Neprístupný dokument, nutné prihlásenie
Input:

Analýza rizik zpracování osobních údajů podle GDPR

1.3.2018, , Zdroj: Verlag Dashöfer

13.8 Analýza rizik zpracování osobních údajů podle GDPR

PaedDr. František Havelka, PhD.

Informácie platné podľa legislatívy v ČR!

Analýza rizik zpracování osobních údajů

Název školy nebo školského zařízení podle zřizovací listiny

Analýza je strukturována do těchto částí:

1. analýza informací;

2. kritéria pro posouzení rizik, zhodnocení rizik pro jednotlivé druhy zpracování;

3. posouzení vlivu na ochranu osobních údajů;

4. jmenování správce GDPR;

5. doporučení organizačních a technických opatření z pohledu analýzy

1. Analýza informací

Základní údaje: Název školy nebo školského zařízení podle zřizovací listiny, IČ, Sídlo organizace (dále jako „škola”).

Zaměření školy: poskytování vzdělávání.

Kategorie subjektů údajů:

a) uchazeči o zaměstnání;

b) zaměstnanci školy;

c) uchazeči o vzdělávání;

d) žáci;

e) zákonní zástupci nezletilých žáků.

Zpracovávané osobní údaje (kategorie):

a) u uchazečů o zaměstnání škola zpracovává osobní údaje nezbytné k vzniku pracovního poměru;

b) u zaměstnanců školy škola zpracovává osobní údaje nezbytné k realizaci pracovní smlouvy a z ní vyplývajících práv a povinností zaměstnavatele;

c) u uchazečů o vzdělávání škola zpracovává údaje nezbytné k přijetí uchazeče ke vzdělávání;

d) u žáků škola zpracovává …

e) u zákonných zástupců nezletilých žáků škola zpracovává … .

Žádné ze zpracovávaných osobních údajů nespadají do zvláštní kategorie osobních údajů ve smyslu čl. 9 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále jen GDPR). Výjimku představují nanejvýš osobní údaje zaměstnanců vyžadované právními předpisy za účelem plnění zákonných povinností zaměstnavatele (např. údaje o zdravotním stavu zaměstnanců).

Účely zpracování osobních údajů:

a) osobní údaje uchazečů o zaměstnání škola zpracovává za účelem vzniku pracovního poměru;

b) osobní údaje zaměstnanců škola zpracovává za účelem realizace pracovního vztahu a plnění povinností zaměstnavatele na základě právního titulu plnění smlouvy a plnění zákonné povinnosti;

c) osobní údaje uchazečů o vzdělávání škola zpracovává údaje nezbytné k přijetí uchazeče ke vzdělávání;

d) osobní údaje žáků škola zpracovává ………..,

e) osobní údaje zákonných zástupců nezletilých žáků škola zpracovává ………,

f) osobní údaje zaměstnanců a žáků školy za účelem propagace činnosti školy na základě získaného souhlasu subjektu údajů.

Počet zaměstnanců:

Škola zaměstnává v hlavním pracovním poměru ….. pedagogických pracovníků a ….. zaměstnanců na hlavní pracovní poměr. Zaměstnanci školy jsou prokazatelně seznámeni s pravidly nakládání s osobními údaji a jejich ochranou.

Přístup k osobním údajům:

Osobní údaje zaměstnanců zpracovává ředitel, zástupce ředitele, ekonomka a účetní školy, přístup k nim však mají v případě údajů o uchazečích o studium, žácích a zákonných zástupcích žáků v omezené míře všichni pedagogičtí pracovníci školy.

Způsob evidence a skladování osobních údajů:

Škola má vlastní interní server, na který se ukládají osobní údaje zpracovávané elektronickým způsobem. Zaměstnanci s osobními údaji pracují i na počítačích zabezpečených heslem. Osobní údaje zpracovávané v listinné podobě jsou ukládány v kanceláři školy, ředitelně, v archivu v oddělené místnosti, která je uzamykatelná. Klíče od ní mají ………………………………………..

Kategorie příjemců osobních údajů:

Osobní údaje uchazečů o zaměstnání, žáků, zákonných zástupců nezletilých žáků nejsou předávány třetím osobám. Výjimku představují osoby, kterým má společnost zákonnou povinnost osobní údaje příslušných fyzických osob předat (např. povinnost zaměstnavatele předávat osobní údaje příslušné zdravotní pojišťovně na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, a dále osoby pověřené řešením případných sporů.

Osobní údaje zaměstnanců školy jsou předávány v nezbytně nutné míře společnosti ………………., která zajišťuje zpracování podkladů pro výplatu platů.

