Metodika MVČR pro GDPR při výkonu spisové služby - desatero MVČR

Ministerstvo vnitra vydalo pro potřeby veřejnoprávních původců dokumentů ve smyslu zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, metodický pokyn "Ochrana osobních údajů při výkonu spisové služby, zejména v informačních systémech spravujících dokumenty u veřejnoprávních původců".

Důvodem jeho vydání je povinnost každého původce dodržovat všechny požadavky příslušných právních předpisů na ochranu osobních údajů a zabezpečit jejich realizaci prostřednictvím vnitřních opatření. Metodický návod doporučuje původcům postup při prověřování, zdali užívané systémy spisové služby splňují kritéria pro ochranu osobních údajů podle požadavků příslušných právních předpisů.

Desatero MVČR pro GDPR - co je třeba udělat:

1. Analýzu činností původce souvisejících s informacemi (zejména pak s osobními údaji) - zjištění agend a systémů, ve kterých se vyskytují osobní údaje (vedení seznamu o činnostech zpracování); možnost využít obdobnou analýzu provedenou v organizaci z důvodu zákona o kybernetické bezpečnosti.
2. Analýzu právních předpisů, na základě jejichž zmocnění shromažďujeme údaje (případně souhlas subjektu údajů, smlouva, plnění veřejného zájmu atp.).
3. Stanovení postupů a politiky ochrany - analýza přístupových oprávnění, bezpečnosti uložení (dokumentů, spisů, systémů, informací).
4. Proškolení zaměstnanců - správná správa hesel, řádné návyky zaměstnanců, nastavení odpovědnosti, procesy při ukončení pracovního / služebního poměru, pracovní náplně odpovídající práci s osobními údaji atp. GDPR se netýká „jen personalistů!
5. Revizi pracovních smluv se zaměstnanci, doplnění doložky o ochraně osobních údajů.
6. Revizi spisového řádu (doplnit všechny evidence vedené u původce) a revize spisového a skartačního plánu (provést revizi skartačních lhůt z hlediska zákonného zmocnění a skutečné provozní potřebnosti).
7. Revizi výkonu spisové služby - informačního systému spravujícího dokumenty (ISSD) a dalších evidencí s osobními údaji a přijetí opatření.
8. Ověření správy dat a jejich záloh (v případě externího dodavatele prověření smluv a ošetření ochrany osobních údajů ve smlouvách).
9. Přípravu procesů včetně šablon odpovědí a nastavení lhůt vyřízení podání, která přijdou podle GDPR (čl. 12 až 22 a 34 GDPR).
10. Stanovení postupů pro detekování bezpečnostních incidentů a řešení porušení zabezpečení (kdo odpovídá za nahlášení incidentu, kam oznamuji, komu atp.).

• Metodická podpora a konzultace MVČR