CASE STUDY

Posouzení vlivu zpracování osobních údajů dle požadavků obecného nařízení o ochraně osobních údajů - audit připravenosti na GDPR obce s rozšířenou působností.

 

Připravenost na obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) byla posuzována u obce s rozšířenou působností, u které bylo zjištěno celkem 13 odborů, jež zpracovávají osobní údaje.


Jedná se o:

  • Odbor kancelář tajemníka (OKT)
  • Odbor správy majetku (OSM)
  • Odbor rozvoje města a investice (ORMI)
  • Odbor výstavby a územního plánování (STAV)
  • Odbor finanční (FIN)
  • Odbor sociálních věcí (SOC)
  • Odbor dopravy (DOP)
  • Odbor vnitřních věcí (VNV)
  • Obecní živnostenský úřad (OŽÚ)
  • Odbor tvorby a ochrany životního prostředí (TOŽP)
  • Městská policie
  • Městská správa sociálních služeb (MSSS)
  • Kulturní zařízení města B. (KZM)

 

V rámci jednotlivých odborů dochází ke zpracovávání zejména následujících osobních údajů:

  • o 340 stávajících zaměstnancích
  • o bývalých zaměstnancích
  • z databází oznámení událostí (Městská policie)
  • o žadatelích o udělení řidičského oprávnění (DOP)
  • o nájemcích městských bytů (OSM)
  • o současných i bývalých občanech města s rozšířenou působností, včetně dětí
  • údaje o osobách se zdravotním postižením
  • záznamy z kamerových systému, umístěných ve městě

 

U všech výše uvedených jsou zpracovávány nejméně jejich identifikační údaje, kontaktní údaje, u některých pak také ekonomické údaje, lokační údaje, údaje o zdravotním stavu a jiné.

 

Dále pak již z povahy své činnosti dochází i ke zpracování údajů zvláštních povahou, jako například údajů o dětech, nebo zaměstnancích, které jsou podle stanoviska WP29 údaji o zranitelných subjektech, u kterých dochází k vysokému riziku zásahu do práv a svobod jednotlivců, neboť je mezi správcem a těmito subjekty vysoký nepoměr síly. Stejným způsobem pak musí být posouzeny i údaje o zdravotním stavu subjektů údajů (údaje o zdravotním postižení).

 

Vzhledem k rozsáhlosti zpracovávaných osobních údajů (dále jen „údaje“) a jejich povaze dopadá na obec čl. 35 GDPR, kdy je obec povinna provést posouzení vlivu svého zpracování na ochranu osobních údajů.

 

Aby bylo možné posouzení provést, bylo nutné nejprve analyzovat současný stav nakládání s údaji. V rámci analýzy byla ustanovena pracovní skupina odpovědných zaměstnanců jednotlivých odborů, zejména z řad personálního oddělení, IT oddělení a zástupců jednotlivých odborů. Tato pracovní skupina pomohla mimo jiné při:

  • identifikaci subjektů údajů
  • kategorizaci údajů tak, aby bylo možné následně stanovit kritéria pro každou kategorii s ohledem na specifické požadavky GDPR
  • popisu procesů současného zpracovávání údajů (kdo má k údajům přístup, kde jsou uloženy, jakým způsobem je s nimi nakládáno aj.)
  • analýze současného stavu zabezpečení údajů
  • identifikaci externích zpracovatelů údajů (např. společnosti poskytující externí poradenství, účetní společnost, auditorská společnost, společnost provádějící skartaci zdravotnické dokumentace aj.)

 

 

Výstupem analýzy byly kromě popisné části současného stavu také přehledně zpracované toky údajů napříč jednotlivými odbory, identifikace jednotlivých osobních údajů v informačních systémech a úložištích a analýza rizik posouzení vlivu na soulad s GDPR. V rámci těchto toků byly identifikovány klíčové oblasti, u kterých byla stanovena míra jejich souladu s GDPR.

 

Každý datový tok informuje zejména o vstupu údajů do systému zpracování, o jejich původu, jejich uložení, jednotlivých operacích s údaji a následně o způsobu, jakým údaje systém opouští.

 

Tam, kde byly jednotlivé oblasti v pořádku, nebylo nutné provádět další opatření. U oblastí, kde se nakládání s údaji odchylovalo od požadavků GDPR byla stanovena míra odchylky a doporučeny jednotlivé nápravné opatření.