2. Kritéria pro posouzení rizik, zhodnocení rizik pro jednotlivé druhy zpracování

Na základě shora uvedených informací můžeme rozlišit následující základní druhy zpracování osobních údajů společností:

a) zpracování osobních údajů uchazečů o zaměstnání

b) zpracování osobních údajů zaměstnanců v rámci pracovních poměrů;

c) zpracování osobních údajů uchazečů o vzdělávání;

d) zpracování osobních údajů žáků;

e) zpracování osobních údajů zákonných zástupců nezletilých žáků

f) zpracování osobních údajů zaměstnanců a žáků školy na základě získaného souhlasu subjektu osobních údajů se zpracováním těchto údajů.

Za základní z hlediska posouzení rizika zpracování osobních údajů považujeme tyto oblasti:

a) identifikace hrozeb spojených se zpracováním;

b) identifikace potenciální újmy dotčených osob spojené se zpracováním jejich osobních údajů;

c) zhodnocení pravděpodobnosti, že újma vznikne, posouzením slabých míst systémů a procesů zpracování oproti povaze hrozby;

d) zhodnocení závažnosti potenciální újmy, pokud by vznikla.

Posouzení hrozeb spojených se zpracováním osobních údajů uchazečů o zaměstnání:

Podklady k výběrovému řízení pro uchazeče o zaměstnání předcházející vznik pracovního poměru jsou dodávány škole v převažující míře v písemné podobě. Pokud budou dodržena všechna pravidla nakládání s osobními údaji a písemnostmi (skladování v uzamykatelných prostorách, zajištění přístupu k osobním údajům pouze oprávněným osobám …), je míra rizika velmi nízká. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Potenciální újma způsobená subjektům údajů v případě narušení bezpečnosti je středně závažná. V případě, že škola bude dodržovat nastavené zabezpečení a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Posouzení hrozeb spojených se zpracováním osobních údajů zaměstnanců, uchazečů o vzdělávání, žáků a zákonných zástupců nezletilých žáků:

Stěžejní hrozbou je porušení zabezpečení osobních údajů (narušení systému apod.), v jehož důsledku hrozí únik dat. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Potenciální újma způsobená subjektům údajů v případě narušení bezpečnosti je středně závažná. V případě, že společnost bude dodržovat nastavené zabezpečení (viz doporučení IT specialisty) a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Další hrozby může představovat zpracování osobních údajů v rozporu se zásadou zákonnosti či nevhodné zpracování osobních údajů (vzhledem k očekávatelnosti zpracování ze strany subjektů údajů). Tím by mohlo dojít k újmě subjektů údajů spočívající v omezení kontroly svých osobních údajů. Tuto potenciální újmu lze hodnotit jako středně závažnou. Míra pravděpodobnosti vzniku újmy je však s ohledem na počet osob zapojených do zpracování (pouze vybraní zaměstnanci společnosti) a zavedená opatření společnosti nízká.

Ve vztahu k samotným zaměstnancům nejsou shledány další podstatné hrozby zpracování osobních údajů, jelikož přesnost osobních údajů je průběžně kontrolována a na tuto oblast se vztahuje informační povinnost zaměstnance vůči zaměstnavateli.

Posouzení hrozeb spojených se zpracováním osobních údajů zaměstnanců, uchazečů o vzdělávání, žáků, zákonných zástupců nezletilých žáků:

Stěžejní hrozbou je porušení zabezpečení osobních údajů (narušení systému apod.), v jehož důsledku hrozí únik dat. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Potenciální újma způsobená subjektům údajů v případě narušení bezpečnosti je s ohledem na objem a charakter poskytovaných údajů od dodavatelů nízká. V případě, že společnost bude dodržovat nastavené zabezpečení (viz doporučení IT specialisty) a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Posouzení hrozeb spojených se zpracováním osobních údajů subjektů osobních údajů:

Stěžejní hrozbou je porušení zabezpečení osobních údajů (narušení systému apod.), v jehož důsledku hrozí únik dat. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Tuto potenciální újmu lze s ohledem na objem zpracovávaných osobních údajů a jejich citlivost považovat za středně závažnou. V případě, že společnost bude dodržovat nastavené zabezpečení (viz doporučení IT specialisty) a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Další hrozby může představovat zpracování osobních údajů v rozporu se zásadou zákonnosti či nevhodné zpracování osobních údajů (vzhledem k očekávatelnosti zpracování ze strany subjektů údajů). Tím by mohlo dojít k újmě subjektů údajů spočívající v omezení kontroly svých osobních údajů. Tuto potenciální újmu však nelze s ohledem na objem zpracovávaných osobních údajů a jejich citlivost považovat za vysoce závažnou. Míra pravděpodobnosti vzniku újmy je s ohledem na počet osob zapojených do zpracování (pouze zaměstnanci společnosti, nikoli třetí strany) a zavedená opatření společnosti nízká.

Dále je třeba vzít v úvahu možnost zpracovávání neaktuálních či nepřesných údajů a hrozbu spočívající ve znemožnění či ztížení uplatnění práv subjektů údajů. Společnost má nastavený mechanismus odesílání vyplněných informací přímo na server společnosti, kdy subjekty údajů mají možnost zadávané osobní údaje kontrolovat ve vztahu ke každé objednávce (při vyplňování objednávky, příp. správě uživatelského účtu). Zpracování neaktuálních či nepřesných údajů v souvislosti se samotným vedením uživatelského účtu a se zasíláním obchodních sdělení pak nepředstavuje pro subjekty údajů prakticky žádnou újmu.

Doporučená organizační a technická opatření ke zmírnění rizik:

a) spolehlivé zabezpečení serveru a prostor sloužících ke skladování osobních údajů fyzických osob;

b) vytvoření systému interních směrnic vztahující se na oblast ochrany osobních údajů (pravidla pro zacházení s osobními údaji, jejich archivaci a likvidaci);

c) uložení povinnosti mlčenlivosti ohledně osobních údajů fyzických osob všem zaměstnancům společnosti;

d) jasná vnitřní organizace společnosti a přizpůsobení přístupu jednotlivých zaměstnanců k osobním údajům fyzických osob v návaznosti na jejich náplň práce;

e) pravidelné školení zaměstnanců v oblasti ochrany osobních údajů.

Adekvátnost technických opatření společnosti zhodnotí IT specialista.

3. Posouzení vlivu na ochranu osobních údajů

Pro splnění povinnosti správce osobních údajů provést posouzení vlivu na ochranu osobních údajů ve smyslu čl. 35 GDPR je třeba zvážit tato kritéria:

a) Citlivé údaje nebo údaje vysoce osobní povahy společnost nezpracovává/zpracovává v tomto rozsahu.

b) Dle počtu dotčených subjektů údajů, objemu údajů (jméno, příjmení, adresa, kontakty), délce prováděného zpracování údajů a zeměpisného rozsahu nelze zpracování osobních údajů shledat jako rozsáhlé.

c) Škola nezpracovává poskytnuté osobní údaje způsobem, který by přesahoval přiměřené očekávání subjektů údajů. Škola řádně plní informační povinnost a poučuje v rámci podmínek ochrany osobních údajů subjekty údajů o jejich právech a způsobech jejich uplatnění.

d) Používání IT technologií nebo organizačních řešení není v daném případě kritériem zvyšující rizikovost zpracování osobních údajů. Školou používané systémy jsou pečlivě vybírány a testovány tak, aby bylo zabezpečení osobních údajů adekvátní riziku, které je zhodnoceno jako střední.

e) Zpracování osobních údajů společností nebrání či neztěžuje subjektům údajů uplatnění některých z jejich práv nebo používání některé služby či smlouvy.

4. Ze zákona vyplývá škole jako správce osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů.

5. Doporučení organizačních a technických opatření z pohledu analýzy

a) Kontrola a aktualizace interních směrnic.

b) Pravidelné proškolování a kontrola zaměstnanců, přicházejících do styku se zpracováním osobních údajů, seznámení s interními směrnicemi.

c) Zakotvení povinnosti mlčenlivosti zaměstnanců ohledně osobních údajů fyzických osob a jejich osobních údajů, s nimiž se setkají při výkonu své práce.

d) Kontrola a aktualizace souhlasu subjektů osobních údajů se zpracováním osobních údajů.

e) Kontrola a aktualizace zpracovatelských smluv v případě poskytování údajů třetím subjektům.

f) Kontrola úplnosti a oprávněnosti zpracovávání osobních údajů.

g) Kontrola a aktualizace zabezpečení výpočetní techniky.

h) Kontrola a pravidelná aktualizace a výměna počítačových hesel.

i) Posouzení adekvátnosti přijatých opatření IT specialistou.

Seznam vybraných základních právních předpisů:

  • - Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
  • - Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
  • - Zákon č. 499/2004 Sb., o archivnictví a spisové službě ve znění pozdějších předpisů
  • - Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby, ve znění pozdějších předpisů
  • - Zákon č. 89/2012 Sb., občanský zákoník ve znění pozdějších změn a dodatků
  • - Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), v platném znění
  • - Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších změn a dodatků
  • - Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, v platném znění
  • - Zákon č. 435/2004 Sb., o zaměstnanosti, v platném znění
  • - Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších změn a dodatků
  • - Zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon)
  • - Zákon č. 563/2004 Sb., o pedagogických pracovnících a o změně některých zákonů
  • - Vyhláška č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení a školní matriky a o předávání údajů z dokumentace škol a školských zařízení a ze školní matriky (vyhláška o dokumentaci škol a školských zařízení)
  • - Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství, dostupná na http://www.msmt.cz/file/44592/
 
 Váš názor
Čo by ste zmenili na tomto portáli?
 Úspešne odoslané
Input: