T-linka 30/2017

Citát týdne

Manipulace je ovlivňování za účelem mého osobního prospěchu. Motivace je ovlivňování za účelem společného prospěchu.

Fred Smith

Postřehy ze školení
Implementace GDPR do praxe úřadu

Implementace GDPR do praxe úřadu (a dalších organizací) vyžaduje celou řadu úkonů. Z hlediska projektového řízení proto více než dobře splňuje parametry plnohodnotného projektu, jehož realizaci zaštítí projektový tým.

I když se stále setkáváme s názorem, že GDPR se týká primárně informačních technologií, skutečnost je mnohem složitější. Úpravy a vylepšení týkající se IT totiž tvoří maximálně polovinu změn (a pravděpodobně ještě méně investic). Významnou roli naopak sehrají procesní řízení, datové analýzy, školení a další aktivity.

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 O ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, zkráceně nazvané GDPR (General Data Protection Regulation) stanoví (doplňuje a zpřísňuje) pravidla ochrany osobních údajů. Navíc definuje některá nová práva těch, jejichž údaje konkrétní organizace zpracovává.

Příprava projektu

Jak už bylo řečeno, je zavedení pravidel ochrany osobních údajů podle GDPR natolik komplexní záměr, že se při jeho realizaci jen stěží obejdeme bez plánování, řídících kompetencí, personální práce ani odborných znalostí týkajících se činnosti organizace (v případě úřadů hovoříme o znalostech zástupců jednotlivých odborů, IT a právního oddělení).

Projektový tým

Prvním a základním předpokladem úspěšné realizace projektu je sestavení týmu, který vše zastřeší, naplánuje, rozdělí úkoly, zkontroluje jejich plnění a zajistí úspěšné dokončení.

Projektový tým v tomto případě musí zahrnovat čtyři skupiny členů:

  1. zástupce vedení úřadu, a to jak voleného (starosta, místostarosta, určený zástupce), tak nevoleného (tajemník či jím vybraný zástupce);
  2. specialisty v oblasti práva (vlastní či externí právník) a informačních technologií (IT oddělení);
  3. zástupce jednotlivých odborů;
  4. pracovníka vybraného na pozici Pověřence.

Takto složený tým s patřičnými kompetencemi a znalostní bází je schopen vše zorganizovat tak, aby se podařilo dosáhnout očekávaného výsledku. Platí však, že všichni členové musí dostat potřebné pravomoci. Pokud nebudou mít možnost kontrolovat plnění zadaných úkolů a případně za neplnění sankcionovat, je celý projekt již předem odsouzen k nezdaru.

Plán a implementace

Druhým krokem, který plně spočívá na projektovém týmu, je sestavení plánu implementace. Ten musí pokrýt všechny nezbytné úkony, a proto musí obsahovat minimálně následující kroky:

Analýza stávajícího stavu

Je nutné detailně zmapovat jaké osobní údaje konkrétní pracovník aktuálně zpracovává, jakou cestou je získává a z jakého konkrétního důvodu, kde všude a jakým způsobem je uchovává a zálohuje, kdo a na základě jakých pravidel k nim má přístup.

Srovnávací analýza stávajícího a předpokládaného stavu

Vyhodnocené podklady z úvodní analýzy je nutné srovnat se stavem, který má platit po zavedení pravidel GDPR. Ani úřady, které dříve implementovaly pravidla ochrany osobních údajů podle platného zákona č. 101/2000 Sb., případně získaly certifikát bezpečnosti informací dle normy ISO 27000, přitom nejsou z obliga. I jich se totiž týkají novinky definované GDPR, jako jsou práva osob, jejichž údaje zpracovávají, např. na výmaz či omezení využívání, nebo povinné jmenování Pověřence pro ochranu osobních údajů.

Návrh řešení

Výstupem srovnávací analýzy jsou úkoly, jejichž splnění je nutné k zavedení pravidel GDPR do praxe úřadu. Mimo to z ní také vyplyne, zda úřad při zpracovávání osobních údajů dodržuje Nařízením stanovenou povinnost tzv. minimalizace zpracovávaných dat. GDPR totiž říká, že by každý zpracovatel či správce měl operovat jen s nezbytně nutnými daty.

Prvním krokem při přípravě změn je tedy rozhodnutí, která data zachovat a která naopak vymazat. Výhodou úřadu je výkon veřejné správy, v jejímž rámci většinu postupů a rozsah zpracovávaných dat jasně definují příslušné zákony. I tak je však nutné upravit stávající procesy, aby splňovaly požadavky Nařízení.

Do souladu s GDPR je třeba uvést také způsob získávání souhlasu se zpracování osobních údajů v případech, kdy je ho třeba. Navíc u údajů získaných před zavedením GDPR je často nutné požádat o nový souhlas, neboť “ano” získané podle jiných pravidel od 25. května 2018 pozbude platnosti.

Dalším krokem, který na projektový tým čeká, je definování procesů a postupů pro řešení bezpečnostních incidentů a samozřejmě také pro zpracování požadavků fyzických osob na přístup k jejich údajům, výmaz a opravu chybných údajů, nebo omezení jejich zpracování.

Implementace a ověření funkčnost navržených řešení

Navržená řešení se budou postupně zavádět do praxe. Je třeba upravit směrnice a metodiky, vyškolit jednotlivé pracovníky, kteří přicházejí do styku s osobními údaji, implementovat technologie a prověřit kvalitu všech realizovaných opatření...

Pravděpodobně bude třeba také upravit existující smlouvy se stávajícími dodavateli služeb, případně implementovat nové služby a ty smluvně ošetřit.

Následně čeká projektový tým i celý úřad ověření funkčnosti provedených změn a jejich souladu s požadavky GDPR.

A jedno (ne)pozitivní sdělení na závěr…

Příprava a zejména realizace projektu Implementace GDPR do praxe úřadu si vyžádá poměrně hodně času. Ale toho moc nezbývá. Nařízení č. 2016/679 vstoupí v platnost 25. května 2018.

Doporučujeme k přečtení

Ústavní soud (ÚS) ponechal úředníkům pravomoc kontrolovat, čím lidé topí doma v kotlích. Zamítl návrh pravicových poslanců na zrušení části zákona o ochraně ovzduší. Poslanci v kontrolách spatřují vážný zásah do práva na nedotknutelnost obydlí. Podle jejich právníka Zdeňka Koudelky ÚS dál přednost zájmu státní moci před soukromím lidí. Ministr životního prostředí Richard Brabec (ANO) nález přivítal, kontroly jsou podle něj funkční nástroj ochrany ovzduší. [Euro]

Při rozhodování Ústavního soudu o kontrolách domácích kotlů zůstal v menšině jeho místopředseda Jaroslav Fenyk. Jako jediný se přiklonil k návrhu pravicových poslanců a domnívá se, že ÚS měl ustanovení, které umožňuje úředníkům zkontrolovat kotel a palivo, zrušit. Jeho odlišné stanovisko je připojeno k úternímu nálezu, jehož vyznění je opačné. [Týden]

V restitucích nelze vydat pozemky, u kterých nabyvatel tak jako tak nemůže plně uplatnit svá vlastnická práva. Ústavní soud v úterý vyhověl stížnosti Prahy, která nesouhlasila s restitucí parcel v Centrálním parku na Pankráci. Jde o veřejnou zeleň, změnu územního plánu v lokalitě mezi několika sídlišti nelze předpokládat, konstatovali ústavní soudci. [Týden]

V srpnu bude ministerstvo životního prostředí na systémy pro využití dešťové vody ve druhé dotační vlně rozdělovat až 240 milionů korun. Obchodníci odhadují, že prodej systémů vzroste o dvě třetiny. [E15]

Počty ztrátových prodejen v menších obcích v Česku rostou. Jen Svaz českých a moravských spotřebních družstev (Skupina COOP) provozuje kolem tisíce obchodů v červených číslech, tedy zhruba třetinu. Zvyšuje se ale i počet obcí, které prodejny dotují. Další stovky radnic o tom uvažují. [E15]

Za fiasko považuje švédský premiér Stefan Löfven švédské bezpečnostní pochybení, kvůli kterému čeští pracovníci technologické společnosti IBM získali přístup ke dvěma tajným policejním databázím. Ministerský předseda tak vůbec poprvé oficiálně komentoval skandál z roku 2015, který se nyní dostal na veřejnost, napsal deník The Local. [E15]

Na ochranu tzv. měkkých cílů, tedy míst s vysokou koncentrací lidí, která nejsou trvale chráněna a jsou snadno dostupná, bude v dotačních programech několika ministerstev v letech 2019 až 2021 připraveno 359 milionů korun. Vláda dnes schválila materiál ministerstva vnitra, který zřízení neinvestičních programů navrhuje. Dotační podporu budou dostávat zejména státní, obecní či soukromé nekomerční měkké cíle. [E15]

Místní a regionální zástupci považují za nutné klást v programech přeshraniční spolupráce větší důraz na projekty „people-to-people“ a na malé projekty, aby bylo možné odstranit překážky v podobě hranic a integrovat příhraniční oblasti a jejich občany. Podle stanoviska, které dnes jednomyslně přijal Evropský výbor regionů (VR), není jejich pozitivní dopad náležitě uznáván a účelem tohoto stanoviska je na tyto projekty upozornit. [SMO ČR]

Ministerstvo financí zveřejnilo aktuální Standard finanční gramotnosti, který stanovuje cílovou úroveň finanční gramotnosti pro žáky základních a středních škol. [MF ČR]

Novelizované zákony, vyhlášky a nařízení, které vstupují v platnost v týdnu
od 24.7. do 30.7.2017

Poznámka: Tento materiál je informačním produktem. Za jakékoli použití informací z tohoto materiálu  nenese autor žádnou odpovědnost. Tyto informace jsou pouze doporučením a vyjádřením názoru k této tématice. Nepřísluší nám autoritativně vykládat právní předpisy. Jediným, kdo tak může učinit v jednotlivých příkladech je soud při řešení konkrétního případu. V textu mohou být použity odkazy či parafrázovány citace z judikatur, odborných článků, prací, knih apod. třetích osob, které jsou veřejně dostupné.​​