Implementace GDPR pro Statutární město Kladno

Implementace GDPR

2018

Náš klient

Městský úřad Statutárního města Kladna s více jak 350 zaměstnanci, kteří denně zpracovávají stovky osobních údajů.

Potřeba klienta

• Kladno požadovalo provedení Analýzy GDPR
• Zpracování návrhu dokumentace pro ochranu osobních údajů
• Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy

Jak projekt probíhal

Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR. Klientovi jsme prezentovali blokové schéma postupu.

Blok A: Analýza dopadů

• Základní audit řízení IT
• Datová inventura
• Audit zabezpečení

Blok B: Návrh opatření

• Technické opatření
• Organizační opatření
• Smluvní opatření

Blok C: Realizace

• Schválení opatření
• Realizace opatření

Na iniciační schůzce, kde byli již přizváni garanti jednotlivých agend, jsme vysvětlili nejvíce náročnou část celé analýzy, a to datovou inventuru. Prezentovali jsme naši představu, kdy na schůzku již přijdeme s jednotlivými návrhy zpracování v rámci jejich agend a na schůzce probereme detaily a případně doplníme i námi neidentifikované zpracování osobních údajů. Celkem jsme připravili 115 zpracování.

Celkově proběhlo přibližně 30 schůzek nad jednotlivými agendami, kdy každá z nich trvala 2-3 hodiny dle náročnosti. Ve stejnou dobu z důvodu zrychlení probíhaly na městě 2 schůzky paralelně.

Evidovali jsme zpracování v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů tzn. zda jsou data zpracovávány v elektronické podobě a v jakém systému případně zda jsou data v papírové podobě a kde se nacházejí a jak je daná oblast zabezpečena. Po ukončení datové inventury jsme evidovali celkem 135 zpracování.

Na meetingu s IT jsme procházeli úroveň stávajícího zabezpečení informačních systémů a zdali jsou již připraveny na potřeby GDPR.

V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme příslušné pasáže do smluvních ujednání. V tomto bloku jsme také navrhli směrnici o zpracování osobních údajů.

V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.

Časová osa projektu

• 04/2018 – podpis smlouvy
• 05/2018 – start projektu
• 06,7/2018 – datová inventura
• 08/2018 – předání hlavních výstupů
• 09/2018 – školení a uzavření projektu

„Spolupráce s dodavatelem na auditu byla efektivní. Datová analýza postupovala rychle dopředu a agendy se nám pomalu zavírali.“

Petr Jorg, vedoucí oddělení řízení bezpečnostních rizik

Náročnost pro klienta

• Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
• Deset hodin pro IT a bezpečnostního specialistu
• Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
• 2 hodiny vedoucích pracovníků na představení výstupů a školení
• 2 hodiny zaměstnanců na školení GDPR a na provedení výstupního testu

Klíčové přínosy očima klienta

• Meetingy s garanty agend namísto zaslání dotazníku
• Efektivní sběr dat v rámci systému EFFIT
• Komplexita navrhovaného řešení
• Znalost procesů v rámci městského úřadu

Výstupy v rámci analýzy GDPR:

• Pro případnou kontrolu dozorového úřadu:
  • Záznamy o činnostech zpracování
  • Dokument prokazující shodu s GDPR
  • Směrnice na ochranu osobních údajů
  • Informační povinnost – veřejnost
  • Informační povinnost – zaměstnanci
  • Návrh souhlasů - fotografie
  • Školení zaměstnanců – certifikáty
• Interní dokumenty SMK:
  • Analýza dopadů GDPR na organizaci
  • Detailní informace o zpracování osobních informací v rámci SMK
  • GAP analýza
  • Riziková analýza
  • Přehled doporučených opatření
  • Desatero základních informací k GDPR