Řešení: GDPR
Klient: Česká republika – Kancelář Senátu
Realizace: 11/2017 – 05/2018

Hlavním cílem bylo provedení činností v oblasti ochrany osobních údajů směřujících ke komplexní přípravě Kanceláře Senátu na účinnost Obecného nařízení Evropského parlamentu a Rady 2016/649 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (General Data Protection Regulation)

Předmět

V rámci zakázky byly provedeny následující činnosti:

  • Analýza stávajícího sběru, zpracování a nakládání s osobními údaji a návrh vhodných odpovídajících dokumentačních, technických, organizačních a bezpečnostních opatření k zajištění ochrany osobních údajů v rámci činnosti Kanceláře Senátu a Senátu v souladu s GDPR a ostatními právními předpisy na ochranu osobních údajů
    • přehled klíčových systémů a aplikací KS,
    • posouzení úrovně zpracované bezpečnostní a provozní dokumentace,
    • posouzení úrovně jednotlivých organizačních a technických opatření včetně výstupů penetračních testů,
    • posouzení odolnosti identifikovaných klíčových systémů/aplikací KS,
    • analýza způsobu zvyšování bezpečnostního povědomí zaměstnanců KS,
    • analýza procesů správy, zpracování a nakládání s osobními údaji,
    • analýza rozsahu a potřebnosti spravovaných údajů ve vazbě na vykonávané agendy,
    • analýza legislativních oprávnění pro nakládání s osobními údaji při výkonu svěřených agend,
    • analýza smluvních vztahů s dodavateli služeb ICT (zpracovateli osobních údajů).
  • Zpracování a předložení návrhu nezbytných opatření spolu s návrhy činností nebo postupů, které realizaci navržených opatření zajistí. Návrhy musí obsahovat podněty na doplnění či aktualizaci bezpečnostní dokumentace, opatření pro organizační zajištění a technická opatření (jak pro HW, tak i pro SW). Součástí této etapy musí být také návrhy na zpracování plánů kontinuity a řešení krizových situací, mj. včetně povinného reportingu směrem na ÚOOÚ
    • popis cílového stavu řešení bezpečnosti včetně:
      • posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment),
      • koncepce nakládání s osobními údaji včetně procesů zvládání incidentů,
      • záznamy o činnostech zpracování (příprava jednotlivých šablon záznamů pro všechny činnosti zpracování),
    • návrhy na doplnění a aktualizaci konkrétních bezpečnostních dokumentací,
    • návrhy nezbytných opatření na úrovni organizačních opatření,
    • návrhy nezbytných opatření na úrovni technických opatření,
    • návrhy činností či postupů pro realizaci navržených opatření,
    • návrhy preventivních kroků a činností,
    • návrhy kontrolních či monitorovacích opatření,
    • návrhy systému/procesu na zvyšování a rozvoj bezpečnostního povědomí zaměstnanců,
    • návrhy na zpracování plánů kontinuity a krizové komunikace,
    • zhodnocení procesů správy, zpracování a nakládání s osobními údaji ve vztahu k požadavkům GDPR,
    • provedení rizikové analýzy ve vztahu ke spravovaným osobním údajům, posouzení rizik a posouzení vlivu na ochranu osobních údajů,
    • doporučení vhodného organizačního začlenění pozice Pověřence pro ochranu osobních údajů a popis jeho pracovní pozice.

GDPRReference

Comments are disabled.