Cookies) vztahující se (vztah daný obsahem jméno, adresa, pracovní pozice) k identifikované nebo identifikovatelné osobě (výběr vyčleněním).

KDO JE KDO? Správce = fyzická nebo právnická osoba, která sama nebo spolu s jinými určuje účel a způsoby zpracování Základní odpovědnost za údaje Nové povinnosti Zpracovatel = fyzická nebo právnická osoba, které zpracovává data jménem správce Povinnosti jsou stanoveny nově Sdílená odpovědnost Možnost řetězení zpracovatelů Subjekt údajů = fyzická osoba, které se údaj týká

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících ve: Shromáždění Zaznamenání Uspořádání Uložení Přizpůsobení nebo pozměnění Vyhledávání Nahlédnutí Použití Zpřístupnění přenosem Šíření nebo jakékoliv zpřístupnění Zkombinování či seřazení Omezení Výmaz nebo zničení

ZÁKONNOST Každé zpracování musí mít právní základ Právní základ musí pokrývat: Účel zpracování Kategorie zpracovávaných osobních údajů Způsob zpracování Dává možnost zpracovat osobní údaje

PRÁVNÍ TITULY Plnění smlouvy Splnění právní povinnosti Ochrana životně důležitých zájmů subjektu údajů Veřejný zájem, výkon veřejné moci Oprávněný zájem Souhlas

INFORMACE A PŘÍSTUP K OSOBNÍM ÚDAJŮM Nový, doplněný obsah informace, která se podává subjektu údajů při převzetí osobních údajů Nově se podává i u zpracování k naplnění právní povinnosti v případě, že jsou údaje získány přímo od subjektu údajů O zpracování není třeba informovat v případě, že údaje o subjektu nejsou získány přímo od subjektu údajů a: Informování není možné nebo by vyžadovalo nepřiměřené úsilí Zpracování probíhá na základě právní povinnosti, pokud jsou stanovena dostatečná opatření Informování by znemožnilo nebo výrazně ztížilo dosažení cílů zpracování

PODMÍNKY ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ Výběr opatření musí se analyzovat rizika zpracování osobních údajů na základě výsledků analýzy se vyberou vhodná technická a organizační opatření Vybraná opatření se musí popsat v dokumentaci Zavedení opatření včetně zajištění údajů s pomocí šifrování a pseudonymizace aby údaje byly spolehlivé, dostupné a důvěrné včasné obnovy údajů v případě incidentu testování a hodnocení jejich účinnosti Hlášení incidentů do 72 hodin musí správce hlásit porušení zabezpečení osobních údajů dozorovému úřadu v případě vysokého rizika se hlásí porušení zabezpečení osobních údajů i tomu kdo údaje poskytl

Co musíme vědět? Jaké otázky musí každý úřad umět zodpovědět

ZNÁTE ROZSAH GDPR? Jaké jsou činnosti vaší organizace a jaká je její organizační struktura v souvislosti se zpracování osobních údajů? V případě struktury s celky se samostatnou právní subjektivitou, jaké jsou činností jednotlivých celků patřících do skupiny? Například odbory, zřizované organizace apod.

MÁTE URČENOU ODPOVĚDNOST? Máte v organizaci ustanovenu osobu zodpovědnou za agendu ochrany osobních údajů? Kde se tato osoba nachází v rámci organizační struktury a jaké jsou kvalifikační předpoklady pro výkon této funkce? Jaká je pracovní náplň této osoby? Například pověřená osoba v oddělen lidských zdrojů nebo role bezpečnostního manažera v systému řízení bezpečnosti informací apod.

MÁTE ZAVEDENÝ ZPŮSOB PROSAZOVÁNÍ? Máte vytvořenou sestavu interních směrnic za účelem ochrany osobních údajů, kde jsou uloženy, jak jsou zpřístupněny zaměstnancům a třetím stranám? Jak často probíhají školení ve vaší společnosti v oblasti nakládání s osobními údaji, jakou formou, kdo je provádí a komu jsou určeny? Například samostatná směrnice pro ochranu osobních údajů, která je součástí interní předpisové základny popisující odpovědnosti a procesy školené v rámci pravidelného interního školení prováděné útvarem lidských zdrojů apod.

ZNÁTE STÁVAJÍCÍ ZPRACOVÁNÍ OÚ? Máte přehled o tom, jaká zpracování osobních údajů provádíte? Máte přehled o tom, jaké jsou právní tituly pro jednotlivá zpracování? Například evidence zpracování osobních údajů se stanovením způsobu a rozsahu zpracování s identifikací právních základů, plnění smluvních povinností, oprávněného zájmu, souhlasů apod.

PRACUJETE SE SOUHLASY? V případě zpracování osobních údajů na základě souhlasu, požadujete souhlas subjektu dat s poskytnutím jeho osobních údajů pro každé zpracování? Omezujete zpracování osobních údajů pouze pro účely, pro které jste obdrželi souhlas od subjektu údajů? Například osobní údaje zpracovávané na základě právního základu v souvislosti se zaměstnáním jsou dále využívány pro účely pořádání společenských akcí.

VÍTE KDE MÁTE OÚ? Máte přehled o tom, v kterých procesech provádíte zpracování osobních údajů a kde jsou osobní údaje fyzicky uloženy? Například existující specifikace informačních systémů, kde jsou osobní údaje zpracovávány, a úložišť, kde jsou ukládány, existující specifikace manuálních i automatizovaných postupů a datových toků (obsahujících osobní údaje) v rámci jednotlivých informačních systémů a mezi nimi navzájem apod.

ZNÁTE ZPŮSOBY VÝMĚNY OÚ? Předáváte osobní údaje do zahraničí? Pokud ano, do jakých zemí? Například zpracování osobních údajů spojených s výplatou mezd zahraniční společností apod.

PRACUJETE S RIZIKY? Byla v posledních třech letech provedena analýza rizik informací pokrývající oblast zpracování osobních údajů? Pokud ano, podle jaké metodiky? Například analýza rizik zahrnující osobní údaje jako informační aktiva zpracovaná podle interní metodiky apod.

ŘÍDÍTE BEZPEČNOST INFORMACÍ? Máte zaveden systém řízení bezpečnosti informací? Pokud ano, podle jaké normy? Například systém řízení bezpečnosti informací zavedený podle ČSN ISO/IEC 27001:2014 apod.

MÁTE PŘEHLED O PŘÍSTUPECH K OÚ? Máte přehled, kdo a v jakém rozsahu má přístup k osobním údajům a to včetně externích partnerů? Například evidence oprávnění a přístupů k úložištím osobních údajů apod.

ZVLÁDÁTE ŘEŠIT INCIDENTY? Je zaveden proces identifikace a zvládání incidentů bezpečnosti informací? Pokrývá tento proces případy porušení ochrany osobních údajů, nebo jsou tyto případy řešeny samostatně? Jaká k uvedenému existuje dokumentace? Například samostatný proces řízení bezpečnostních incidentů zavedený v rámci systému řízení bezpečnosti informací zahrnující případy porušení ochrany osobních údajů formalizovaný v dokumentaci ISMS apod.

PROVÁDÍTE KLASIFIKACI INFORMACÍ? Je zavedena klasifikace informací? Jsou osobní údaje zahrnuty do některého klasifikačního stupně? Například zahrnutí osobních údajů do klasifikačního stupně Citlivé se stanovením způsobů nakládání s informacemi uvedeného klasifikačního stupně.

JAK NAKLÁDÁTE S NEPOTŘEBNÝMI OÚ? Odstraňujete nebo nezpracováváte osobní údaje subjektů, které již nepotřebujete, resp. pominul účel jejich zpracování? Například bezpečné mazání s protokolárním záznamem u souborů údajů, u kterých vypršela retenční doba stanovená v souladu s účelem zpracování.

MŮŽETE VYUŽÍT OPATŘENÍ ZKB? Jsou aplikována nějaká opatření dle zákona 181/2014 Sb. o kybernetické bezpečnosti? Pokud ano, jaká a v jakém rozsahu? Například přijetí technických a organizačních opatření v rozsahu určeném pro provoz významného systému apod.

FUNGUJÍ STÁVAJÍCÍ PROCESY OÚ? Jsou nastaveny formální procesy a informovanost v podobě interní směrnice pro případ odvolání souhlasu subjektu dat se zpracováním jeho osobních údajů, přístup subjektu údajů k osobním údajům? Například zavedení procesů a technických prostředků pro informování subjektu údajů i interních vlastníků osobních údajů o požadavku na přístup apod.

OVĚŘUJETE SPRÁVNOST OU? Jsou zavedeny procesy pro ověřování správnosti a aktuálnosti zpracovávaných osobních údajů? Například proces telefonického ověření správnosti údajů se subjektem údajů před zahájením zpracování.

ŘÍDÍTE DODAVATELE? Jak je řízena ochrana osobních údajů ve vztahu k dodavatelům? Například jsou podepsány smlouvy o ochraně důvěrnosti sdělovaných informací, jsou smluvně vynucována ochranná opatření, je prosazováno právo auditu u dodavatele apod.

KONTROLUJETE OCHRANU OÚ? Je oblast ochrany osobních údajů zahrnuta do interního nebo externího auditu? Například interní audit provádí přezkoumání plnění opatření směrnice pro ochranu osobních údajů apod.

Nezbytné minimum... Způsoby implementace GDPR požadavků v prostředí úřadů

JAK SE POSTAVIT K POŽADAVKŮM GDPR? V první řadě je potřebné upřesnit zpracování Identifikovat zpracování osobních údajů v organizaci K těmto zpracováním určit: Účel zpracování Jaký je právní základ zpracování (souhlas, plnění právní povinnosti, plnění či uzavření smlouvy, oprávněný zájem, veřejný zájem či výkon veřejné moci ) Kdo je správce a kdo zpracovatel Kde jsou osobní údaje uloženy (manuální, IS) Kdo se v rámci organizace s údaji seznamuje, interní odpovědnost za zpracování Způsob zabezpečení osobních údajů

JAK SE POSTAVIT K POŽADAVKŮM GDPR? provést posouzení rizik pro práva a svobody osob Posouzení provést na základě povahy, rozsahu, kontextu a účelu zpracování. GDPR jmenuje několik rizikových faktorů: Zpracování je automatizované Zpracování je rozsáhlé Zpracování je systematické Zpracování OÚ zvláštní kategorie Vytváření evidence Profilování a automatizované rozhodování Zpracování OÚ pro jiný účel než byly získány Posouzení stanoví, zda operace zpracování představují riziko či vysoké riziko

JAK SE POSTAVIT K POŽADAVKŮM GDPR? Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představují: náhodné nebo protiprávní zničení ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim Pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů. pak mohu stanovit jaká opatření musím mít zavedena

POSTUP DOSAŽENÍ SOULADU S GDPR Stanovení rozsahu Srovnávací analýza Analýza rizik Plán opatření Implementace opatření Kontrolní audit Legislativní rozsah Organizační rozsah ICT rozsah Fyzický rozsah Odpovědnost za GDPR projekt Odhad náročnosti Školení Analýza stavu plnění právních, procesních a technických požadavků GDPR Procesní analýza Datová analýza Analýza rizik bezpečnosti informací/oú Prioritizace Posouzení vlivu Plán opatření Harmonogram Nároky na zdroje Interní/Externí Součinnost Změny dokumentace dle právních základů zpracování Obsazení rolí Změny procesů zpracování OÚ a procesů souvisejících Přijetí ICT opatření Školení Ověření plnění požadavků GDPR interním/externí m auditem

NA CO JE POTŘEBNÉ SE ZAMĚŘIT Identifikace zpracování Pověřenec Úprava klientských smluv a způsobu informování Zpracovatelské smlouvy Posouzení vlivu a systém hlášení Vedení záznamů o zpracování Určení účelů a titulů zpracování Určení podmínek zpracování Vymezit činnosti, nasmlouvat jeho činnost Vhodné hned po srovnávací analýze Úprava klientských smluv, zapracování povinných informací a úprava případného souhlasu Vymezení nových povinností Správce Zpracovatel a úprava smluv Příprava procesu (včetně zdokumentování) pro zpracování posouzení a hlášení Zdokumentování přijatých technických a organizačních opatření včetně testů a hodnocení je nutné zavedení komplexního systému ochrany a práce s osobními údaji, který je doložitelný

VYMEZENÍ ODPOVĚDNOSTI POVĚŘENCE Pověřenec pro ochranu osobních údajů musí mít: odborné znalosti a zkušenosti o právech a postupech v oblasti ochrany osobních údajů další odborné znalosti v oblasti: IT managementu Bezpečnosti aby zajistil, že organizace splní požadavky nařízení GDPR a příslušné zákony a předpisy o ochraně osobních údajů

ZÁKLADNÍ ÚKOLY POVĚŘENCE Monitorování souladu s GDPR a právními normami ČR k problematice zpracování a ochrany osobních údajů a informování vedení organizace Realizace úkolů spojených s prováděním posouzení vlivu s důrazem na prvotní i následná posouzení Je kontaktním místem pro klienty a zaměstnance a provádí pro ně poradenskou činnost Spolupracuje (je styčným bodem) s dozorovým úřadem [ÚOOÚ] Prosazuje přístup založený na riziku s důrazem na zpracování osobních údajů s vysokým rizikem pro práva a svobody subjektů údajů Dokumentuje přehledy operací zpracování a to včetně vedení jejich registru (evidence)

ZDROJE NA ČINNOST POVĚŘENCE Zřízení funkce/role Pravidelná měsíční agenda Pravidelná roční agenda Nárazová agenda (posouzení a narušení ) 35 170 MD 8 20 MD 5 10 MD 10 80 MD Uvedené počty MD ovlivňuje velikost obce, kategorie osobních údajů a rozsáhlost jejich zpracování

ZŘÍZENÍ FUNKCE/ROLE POVĚŘENCE Zřízení funkce/role, zavedení agendy včetně dokumentace: Identifikace zpracování a vytvoření registru (evidence) zpracování Identifikace legislativy týkající se ochrany osobních údajů a nařízením GDPR Spolupráce při návrhu struktury a obsahu záznamů o činnostech zpracování a založení dalších registrů a evidencí Návrh odpovědností Návrh metodiky posouzení rizik pro práva svobody subjektu údajů a provedení DPIA Návrh záznamů pro poradenskou činnost Návrh procesu hlášení incidentů Příprava, případně provedení školení Posouzení: vybraných právních základů, souhlasů se zpracováním a podávaných informací úprav zpracovatelských smluv a možnosti realizace práv přístupu, vznést námitku

PRAVIDELNÁ MĚSÍČNÍ AGENDA Vedení registru (evidence) zpracování Identifikace nových zpracování včetně spolupráce při určení právní titulů pro zpracován Školení nových zaměstnanců Běžná poradenská činnost zaměstnancům a vedení organizace Zajištění právního souladu (monitoring právních předpisů) Spolupráce s klienty a zajištění kontaktu s dozorovým úřadem Posuzování souhlasů, informací podávaných subjektům údajů a zpracovatelských smluv Sledování souladu s legislativou týkající se ochrany osobních údajů a nařízením GDPR (nejlépe formou vedení registru právních norem k ochraně osobních údajů) Kontrolní činnost

PRAVIDELNÁ ROČNÍ AGENDA Organizace pravidelného školení zaměstnanců v oblasti osobních údajů Provádění přezkoumání systému zpracování a ochrany osobních údajů (nebo spolupráce v případě, že přezkoumání bude prováděno jako součást přezkoumání kybernetické bezpečnosti nebo ISMS dle ČSN ISO/IEC 27001)

NEPRAVIDELNÁ AGENDA Mimo pravidelných činností bude pověřenec realizovat i činnosti, jejichž náročnost nelze předem určit: Činnosti spojené s posouzením vlivu na ochranu osobních údajů - U posudků je předpoklad, že zejména v počátku budou tvořit podstatnou část činnosti pověřence. V případě rozsáhlých zpracování s větším množstvím zpracování s vysokým rizikem, je pravděpodobné, že se bude jednat o trvalou součást činnosti pověřence. Důvodem je, že je doporučeno provádět posouzení vlivu v tříleté periodě Vyhodnocování a hlášení incidentů

VÝHODY OUTSOURCOVANÉHO POVĚŘENCE má odborné znalosti včetně znalosti GDPR a vhodných metodik má zajištěno pravidelné vzdělávání má možnost využít týmu specialistů na jednotlivé obory (od práva po IT) v rámci společnosti poskytující outsourcing nehrozí konflikt zájmů

KONTAKTY Daniel Přívratský NGSS.CZ partner, ředitel realizace daniel.privratsky@ngss.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář