Analýza dopadů GDPR

2018

Školy a mateřské školky zřízené na městské části Prahy 4.

Potřeba klienta

  • Naplnění požadavků GDPR do školního prostředí, tak aby to školu zcela neparalyzovalo

Jak analýza proběhla

Na začátku roku 2018 již se začala pomalu šířit panika ohledně naplnění nařízení GDPR. Všichni doufali v to, že ministerstvo školství vydá jasnou metodiku, jak mají školy postupovat. Postupem času však bylo jasné, že toto očekávání se však nenaplní. V té době probíhala sice celá řada seminářů typicky od právních kanceláří, ale nikdo zcela jasně neukázal školám, jak mají jasně postupovat krok za krokem k naplnění GDPR. Řešily se kamerové záznamy, co se může natáčet a na co vše je potřeba udělit a neudělit souhlas.

Na počátku roku jsme dodělali systém EFFIT pro evidenci záznamů o zpracování činnosti, kde postupy tohoto systému reflektovaly naše zkušenosti. Dodělali jsme také jasnou metodiku a krokové schéma pro úspěšnou realizaci GDPR.

Vytipovali jsme si jednu školu, do které chodí dcery kolegy Jirky a Lady a nabídli jsme panu řediteli pilotní řešení GDPR v jeho škole. Během dvou schůzek jsme evidovali základní školní procesy a osobní údaje, které je potřeba znát, a to včetně důvodu evidence. Pan ředitel byl velmi spokojen s výstupy, a především s přístupem k celé problematice. Na oplátku ukázal naše výstupy na odboru školství, kde jsme se domluvili na schůzce ředitelů škol a školek Prahy 4, kteří budou mít zájem.

Na prezentaci pro školy a školky se dostavili skoro všichni ředitelé a během cca 1 hodiny jsme shrnuli změny, které se jich týkají díky GDPR a náš navrhovaný postup. Jako hlavní bod celé nabídky byl ten, že evidenci zpracovávaných údajů spolu identifikujeme v rámci jednoho či dvou workshopů. Poměrně důležitým aspektem byl fakt, že většinu jejich činností již známe, protože školy mají stejné procesy a důvody evidence osobních údajů.

Na prezentaci bylo vidět, že většina ředitelů viděla poprvé reálné výstupy GDPR ve školním prostředí a také to, že se ve výstupech viděli. Hned po ukončení prezentace nám volali někteří ředitelé, že chtějí spolupracovat. Takto jsme provedli audit a zajištění shody GDPR na více jak polovině škol a školek Prahy 4.

Samotné workshopy již probíhaly velmi rychle, protože jsme nejdříve procházeli seznam činností a následně až pak evidovali v našem systému detaily v jakém systému a v jakých fyzických oblastech zpracovávají příslušnou agendu. Audit zabezpečení proběhl typicky na další schůzce společně s prohlídkou kamer a informačních systémů a jejich zabezpečení. Na poslední schůzce jsme představili výstupy a doporučili opatření, která je vhodné zavést. Poslední schůzka byla školení zaměstnanců se závěrečným testem, který jsme si opravili a vysvětlili.

Postupy pro zpracování a ochranu osobních údajů v organizaci

Náročnost pro klienta

  • Jedno dopoledne pro ředitele školy/školky a typicky zástupce
  • 1 hodinu pro obhlídku prostor
  • 1-2 hodiny pro IT administrátora
  • Půlden na seznámení a připomínky k hlavním dokumentům (směrnice, dodatky smluv)
  • 1-2 hodiny zaměstnanců na školení GDPR a na provedení výstupního testu

Klíčové přínosy očima klienta

  • Meetingy nad školními agendami namísto zaslání dotazníku
  • Znalost školního prostředí
  • Přenos nařízení do praxe školy tak, aby jí to zásadně neomezovalo

Výstupy v rámci analýzy GDPR:

  • Pro případnou kontrolu dozorového úřadu:
    • Záznamy o činnostech zpracování
    • Dokument prokazující shodu s GDPR
    • Směrnice na ochranu osobních údajů
    • Školení zaměstnanců – certifikáty
    • Informační povinnost
    • Šablony souhlasů
  • Interní dokumenty:
    • Analýza dopadů GDPR na organizaci
    • Detailní informace o zpracování osobních informací
    • GAP analýza
    • Přehled doporučených opatření
    • Informační povinnost pro zaměstnance