Řešení: GDPR
Klient: Česká republika – Kancelář Senátu
Realizace: 11/2017 – 05/2018
Hlavním cílem bylo provedení činností v oblasti ochrany osobních údajů směřujících ke komplexní přípravě Kanceláře Senátu na účinnost Obecného nařízení Evropského parlamentu a Rady 2016/649 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (General Data Protection Regulation)
Předmět
V rámci zakázky byly provedeny následující činnosti:
- Analýza stávajícího sběru, zpracování a nakládání s osobními údaji a návrh vhodných odpovídajících dokumentačních, technických, organizačních a bezpečnostních opatření k zajištění ochrany osobních údajů v rámci činnosti Kanceláře Senátu a Senátu v souladu s GDPR a ostatními právními předpisy na ochranu osobních údajů
- přehled klíčových systémů a aplikací KS,
- posouzení úrovně zpracované bezpečnostní a provozní dokumentace,
- posouzení úrovně jednotlivých organizačních a technických opatření včetně výstupů penetračních testů,
- posouzení odolnosti identifikovaných klíčových systémů/aplikací KS,
- analýza způsobu zvyšování bezpečnostního povědomí zaměstnanců KS,
- analýza procesů správy, zpracování a nakládání s osobními údaji,
- analýza rozsahu a potřebnosti spravovaných údajů ve vazbě na vykonávané agendy,
- analýza legislativních oprávnění pro nakládání s osobními údaji při výkonu svěřených agend,
- analýza smluvních vztahů s dodavateli služeb ICT (zpracovateli osobních údajů).
- Zpracování a předložení návrhu nezbytných opatření spolu s návrhy činností nebo postupů, které realizaci navržených opatření zajistí. Návrhy musí obsahovat podněty na doplnění či aktualizaci bezpečnostní dokumentace, opatření pro organizační zajištění a technická opatření (jak pro HW, tak i pro SW). Součástí této etapy musí být také návrhy na zpracování plánů kontinuity a řešení krizových situací, mj. včetně povinného reportingu směrem na ÚOOÚ
- popis cílového stavu řešení bezpečnosti včetně:
- posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment),
- koncepce nakládání s osobními údaji včetně procesů zvládání incidentů,
- záznamy o činnostech zpracování (příprava jednotlivých šablon záznamů pro všechny činnosti zpracování),
- návrhy na doplnění a aktualizaci konkrétních bezpečnostních dokumentací,
- návrhy nezbytných opatření na úrovni organizačních opatření,
- návrhy nezbytných opatření na úrovni technických opatření,
- návrhy činností či postupů pro realizaci navržených opatření,
- návrhy preventivních kroků a činností,
- návrhy kontrolních či monitorovacích opatření,
- návrhy systému/procesu na zvyšování a rozvoj bezpečnostního povědomí zaměstnanců,
- návrhy na zpracování plánů kontinuity a krizové komunikace,
- zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR,
- provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů,
- doporučení vhodného organizačního začlenění pozice Pověřence pro ochranu osobních údajů a popis jeho pracovní pozice.
- popis cílového stavu řešení bezpečnosti včetně:
