GDPR
GDPR – Prověření a vyhodnocení dodržování ochrany osobních údajů
Správce
Podkrušnohorské domovy sociálních služeb Dubí – Teplice, příspěvková organizace, Na Výšině 494, 417 01 Dubí
Hodnocené období
od 25.5. 2018 – 31. 3. 2020
Hodnocení provedl
Ing. Josef Žid, manager SQSS
Oblasti prověření
- Ověření úplnosti procesů nastavených v rámci činností případně (záznamy o činnostech zpracování)
- Ověření seznámení podřízených zaměstnanců úseku s vnitřním předpisem o ochraně osobních údajů.
- Předložení vzorů souhlasů se zpracováním osobních údajů (pokud existují a jsou používány) všechny, které v zařízení jsou, byly předány ke kontrole.
- Zveřejnění Podmínek ochrany osobních údajů na webu.
- Kontrola dodržování nastavených procesů, rozhovory s jednotlivými pracovníky. Zpětná vazba – náměty a připomínky.
Datum prověření
31.3.2020
Auditor
Ing. Josef Žid, manager SQSS
Za auditovanou str.
PhDr. Jaroslav Zeman, ředitel
Zpráva z auditu bude předložena následujícím osobám: PhDr. Jaroslav Zeman, ředitel
Kritéria hodnocení:
1. Souhrn nejdůležitějších opatření v oblasti ochrany osobních údajů
V souvislosti se zavedením GDPR od 25. 5. 2018 správce – Podkrušnohorské domovy sociálních služeb Dubí Teplice, příspěvková organizace (dále jen PDSS) zavedl níže uvedená technická a organizační opatření tak, aby zajistil a byl schopen doložit, že zpracování osobních údajů je prováděno v souladu s nařízením GDPR a platné legislativy ČR:
- Směrnice č.10/2018 o ochraně osobních údajů
- Směrnice č.10/2018, Příloha č. 1 – Formulář hlášení porušeni zabezpečeni OÚ
- Směrnice č.10/2018, Příloha č. 2 – GDPR-písemný souhlas zaměstnance
- Směrnice č.10/2018, Příloha č. 3 – GDPR-písemný souhlas kontaktní osoby
- Audit – zhodnocení dosavadního stavu zpracování osobních údajů ve vztahu k požadavkům nařízení GDPR
- Jmenování pověřence pro ochranu osobních údajů / dále jen DPO/
- Oznámení DPO Úřadu pro ochranu osobních údajů / dále jen ÚOOÚ/
- Směrnice č. 10/2018, Organizační směrnice ředitele PDSS o ochraně osobních údajů
- Katalog rizik – ochrana osobních údajůPracovní smlouva – doplněná o GDPR
- Informace o zpracování osobních údajů zaměstnanců PDSS
- Písemné prohlášení zaměstnance o udělení výslovného souhlasu se zpracováním osobních údajů
- Písemné prohlášení uchazeče o zaměstnání o udělení výslovného souhlasu se zpracováním svých osobních údajů
- Smlouva o poskytnutí sociální služby v PDSS rozšířená o GDPR
- Informace o zpracování osobních údajů klientů PDSS
- Písemné prohlášení uživatele o udělení výslovného souhlasu se zpracováním svých osobních údajů
- Písemné prohlášení kontaktní osoby o udělení výslovného souhlasu se zpracováním svých osobních údajů
- Žádost o poskytnutí sociální služby rozšířená o GDPR
- Záznamy o zpracování
- Zpracovatelská smlouva rozšíření o GDPR – účetnictví
2. Informace o případném rozšíření nebo zúžení osobních údajů
| - | nebylo v hodnoceném období zaznamenáno | |
| - | nebylo v hodnoceném období zaznamenáno | |
3. Vyhodnocení porušení zásad spojených s ochranou osobních údajů
- nebylo zjištěno závažné porušení, v průběhu kontrol odstraněno na místě (neuzamčené skříňky na pracovištích PSS s individuálními plány)
4. Ohlašovací povinnost případů porušení zabezp. os. údajů dozorovému úřadu
dle čl. 33 odst. 1 nařízení GDPR
- nebylo
5. Oznamování případů porušení zabezpečení osobních údajů subjektu údajů d
le čl. 34 odst. 1 nařízení GDPR
- nebylo
6. Nová opatření přijatá v souvislosti s ochranou osobních údajů
- S ukončením jmenovaní pověřence pro ochranu osobních údajů a přiřazením této problematiky do pracovní náplně managera SQSS od 1. 10. 2018, došlo k přepracování některých dokumentů odkazujících na osobu DPO. Dále došlo k dopracování dalších dokumentů :
Směrnice č. 04/2020 - O ochraně osobních údajů nahrazující směrnici číslo 10/2018
Zobrazit
- Příloha č. 01 - Ke směrnici č. 04/2020 - Oznámení porušení ochrany osobních údajů
Zobrazit
- Příloha č. 02 - Ke směrnici č. 04/2020 - Písemné prohlášení kontaktní osoby o udělení výslovného souhlasu se zpracováním svých osobních údajů
Zobrazit
- Příloha č. 03 - Ke směrnici č. 04/2020 - Písemné prohlášení zaměstnance o udělení výslovného souhlasu se zpracováním svých osobních údajů
Zobrazit
Směrnice č. 05/2020 - O bezpečném používání a manipulace s informačními technologiemi v rámci PDSS
Směrnice č. 06/2020 – Zásady zpracování osobních údajů v PDSS
Dále došlo k dopracování podpisové doložky do služební pošty:
"Tato zpráva a všechny připojené soubory jsou důvěrné a určené výlučně adresátovi(-ům) a může obsahovat informace, které jsou předmětem obchodního tajemství ve smyslu § 17 zákona č. 513/1991 Sb., obchodní zákoník. Jestliže nejste oprávněným adresátem, je zakázáno jakékoliv zveřejňování, zprostředkování nebo jiné použití těchto informací. Jestliže jste tento mail dostali neoprávněně, prosím, uvědomte odesilatele a smažte zprávu i přiložené soubory. Odesilatel nezodpovídá za jakékoliv chyby nebo opomenutí způsobené tímto přenosem. Sdělení, která jsou předmětem tohoto e-mailu, mají pouze informativní charakter. Text sdělení není právně závazný a nepředstavuje nabídku k uzavření smlouvy ani změnu dříve uzavřené smlouvy. Jakákoliv dohoda, smlouva nebo dodatek mezi odesílatelem a příjemcem musí být uzavřeny v písemné podobě a vlastnoručně podepsány. Pokud si přejete uzavřít závaznou smlouvu, kontaktujte odesílatele tohoto e-mailu."
Toto proběhlo v průběhu roku 2019.
Ve spolupráci s poskytovatelem webové stránky PDSS došlo k dopracování všech potřebných nástrojů pro možnost čtení pro osoby zdravotně postižené – neslyšící, nevidomé v souladu se všemi doporučeními GDPR. Toto proběhlo v průběhu roku 2019.
7. Závěrečné zhodnocení a doporučení dodržování GDPR v PDSS
Od počátku účinnosti směrnice č. 10/2018 – o ochraně osobních údajů byla prováděna opatření k zajištění dokumentace obsahující citlivé údaje. Dovybavení uzamykatelných skříní na všech ambulancích a odpočinkových místnostech PSS ve všech třech domovech PDSS.
V průběhu prováděných kontrol bylo zpočátku zjišťováno pochybení ze strany zaměstnanců ve smyslu nezamykání dveří do místností či skříněk s dokumentací, avšak v průběhu následných kontrol byla tato pochybení postupně odstraňována. Stejná pochybení byla zpočátku shledávána v některých kancelářích, avšak i toto se postupně podařilo téměř odstranit a nastolit tzv. techniku čistého stolu. Přesto však doporučuji v těchto kontrolách i nadále pokračovat.
V rámci směrnice číslo 5/2020 o bezpečném používání a manipulace s informačními technologiemi v rámci PDSS doporučuji dokoupit a doinstalovat označení kamer ve veřejném prostoru. V roce 2019 byl dán požadavek na dokoupení těchto informačních štítků, avšak dosud nebyl realizován.
Byly prověřeny všechny známé činnosti, při kterých dochází ke zpracování osobních údajů.
Byly opraveny údaje za současně platné.
Systém Cygnus byl prověřen a bylo zjištěno, že je využíván v max. možné míře.
Bylo zkontrolováno vedení dokumentace podle právních předpisů v rozsahu oprávnění nakládání s o.ú.
U uchazečů o zaměstnání byly prověřeny souhlasy se zpracováním osobních údajů na dobu nezbytně nutnou pro obsazení pracovního místa nejdéle však 1 rok.
Dále byly prověřeny odkazy na Podmínky ochrany osobních údajů uvedené na webových stránkách.
V některých dokumentech byly zjištěny odkazy na zákon č. 101/2001 Sb. – bylo odstraněno, dokumenty přepracovány (Jednání se zájemcem o sociální službu).
Provedena kontrola IS pro zpracování mezd a personalistiku (název IS a firmu, ověřeno, že data ze systémů jsou uložena pouze v organizaci a nikoliv na serveru poskytovatele mzdového systému.
ADMINISTRATIVA – problém je ve využívání spisové služby Ústeckého kraje. Toto není ošetřeno smlouvou. Správce osobních údajů je PDSS a zpracovatelem vzhledem k uložení dat je Ústecký kraj – ne-li společnost provozující systém e-spis Lite, v jejíž licenci se spisová služba provozuje. (Na stránce Úřadu pro ochranu osobních údajů je uvedeno stanovisko k této věci cit.: „Kdo je typickým zpracovatelem v oblasti dodávek služeb IT? Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).“ Viz odkaz : https://www.uoou.cz/zpracovatel/d-29316/p1=4753 Před vypuknutím pandemie bylo vedeno jednání s Ústeckým krajem, zatím bez výsledku. Budeme to společně dále sledovat.
SOCIÁLNÍ SLUŽBY – v nových smlouvách s klientem bylo prověřováno, zda se nevyskytují odkazy na zákon č. 101/2001 Sb. V několika případech bylo zjištěno, že ano – bylo odstraněno a nahrazeno odkazem na Obecné nařízení GDPR.
Zaměstnanci byli prokazatelně seznámeni s vnitřní směrnicí o ochraně osobních údajů.
V Dubí 31.3.2020
Hodnocení provedl:
Ing. Josef Žid
manažér SQSS
Schválil:
PhDr. Jaroslav Zeman
ředitel