Implementace GDPR pro Statutární město Kladno
Aktualizováno: 18.11.2024
Zajistili jsme implementaci shody GDPR na městském úřadu. Díky systému EFFIT byl sběr dat rychlý a přehledný.
Implementace GDPR
2018
Náš klient
Městský úřad Statutárního města Kladna s více jak 350 zaměstnanci, kteří denně zpracovávají stovky osobních údajů.
Potřeba klienta
- Kladno požadovalo provedení Analýzy GDPR
- Zpracování návrhu dokumentace pro ochranu osobních údajů
- Metodická pomoc, školení vedoucích zaměstnanců, prezentace výstupů analýzy
Jak projekt probíhal
Po uzavření smlouvy s klientem následovala iniciační schůzka, na které jsme prezentovali základní změny v oblasti osobních údajů a dále pak jednotlivé kroky směrující k naplnění GDPR. Klientovi jsme prezentovali blokové schéma postupu.
Blok A: Analýza dopadů
- Základní audit řízení IT
- Datová inventura
- Audit zabezpečení
Blok B: Návrh opatření
- Technické opatření
- Organizační opatření
- Smluvní opatření
Blok C: Realizace
- Schválení opatření
- Realizace opatření
Na iniciační schůzce, kde byli již přizváni garanti jednotlivých agend, jsme vysvětlili nejvíce náročnou část celé analýzy, a to datovou inventuru. Prezentovali jsme naši představu, kdy na schůzku již přijdeme s jednotlivými návrhy zpracování v rámci jejich agend a na schůzce probereme detaily a případně doplníme i námi neidentifikované zpracování osobních údajů. Celkem jsme připravili 115 zpracování.
Celkově proběhlo přibližně 30 schůzek nad jednotlivými agendami, kdy každá z nich trvala 2-3 hodiny dle náročnosti. Ve stejnou dobu z důvodu zrychlení probíhaly na městě 2 schůzky paralelně.
Evidovali jsme zpracování v rámci systému EFFIT a rovnou jsme i řešili formu osobních údajů tzn. zda jsou data zpracovávány v elektronické podobě a v jakém systému případně zda jsou data v papírové podobě a kde se nacházejí a jak je daná oblast zabezpečena. Po ukončení datové inventury jsme evidovali celkem 135 zpracování.
Na meetingu s IT jsme procházeli úroveň stávajícího zabezpečení informačních systémů a zdali jsou již připraveny na potřeby GDPR.
V následujícím bloku jsme navrhli potřebná zabezpečení vždy v závislosti na klasifikace osobních údajů a doporučili jsme příslušné pasáže do smluvních ujednání. V tomto bloku jsme také navrhli směrnici o zpracování osobních údajů.
V rámci posledního bloku jsme proškolili vedoucí pracovníky a představili si jednotlivé výstupy a změny v rámci jejich pracovních postupů.
Časová osa projektu
- 04/2018 – podpis smlouvy
- 05/2018 – start projektu
- 06,7/2018 – datová inventura
- 08/2018 – předání hlavních výstupů
- 09/2018 – školení a uzavření projektu
„Spolupráce s dodavatelem na auditu byla efektivní. Datová analýza postupovala rychle dopředu a agendy se nám pomalu zavírali.“
Petr Jorg, vedoucí oddělení řízení bezpečnostních rizik
Náročnost pro klienta
- Jednotky hodin pro garanty jednotlivých agend v rámci datové analýzy
- Deset hodin pro IT a bezpečnostního specialistu
- Připomínky k hlavním dokumentům (směrnice, dodatky smluv)
- 2 hodiny vedoucích pracovníků na představení výstupů a školení
- 2 hodiny zaměstnanců na školení GDPR a na provedení výstupního testu
Klíčové přínosy očima klienta
- Meetingy s garanty agend namísto zaslání dotazníku
- Efektivní sběr dat v rámci systému EFFIT
- Komplexita navrhovaného řešení
- Znalost procesů v rámci městského úřadu
Výstupy v rámci analýzy GDPR:
- Pro případnou kontrolu dozorového úřadu:
- Záznamy o činnostech zpracování
- Dokument prokazující shodu s GDPR
- Směrnice na ochranu osobních údajů
- Informační povinnost – veřejnost
- Informační povinnost – zaměstnanci
- Návrh souhlasů - fotografie
- Školení zaměstnanců – certifikáty
- Interní dokumenty SMK:
- Analýza dopadů GDPR na organizaci
- Detailní informace o zpracování osobních informací v rámci SMK
- GAP analýza
- Riziková analýza
- Přehled doporučených opatření
- Desatero základních informací k GDPR
