Implementace GDPR

2018

Náš klient

Městský úřad Statutárního města Kladna s více jak 350 zaměstnanci, kteří denně zpracovávají stovky osobních údajů.

Potřeba klienta

  • Kladno požadovalo provedení Analýzy GDPR
  • Zpracování návrhu dokumentace pro ochranu osobních údajů
  • Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy

Jak projekt probíhal

Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR. Klientovi jsme prezentovali blokové schéma postupu.

Postup při naplnění GDPR

Blok A: Analýza dopadů

  • Základní audit řízení IT
  • Datová inventura
  • Audit zabezpečení

Blok B: Návrh opatření

  • Technické opatření
  • Organizační opatření
  • Smluvní opatření

Blok C: Realizace

  • Schválení opatření
  • Realizace opatření

Na iniciační schůzce, kde byli již přizváni garanti jednotlivých agend, jsme vysvětlili nejvíce náročnou část celé analýzy, a to datovou inventuru. Prezentovali jsme naši představu, kdy na schůzku již přijdeme s jednotlivými návrhy zpracování v rámci jejich agend a na schůzce probereme detaily a případně doplníme i námi neidentifikované zpracování osobních údajů. Celkem jsme připravili 115 zpracování.

Celkově proběhlo přibližně 30 schůzek nad jednotlivými agendami, kdy každá z nich trvala 2-3 hodiny dle náročnosti. Ve stejnou dobu z důvodu zrychlení probíhaly na městě 2 schůzky paralelně.

Evidovali jsme zpracování v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů tzn. zda jsou data zpracovávány v elektronické podobě a v jakém systému případně zda jsou data v papírové podobě a kde se nacházejí a jak je daná oblast zabezpečena. Po ukončení datové inventury jsme evidovali celkem 135 zpracování.

Na meetingu s IT jsme procházeli úroveň stávajícího zabezpečení informačních systémů a zdali jsou již připraveny na potřeby GDPR.

V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme příslušné pasáže do smluvních ujednání. V tomto bloku jsme také navrhli směrnici o zpracování osobních údajů.

V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.

Časová osa projektu

  • 04/2018 – podpis smlouvy
  • 05/2018 – start projektu
  • 06,7/2018 – datová inventura
  • 08/2018 – předání hlavních výstupů
  • 09/2018 – školení a uzavření projektu

„Spolupráce s dodavatelem na auditu byla efektivní. Datová analýza postupovala rychle dopředu a agendy se nám pomalu zavírali.“

Petr Jorg, vedoucí oddělení řízení bezpečnostních rizik

Náročnost pro klienta

  • Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
  • Deset hodin pro IT a bezpečnostního specialistu
  • Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
  • 2 hodiny vedoucích pracovníků na představení výstupů a školení
  • 2 hodiny zaměstnanců na školení GDPR a na provedení výstupního testu

Klíčové přínosy očima klienta

  • Meetingy s garanty agend namísto zaslání dotazníku
  • Efektivní sběr dat v rámci systému EFFIT
  • Komplexita navrhovaného řešení
  • Znalost procesů v rámci městského úřadu

Výstupy v rámci analýzy GDPR:

  • Pro případnou kontrolu dozorového úřadu:
    • Záznamy o činnostech zpracování
    • Dokument prokazující shodu s GDPR
    • Směrnice na ochranu osobních údajů
    • Informační povinnost – veřejnost
    • Informační povinnost – zaměstnanci
    • Návrh souhlasů - fotografie
    • Školení zaměstnanců – certifikáty
  • Interní dokumenty SMK:
    • Analýza dopadů GDPR na organizaci
    • Detailní informace o zpracování osobních informací v rámci SMK
    • GAP analýza
    • Riziková analýza
    • Přehled doporučených opatření
    • Desatero základních informací k GDPR