23.05.2018

Seznam dokumentů ke GDPR, které je vhodné postupně připravit

Zpracovali jsme pro vás shrnutí či seznam dokumentů, které budou muset obce mít postupně připraveny a zpracovány podle nároků vyplývajících z účinného obecného nařízení k ochraně osobních údajů (GDPR).

Zpracovali jsme pro vás shrnutí či seznam dokumentů, které budou muset obce mít postupně připraveny a zpracovány podle nároků vyplývajících z účinného obecného nařízení k ochraně osobních údajů (GDPR).

Seznam dokumentů a povinností, které je vhodné postupně připravit:

  • Systémová příručka k IS – poptat u svého IT dodavatele, individuální
     
  • Revize stávajících souhlasů – souhlasy získané v minulosti – prověřit, zda splňují podmínky obecného nařízení – a pokud nesplňují, lze použít souhlas vzorový, níže:
     
  • Informovaný souhlas dle obecného nařízení
    Odka zhttp://smocr.cz/cz/oblasti-cinnosti/gdpr/vzor-souhlasu-se-zpracovanim-osobnich-udaju.aspx
     
  • Dodatky ke smlouvám s dodavateli software a zpracovateli osobních údajů – stanovení požadavků ze strany správce (mlčenlivost, zavázání dalšího zpracovatele, odpovědnost zpracovatele, stanovení sankcí za porušení povinností atp.)
     
  • Dohoda o mlčenlivosti s externími pracovníky -  pro obce v mnoha oblastech pracují externisté. Obec by měla uzavřít dohodu o mlčenlivosti např. s externím pracovníkem IS (IT správce), externí účetní, externí mzdovou účetní atd. Jelikož jde o věc velice individuální, Svaz takový vzor neposkytuje.
     
  • Evidence – vytvoření evidence kódů elektronického zabezpečovacího zařízení (EZS), evidence razítek, evidence klíčů (komu byly přiděleny), evidence souhlasů, evidence všech přenosných paměťových médií (flash disk, CD, externí disk atp.), evidence výpočetní techniky, úložišť dat a programového vybavení používaných ke zpracování osobních údajů. U přenosné výpočetní techniky a úložišť dat se eviduje též osoba odpovědná za využívání přenosného zařízení a za jeho ochranu před neoprávněným přístupem.
    Odkaz: http://smocr.cz/cz/oblasti-cinnosti/gdpr/evidence-razitek-klicu-pristupu-do-zakladnich-registru-a-kodu-ezs-v-ramci-uradu.aspx
     
  • Seznam osob s přístupem k základním registrům, k osobním datům ze základních registrů a k Czech Pointu.
     
  • Analýza (revize) osobních údajů, rizik a procesů – dobrovolná, ale velmi užitečná. Z analýzy se vychází při zpracování dokumentace k prokázání souladu s GDPR, např. záznamů o činnostech zpracování.
     
  • Záznamy o činnosti zpracování – povinné pro prokázání souladu s GDPR, dle čl. 30 obecného nařízení.
     
  • Technicko - organizační opatření – obec vede evidenci opatření k zabezpečení osobních údajů. Pokud existuje vnitřní předpis upravující ochranu osobních údajů (např. pro komunikaci s bezpečnostní službou, odchodu z kanceláře, vytváření a úschovy kopií dat atp.) - provést jeho revizi a doplnit či změnit, každá obec má své opatření, proto Svaz nedává vzor, aby nevznikly zbytečné zmatky.
     
  • Řízení přístupů – udělování oprávnění pracovníkům a jejich poučení o ochraně osobních údajů. Vést např. na kartě „Pověření k přidělení přístupových práv pracovníka k jednotlivým SW aplikacím v rámci informačního systému obce“. Každá obec takové řízení přístupů má trošku jinak, tedy SMO ČR neposkytuje vzorový dokument.
     
  • Popis a definice postupu při narušení zabezpečení osobních údajů – pravidla pro oznamování  bezpečnostního incidentu ÚOOÚ, určení osoby odpovědné za ohlášení BI.
    Vzor ohlášení neexistuje, nicméně pro informaci Ohlášení porušení Úřadu musí přinejmenším obsahovat popis povahy případu porušení, jméno a kontaktní údaje pověřence nebo jiného kontaktního místa, které může poskytnout bližší informace, popis pravděpodobných důsledků porušení a popis opatření, která správce přijal nebo navrhl s cílem vyřešit a minimalizovat důsledky porušení (s důrazem na opatření, která by měl provést subjekt údajů, jako je změna přístupových údajů, zablokovaní platebních prostředků, pokud jsou nezbytná apod.). Správce musí oznámení učinit pokud možno do 72 hodin (případně po částech, pokud není možné poskytnout veškeré informace současně). Pokud není možné ohlášení učinit do 72 hodin, měl by správce uvést důvody zpoždění.
     
  • Ustanovení pověřence pro ochranu osobních údajů (včetně smluvního vztahu), zveřejnění kontaktních údajů pověřence. Vzor také neexistuje, nařízení žádný nepředepisuje, jak sdělit v odkazu.
    Odkaz: https://www.uoou.cz/poverenec-pro-nbsp-ochranu-osobnich-udaju/d-27307/p1=3938