GDPR v socilnch slubch analza stavu a rizik
GDPR v sociálních službách - analýza stavu a rizik Ing. Jaroslav Dolanský 1
Analýza stávajícího stavu Nástroje analýzy: Procesní analýza (= obecný pojem pro analýzu práce v organizacích) - dobrovolná Prohlídky (fyzická, elektronická a příkladová) Výstupy analýzy: Katalog osobních údajů další výstupy – procesní mapy, karty procesů, dokumentace, aplikací, nástrojů apod.
Procesní analýza Metoda SIPOC (source, input, proces, output, customer) – dodavatel z materiálu vytvoří výrobky pro zákazníka – poskytovatel svými prostředky poskytne službu klientovi S poskytovatel pracovník dodavatel I P prostředky proces materiál dokument O C výrobek klient dokument zaměstnanec změna odběratel zdravotního stavu
Fyzická prohlídka Nutné zhodnotit výskyt osobních údajů a soulad s GDPR v: dokumentaci poskytovatele dokumentaci klientů dokumentaci zaměstnanců dodavatelskoodběratelských vztazích obrazových a audiovizuálních materiálech prostorách, kde je vykonávána činnost poskytovatele ostatních dokumentech a záznamech
Elektronická prohlídka Prostřednictvím zaměstnanců a / nebo dodavatelů IS a / nebo správců posoudit výskyt osobních údajů a soulad s GDPR v: dokumentech v elektronické formě všech databázových strukturách (zde je nezbytné projít všechny aplikace a jejich funkce, stejně jako všechny virtuální prostory pro ukládání a archivaci dat) externích aplikacích, službách a úložištích
Příkladová prohlídka Jedná se o intuitivní formu procesní analýzy, která má za cíl doplnit a zkontrolovat výstupy získané v předchozích prohlídkách. Zároveň se jedná o nástroj umožňující zachytit reálné situace a problémy, především v případech, které nepracují s unifikovanými dokumenty. Principem je zkoumání modelových příkladů zkušenými praktiky. Výstup by teoreticky měl být shodný s fyzickou a elektronickou prohlídkou dohromady.
Příkladová prohlídka Sada zkoumaných příkladů by měla obsahovat všechny činnosti poskytovatele, tj. minimálně jeden příklad pro: každou poskytovanou službu komunikaci s třetími stranami (kraje, MPSV, ostatní úřady, ostatní poskytovatelé apod. ) každou interní skupinu agend, nebo agendu (personalistika, účetnictví, dodavatelskoodběratelské vztahy, apod. ) vnější prezentaci poskytovatele (www, marketing, propagaci apod. )
Katalog osobních údajů Dokument obsahující výstup z analýzy stávajícího stavu, tj. minimálně pro každý případ: specifikaci identifikovaných osobních údajů oblast subjektu údajů (klienti, zaměstnanci, apod. ) proces ve kterém jsou údaje zpracovávány evidenci / aplikaci / službu, která s nimi pracuje gestora a uživatele oprávněné s nimi nakládat umístění (fyzické, nebo virtuální) oprávnění (souhlas, zákon, veřejný zájem apod. ) délku zpracování a archivační / skartační lhůty
Analýza rizik Riziko – hrozící negativní jev, vznikající jako sekundární důsledek požadovaného procesu Identifikace rizik – postup pro zkoumání možných rizik Katalog rizik – evidence rizik ve standardizovaném formátu Hodnocení rizik – subjektivní hodnocení dopadu rizika na organizaci Nápravná opatření – návrhy eliminace rizik a předcházení jejich vzniku
Identifikace rizika Musí být provedena pro každý záznam v katalogu osobních údajů. Obsahuje minimálně posouzení: oprávněnosti – zda je mohu zpracovávat (čl. 25) dostupnosti – kdo s nimi pracuje (čl. 25) bezpečnosti – jak jsou zabezpečena (čl. 32) logování = úroveň dokumentace zpracování (čl. 30) přístupnosti – jaká jsou možnosti přístupu, oprav a mazání ze strany subjektu údajů (čl. 14 – 19) rizikovosti pro práva a svobody subjektu (čl. 35)
Katalog rizik Dokument obsahující výstup z identifikace rizik, tj. minimálně pro každý případ identifikovaného rizika: název rizika popis rizika oblast výskytu rizika (proces, agenda, lokalita, apod. ) pravděpodobnost rizika (viz. hodnocení rizik) význam rizika (viz. hodnocení rizik) nápravná opatření
Hodnocení rizik Pravděpodobnost rizika: minimální nízká střední vysoká velmi vysoká Závažnost rizika: bezvýznamné akceptovatelné nežádoucí významné nepřijatelné
Matice hodnocení rizik
Nápravná opatření Jedná se o opatření snižující závažnost, nebo pravděpodobnost rizika ideálně na nulu. Může se jednat o opatření fyzické, administrativní, personální, technické, nebo dokumentační. Může být vztaženo k riziku i skupině rizik, stejně jako může být definováno k jednomu riziku více opatření. Při formulaci pokud nevíte jak riziko řešit: poptejte spolupráci třetí osoby (např. dodavatele) konzultujte s MPSV, DPO, KÚ apod. v této fázi lze i nechat prázdné, nebo odkázat na implementaci GDPR
Závěr • Souhrn metodické podpory MPSV: aktualizované prezentace úvod, analýza a metodika implementace první verze kodexu chování na portále mpsv vzor katalogu osobních údajů a katalogu rizik na portále mpsv a další přílohy ostatní přílohy budou zveřejněny na začátku května dále předpokládáme: zajistit schválení kodexu UOOU průběžně aktualizovat znění kodexu a příloh doplňovat vzory relevantních dokumentů
- Slides: 15