chevron-down chevron-left chevron-right chevron-up home circle comment double-caret-left double-caret-right like like2 twitter epale-arrow-up text-bubble cloud stop caret-down caret-up caret-left caret-right file-text

EPALE

Elektronická platforma pro vzdělávání dospělých v Evropě

 
 

Blog

Hlavní povinnosti organizace vyplývající z GDPR

20/02/2018
by František Janeba
Jazyk: CS

Dnes již nejspíš není nikdo, kdo by ještě neslyšel o Obecném nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR). Nařízení vstoupí v účinnost již 25. 5. 2018 a týká se všech institucí a firem, které zpracovávají osobní údaje. Týká se tedy i organizací, zabývajících se vzděláváním. Proto jsme pro vás připravili přehled hlavních povinností, které z nařízení vyplývají.

 

CO MUSÍTE BEZPODMÍNEČNĚ PLNIT ZA KAŽDÝCH OKOLNOSTÍ

  1. Kdykoli doložit, že zpracování osobních údajů máte v souladu s GDPR, tj.:

    1. DŮKAZNÍ BŘEMENO JE NA VÁS! = dokumentovat plnění povinností GDPR

    2. DOKUMENTACE JE STEJNĚ DŮLEŽITÁ JAKO ČINNOST SAMA!

    3. MÁTE POVINNOST VÉST ZÁZNAMY o zpracování osobních údajů

 

  1. Řádně zabezpečit evidence obsahující osobní údaje, tj.:

    1. MUSÍTE UMĚT RIZIKA ANALYZOVAT A MĚŘIT

      1. zavést vhodná technická a organizační opatření vylučující vysoké riziko

      2. zajistit NEUSTÁLOU důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování osobních údajů,

      3. včas obnovit dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů = zálohovat tak, aby incident nezpůsobil škodu

    2. VEŠKERÉ VÝŠE UVEDENÉ ČINNOSTI DOKUMENTOVAT

 

  1. Zajistit realizaci práv občanů a zákonnosti zpracování osobních údajů

    1. dodržet nové parametry udělení souhlasu

    2. včas reagovat na požadavky dotčených osob

      1. právo bezplatně získat všechny informace, které zpracováváte

      2. právo na omezení zpracování,

      3. právo na výmaz („právo být zapomenut“),

      4. právo na opravu osobních údajů,

      5. právo na přenositelnost údajů k jinému příjemci).

 

  1. Doložení souladu s GDPR od subjektů, jimž osobní údaje předáváte

    1. zpracovatelé (poskytovatelé IT systémů, účetní společnosti, personální agentury, bezpečnostní agentury, marketingové agentury)

    2. třetí osoby (finanční úřad, ČSSZ, externí administrátoři HW)

    3. JSTE POVINNI DOLOŽIT HODNOVĚRNÉ ZÁRUKY JEJICH SOULADU S GDPR

 

  1. Povinnosti při bezpečnostním incidentu

    1. doložit schopnost incident zjišťovat = detekovat

    2. doložit schopnost incident analyzovat a kvalifikovaně rozhodnout zda

    3. do 72 ohlásíte bezpečnostní incident na dozorový úřad

    4. bezodkladně oznámíte bezpečnostní incident osobám, jichž se týká

    5. doložit adekvátnost přijatých nápravných opatření.

 

  1. Pravidelně provádět interní audit souladu s požadavky GDPR a testování přijatých opatření

    1. uchovávat záznamy výsledcích interních auditů ochrany osobních údajů.

    2. uchovávat záznamy o výsledcích přezkoumání procesů zpracování osobních údajů

 

CO MUSÍTE PLNIT JEN ZA URČITÝCH OKOLNOSTÍ

  1. Provést posouzení vlivu zpracování na ochranu osobních údajů

    1. zpracovat specifickou analýzu rizik (dle parametrů GDPR) konkrétního zpracování osobních údajů v případě, že základní analýza rizik ukázala vysoké riziko

 

  1. V případě splnění zákonných podmínek VÉST ZÁZNAMY O ZPRACOVÁNÍ

 

  1. V případě splnění zákonných podmínek jmenovat POVĚŘENCE, který

    1. plní roli interního auditora a metodika v oblasti ochrany osobních údajů

    2. provádí analýzu rizik a případně posouzení vlivu na ochranu osobních údajů

    3. spolupracuje s dozorovým úřadem a působí jako kontaktní místo

    4. vytváří přehledy a vede záznamy operací zpracování


POSTUP PŘI IMPLEMENTACI

  1. Rozhodněte, zda musíte či chcete mít POVĚŘENCE

 

  1. Zjistěte, zda musíte vést záznamy o zpracování.

 

