Metodika MVČR pro GDPR při výkonu spisové služby - desatero MVČR

Ministerstvo vnitra vydalo pro potřeby veřejnoprávních původců dokumentů ve smyslu zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, metodický pokyn "Ochrana osobních údajů při výkonu spisové služby, zejména v informačních systémech spravujících dokumenty u veřejnoprávních původců".

Důvodem jeho vydání je povinnost každého původce dodržovat všechny požadavky příslušných právních předpisů na ochranu osobních údajů a zabezpečit jejich realizaci prostřednictvím vnitřních opatření. Metodický návod doporučuje původcům postup při prověřování, zdali užívané systémy spisové služby splňují kritéria pro ochranu osobních údajů podle požadavků příslušných právních předpisů.

Desatero MVČR pro GDPR - co je třeba udělat:

  1. Analýzu činností původce souvisejících s informacemi (zejména pak s osobními údaji) - zjištění agend a systémů, ve kterých se vyskytují osobní údaje (vedení seznamu o činnostech zpracování); možnost využít obdobnou analýzu provedenou v organizaci z důvodu zákona o kybernetické bezpečnosti.
  2. Analýzu právních předpisů, na základě jejichž zmocnění shromažďujeme údaje (případně souhlas subjektu údajů, smlouva, plnění veřejného zájmu atp.).
  3. Stanovení postupů a politiky ochrany - analýza přístupových oprávnění, bezpečnosti uložení (dokumentů, spisů, systémů, informací).
  4. Proškolení zaměstnanců - správná správa hesel, řádné návyky zaměstnanců, nastavení odpovědnosti, procesy při ukončení pracovního / služebního poměru, pracovní náplně odpovídající práci s osobními údaji atp. GDPR se netýká „jen personalistů!
  5. Revizi pracovních smluv se zaměstnanci, doplnění doložky o ochraně osobních údajů.
  6. Revizi spisového řádu (doplnit všechny evidence vedené u původce) a revize spisového a skartačního plánu (provést revizi skartačních lhůt z hlediska zákonného zmocnění a skutečné provozní potřebnosti).
  7. Revizi výkonu spisové služby - informačního systému spravujícího dokumenty (ISSD) a dalších evidencí s osobními údaji a přijetí opatření.
  8. Ověření správy dat a jejich záloh (v případě externího dodavatele prověření smluv a ošetření ochrany osobních údajů ve smlouvách).
  9. Přípravu procesů včetně šablon odpovědí a nastavení lhůt vyřízení podání, která přijdou podle GDPR (čl. 12 až 22 a 34 GDPR).
  10. Stanovení postupů pro detekování bezpečnostních incidentů a řešení porušení zabezpečení (kdo odpovídá za nahlášení incidentu, kam oznamuji, komu atp.).



Přiložené soubory


15.01.2018 (autor Redakce)





Související

Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů

Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za...

 vydáno 12.08.2020 
Téma: GDPR a IT systémy

Úřad zaktualizoval dokument k povinnosti správců provádět DPIA

Úřad pro ochranu osobních údajů připravil aktualizovanou verzi dokumentu „K povinnosti správců provádět...

 vydáno 09.01.2020 
Téma: Dokumentace GDPR

ÚOOÚ uspořádal Den menších správců

Úřad pro ochranu osobních údajů uspořádal další akci pro veřejnost. Tentokrát se zaměřil na menší správce...

 vydáno 16.12.2019 
Téma: Vzdělávání



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, povinnost vést záznamy o činnostech zpracování se na Vás vztahovat bude. Jednak bude nutné mít se všemi správci, pro které osobní...

Odpovídá Ing. Vladimír Paclík
Dobrý den, požadavky Obecného nařízení se týkají všech subjektů, které zpracovávají osobní údaje - tedy i malých stavebních firem. Primární je...

Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...



www.helpgdpr.cz
© Copyright 2000 - 2022, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz