Řešení: GDPR
Klient: Město Hodonín
Realizace: 01/2018 – 03/2018
Hlavním cílem bylo poskytnutí služeb souvisejících s řešením problematiky Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) pro město Hodonín (včetně organizačních složek)
Předmět
V rámci zakázky byly provedeny následující činnosti:
- Analytická etapa:
- Analýza procesů správy, zpracování a nakládání s osobními údaji
- Analýza rozsahu a potřebnosti spravovaných osobních údajů ve vazbě na vykonávané agendy
- Analýza legislativních nebo jiných oprávnění pro nakládání s osobními údaji při výkonu svěřených agend
- Analýza stávajících organizačních opatření k zajištění ochrany osobních údajů
- Analýza stávajících technických opatření k zajištění ochrany osobních údajů
- Analýza stávající dokumentace k ochraně osobních údajů (jak pro elektronické, tak listinné zpracování)
- Analýza smluvních vztahů s dodavateli služeb ICT (zpracovatel osobních údajů)
- Návrhová etapa:
- Zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR
- Zhodnocení stávajících opatření (organizačních a technických) a jejich dostatečnosti ve vztahu k požadavkům GDPR
- Zhodnocení stávající dokumentace (její úplnosti) nezbytné k ochraně osobních údajů a prokázání shody s požadavky dle GDPR
- Provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů
- Návrh organizačních a technických opatření ke snížení rizik (prevence, detekce, zranitelnost a schopnost zvládat incidenty)
- Hlavní výstupy poskytovaných služeb:
- zhodnocení stávajících procesů spojených se zpracováním OÚ a jejich porovnání s požadavky GDPR;
- zpracování požadavků GDPR a jejich dopad na fungování města a jeho organizačních složek;
- zhodnocení stávajících opatření (organizačních a technických, a jejich dostatečnosti) a jejich porovnání s požadavky GDPR;
- zhodnocení stávající dokumentace (její úplnosti) nezbytné k ochraně OÚ a prokázání shody s požadavky dle GDPR,
- záznamy o činnostech zpracování;
- posouzení vlivu na ochranu osobních údajů;
- návrh opatření – detailní popis jednotlivých oblastí dopadu GDPR (procesy, dokumenty, IT systémy, agendy, seznam opatření, priority, náklady, přínosy, rizika, provázanost);
- návrh řešení technického opatření: implementace technologií (zajištění HW, SW, licence, instalace, konfigurace, školení personálu, testování atd.)
- identifikaci hrozeb vůči posuzovaným OÚ;
- identifikaci rizik a stanovení hodnoty rizik působících na posuzovaná aktiva (OÚ);
- popis možných řešení na zavedení funkce pověřenec pro ochranu osobních údajů – interní nebo externí pověřenec, návrh počtu spolupracovníků pověřence, cenová nabídka;
- koncepce nakládání s osobními údaji (včetně procesů zvládání incidentů);
- zařazení OÚ do odpovídajícího klasifikačního stupně;
- návrh nebo úprava stávajících či příprava nových interních předpisů a externí dokumentace:
- interní směrnice o nakládání s osobními údaji
- znění souhlasu se zpracováním osobních údajů
- znění informační povinnosti
- smlouvy se zpracovateli OÚ (příprava vzorové smlouvy)
- zpracování (metodika) posouzení vlivu na ochranu osobních údajů
- vzorové oznámení porušení zabezpečení osobních údajů, metodika pro oznamování bezpečnostních incidentů
- školení všech osob, podílejících se na zpracování osobních údajů a jejich ochraně