  1. Zmapujte procesy (datové toky) s obsahem osobních údajů = a vytvořte „REGISTR METADAT“.

    1. Za jakými účely je zpracováváte? Kde máte tato data uložena?

    2. Které osobní údaje zpracováváte a jaké kategorie jsou to osobní údaje?

    3. Na základě jakého právního důvodu osobní údaje zpracováváte?

    4. Jak dlouho osobní údaje budete uchovávat? Jak jsou údaje zabezpečeny

    5. Jsou osobní údaje stále přesné a aktuální? Kdo k nim má přístup? Komu jsou předávány?

 

  1. Prověřte co nejdříve, zda Vaše případné souhlasy odpovídají požadavkům GDPR

 

  1. Nastavte procesy pro naplnění práv subjektů údajů

    1. Práva subjektů údajů na informace a přístup k osobním údajům

    2. Právo na opravu a doplnění a právo na přenositelnost údajů

    3. Právo vznést námitku

    4. Omezení zpracování, právo na výmaz - „Právo být zapomenut“

 

  1. Upravte smlouvy s dodavateli (zpracovateli), odběrateli (tj. zákazníky) i zaměstnanci dle GDPR

 

  1. Vytvořte metodiku pro provádění / zpracování

    1. “Analýzu rizik“ (kontext organizace, seznam hrozeb a zranitelností atd.)

    2. „Posouzení vlivu na ochranu osobních údajů” (DPIA)

 

  1. Proveďte analýzu rizik - umožní činnosti i náklady související s GDPR rozložit v čase!

 

  1. U vysokých rizik proveďte „Posouzení vlivu na ochranu osobních údajů”

 

  1. Nastavte nové procesy na identifikaci bezpečnostního incidentu a následné kroky, tj.:

    1. Posouzení rizik pro subjekt údajů (po incidentu)

    2. Hlášení bezpečnostního incidentu dozorovému úřadu (ano x ne, a co hlásím?)

    3. Hlášení bezpečnostního incidentu subjektu údajů (ano x ne, a co hlásím?)

    4. Realizace nápravných operativních opatření

    5. Realizace nápravných koncepčních opatření

 

  1. Vytvořte odpovídající GDPR dokumentaci

    1. Základní směrnice ochrany osobních údajů v organizaci

      1. Rozsah a kontext systému řízení bezpečnosti osobních údajů,

      2. Politika ochrany osobních údajů

      3. Odpovědnosti konkrétních vlastníků aktiv a manažerů

      4. Seznam dokumentovaných informací – směrnice, formuláře, postupy atd.

      5. Plán rozvoje bezpečnostního povědomí

    2. Evidenční karty zpracování osobních údajů (popis a metadata o evidencích)

    3. Směrnice zajišťující realizaci práv subjektů údajů

    4. Metodika provádění posouzení vlivu na ochranu osobních údajů

    5. Metodika analýzy a zvládání rizik bezpečnosti osobních údajů

    6. Zpráva z analýzy a zvládání rizik bezpečnosti osobních údajů

    7. Prohlášení o aplikovatelnosti opatření použitelných dle analýzy rizik

    8. Plán zvládání rizik

    9. Záznamy o školení a vzdělávání pracovníků v oblasti ochrany osobních údajů

    10. Záznamy o činnostech zpracování osobních údajů

    11. Zpráva o výsledcích monitorování plnění a měření účinnosti zavedených opatření

    12. Metodika provádění interního auditu

    13. Roční plán interních auditů

    14. Zprávy z interních auditů

    15. Zpráva z přezkoumání systému řízení bezpečnosti osobních údajů,

    16. Záznamy o rušivých bezpečnostních incidentech a záznamy o nápravných opatřeních

 

  1. Zajistěte archivaci všech potřebných záznamů pro prokázání Vašeho postupu.

 

  1. Zajistěte pravidelná školení dotčených zaměstnanců a členů vedení

 

  1. Proveďte interní audit již zavedených změn ochrany osobních údajů v souladu s GDPR.

 

  1. Provádějte simulace útoků k ověření zabezpečení (tzv. penetrační testy).

 

Pokud výše uvedená doporučení zavedete do každodenní praxe vaší organizace, budete mít jistotu, že jste v souladu s GDPR. Je však třeba podotknout, že GDPR neznamená pouze dosažení určitého stavu, ale že se jedná o proces, který je neustále třeba sledovat, vyhodnocovat a dle potřeb upravovat. V případě, že se rozhodnete souladu s GDPR dosáhnout za pomoci specializované firmy, porovnejte raději více nabídek. Specializované firmy nabízejí nejen pouhé školení a uvedení do problematiky, ale mají ve svém portfoliu i další služby od provedení datové analýzy a analýzy rizik přes odborný dohled nad implementací a činnost externího pověřence až po garanci souladu včetně finančního plnění a refundace případných udělených pokut.

 
Share on Facebook Share on Twitter Epale SoundCloud Share on LinkedIn