Klient: Město Doksy
Realizace: 11/2017 – 03/2018
Hlavním cílem bylo poskytnutí služeb souvisejících s řešením problematiky Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) pro město Doksy (včetně organizačních složek) a jeho příspěvkové organizace
Předmět
V rámci zakázky byly provedeny následující činnosti:
- Analytická etapa:
- Analýza procesů správy, zpracování a nakládání s osobními údaji
- Analýza rozsahu a potřebnosti spravovaných osobních údajů ve vazbě na vykonávané agendy a legislativní nebo jiná oprávnění pro nakládání s osobními údaji při výkonu svěřených agend
- Analýza stávajících organizačních opatření k zajištění ochrany osobních údajů
- Analýza stávajících technických opatření k zajištění ochrany osobních údajů
- Analýza stávající dokumentace k ochraně osobních údajů (jak pro elektronické, tak listinné zpracování)
- Analýza smluvních vztahů s dodavateli služeb ICT (zpracovatel osobních údajů)
- Návrhová etapa:
- Zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR
- Zhodnocení stávajících opatření (organizačních a technických) a jejich dostatečnosti ve vztahu k požadavkům GDPR
- Zhodnocení stávající dokumentace (její úplnosti) nezbytné k ochraně osobních údajů a prokázání shody s požadavky dle GDPR
- Provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů
- Návrh organizačních a technických opatření ke snížení rizik (prevence, detekce, zranitelnost a schopnost zvládat incidenty)
- Implementační etapa
- Podpora implementace schválených organizačních opatření
- Zpracování dokumentace ochrany osobních údajů
- Zpracování šablon a vzorových dokumentů
- Podpora výběru technologie pro implementaci technických opatření
- Hlavní výstupy poskytovaných služeb:
- Písemná analytická zpráva dle 3.1.1. obsahující zjištění rozhodná pro splnění požadavků GDPR
- Záznamy o činnostech zpracování
- Posouzení vlivu na ochranu osobních údajů
- Písemný návrh opatření, jejichž splnění bezprostředně povede k naplnění požadavků GDPR a povinností objednatele, obsahující zejména jejich výčet, obsah a doporučený způsob jejich provedení, rozhodne-li se objednatel k jejich naplnění vlastními zaměstnanci a zdroji, harmonogram, priority, náklady, přínosy, rizika, provázanost
- Koncepce (směrnice) nakládání s osobními údaji (včetně procesů zvládání incidentů)
- Doporučení vhodného organizačního začlenění pozice Pověřenec pro ochranu osobních údajů a popis jeho pracovní pozice
- Školení všech osob, podílejících se na zpracování osobních údajů a jejich ochraně