 

Zjištěné odchylky se týkaly zejména:

  • zpracovávání osobních údajů i způsoby nad povolený rámec (tj. nad rámec nezbytný pro naplnění účelu zpracování)
  • nesprávného zpracovávání údajů, zejména:
    • nedostatečného oddělení jednotlivých databází v rámci pseudonymizace údajů
    • některé údaje byly zpracovávány na základě chybějících nebo nedostatečných souhlasů subjektů údajů se zpracováním
    • údaje byly uchovávány déle, než bylo nezbytné (každý údaj má jinou lhůtu k uchování, tyto byly překračovány)
    • údaje byly sdíleny s třetími osobami (např. s externí auditorskou kanceláří) bez vyžadovaných zpracovatelských smluv a souhlasů subjektů údajů
  • chybějících a neúplných záznamů o jednotlivých úkonech zpracování, zejména:
    • více zaměstnanců sdílelo společné přístupy do informačního systému
    • záznamy o přístupech (tzv. logy) se ukládaly pouze 14 dnů
    • pouze některé úkony byly logovány, např. prohlížení dat zaznamenáváno nebylo
  • chybějících procesů pravidelného testování, posuzování a hodnocení zavedených systémů pro zajištění bezpečnosti údajů
  • nedostatečně nastaveného systému pro ohlašování případů porušení zabezpečení údajů – GDPR stanovuje lhůtu 72 hodin pro oznámení porušení zabezpečení údajů dozorovému úřadu a vyžaduje také přijetí systému notifikace subjektů údajů o porušení
  • nepřipravenosti odborů poskytovat přístup subjektů k jejich údajům vč. všech doplňujících informací – odbory nebyly schopny identifikovat všechna místa, kde se údaje nachází a nemohly tedy vydat komplexní zprávu, odbory dále nebyly připraveny splnit povinnost předat údaje ve strojově čitelném formátu subjektu údajů
  • chybějícího pověřence ochrany osobních údajů

 

V rámci posuzovaných odborů byly na základě výše uvedeného přijata tato opatření:

 

  • provedeno posouzení vlivu zpracování na ochranu osobních údajů dle čl. 35 GDPR
  • vybrán externí pověřenec pro ochranu osobních údajů, který nastoupí do funkce na začátku roku 2018
  • upraveny řídící dokumenty a procesy včetně nastavení systému pro ohlašování případů porušení zabezpečení údajů
  • aktualizovány smlouvy s externími zpracovateli údajů
  • stanoveny nové postupy pro zabezpečení a ochranu údajů, včetně pravidelného monitoringu a detekce incidentů
  • doporučeny změny aplikačních oprávnění v jednotlivých informačních systémech a databázích
  • zaveden jednoduchý systém pro přístup subjektů k jejich údajům a pro přenositelnost údajů
  • vznesen požadavek na zavedení softwarového procesního nástroje, který zabezpečí, že data neuniknou prostřednictvím chyby nebo nevědomosti zaměstnance
  • doporučeno nasazení nástroje s možností vytváření formulářů a řízení procesů související s GDPR - např. automatizovaný příjem žádostí o zpracování údajů, generování úkolů včetně nastavení kontrolních mechanismů a kompletního reportingu (např. proces pro oznámení podezření úniku údajů, apod.)
  • součástí technického řešení jsou také služby zajišťující správu, rozvoj a monitoring řešení. Tím je zabezpečena stálá dostupnost logování, reportingu a auditní stopy procesů
  • Došlo k fyzické analýze uložených dokumentů v papírové podobě a k revizi jejich uložení ve vztahu k bezpečnosti a udržitelnosti v čase
  • implementováno IT řešení

 

Veškerá výše uvedená opatření však byla přijata s ohledem na způsob nakládání s údaji, který již v rámci odborů funguje. Tam, kde to bylo možné, byly respektovány zavedené postupy a ty byly měněny jen v míře nezbytně nutné. Díky tomu byly změny kladně přijaty většinou zaměstnanců a externích dodavatelů, kdy došlo ke zjednodušení mnoha procesů a tím i k úspoře času a financí jednotlivých odborů.

 

Bez potřebných nástrojů je splnění požadavků GDPR na konsolidaci dat, dále také reporting nebo vymazání všech osobních dat velmi obtížné. Pravděpodobně bude obsahovat množství manuálních úkonů, kdy budou zaměstnanci v každém IT systému hledat požadovaná data, provádět jejich zpracování, nebo je i následně na základě žádosti odstraňovat.

 

Ve společnosti provozující více systémů a databází je tento postup komplikovaný a  neefektivní. Navíc není zaručeno, že manuální chybou nebudou data smazána, a tak se organizace vystavuje zbytečnému možnému postihu ze strany kontrolního orgánu.

 

Časová náročnost výše uvedeného posouzení:

  • analýza a sběr podkladů – 42 hodin vzhledem ke specifikům jednotlivých odborů
  • součinnost jednotlivých odborů – cca 17 hodin, dotčeno 16 zaměstnanců
  • posouzení vlivu zpracování osobních údajů v souladu s Obecným nařízením o ochraně osobních údajů – 52 hodin
  • úprava řídících dokumentů, nastavení vnitřních systémů – 32 hodin
  • školení vedoucích zaměstnanců – 9 x 4 hodiny, 6 x 3 hodiny, vedoucí zaměstnanci následně sami školí své podřízené
  • doplňkové služby – 18 hodin práce

 

 

© 2017 SEDLAKOVA LEGAL s.r.o. Všechna práva vyhrazena.