Nepřístupný dokument, nutné přihlášení
Input:

Analýza rizik zpracování osobních údajů podle GDPR

1.3.2018, , Zdroj: Verlag Dashöfer

2.1.8.5.8
Analýza rizik zpracování osobních údajů podle GDPR

PaedDr. František Havelka, PhD.

Analýza rizik zpracování osobních údajů

Název školy nebo školského zařízení podle zřizovací listiny

Analýza je strukturována do těchto částí:

1. analýza informací;

2. kritéria pro posouzení rizik, zhodnocení rizik pro jednotlivé druhy zpracování;

3. posouzení vlivu na ochranu osobních údajů;

4. jmenování správce GDPR;

5. doporučení organizačních a technických opatření z pohledu analýzy

1. Analýza informací

Základní údaje: Název školy nebo školského zařízení podle zřizovací listiny, IČ, Sídlo organizace (dále jako „škola”).

Zaměření školy: poskytování vzdělávání.

Kategorie subjektů údajů:

a) uchazeči o zaměstnání;

b) zaměstnanci školy;

c) uchazeči o vzdělávání;

d) žáci;

e) zákonní zástupci nezletilých žáků.

Zpracovávané osobní údaje (kategorie):

a) u uchazečů o zaměstnání škola zpracovává osobní údaje nezbytné k vzniku pracovního poměru;

b) u zaměstnanců školy škola zpracovává osobní údaje nezbytné k realizaci pracovní smlouvy a z ní vyplývajících práv a povinností zaměstnavatele;

c) u uchazečů o vzdělávání škola zpracovává údaje nezbytné k přijetí uchazeče ke vzdělávání;

d) u žáků škola zpracovává …

e) u zákonných zástupců nezletilých žáků škola zpracovává … .

Žádné ze zpracovávaných osobních údajů nespadají do zvláštní kategorie osobních údajů ve smyslu čl. 9 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále jen GDPR). Výjimku představují nanejvýš osobní údaje zaměstnanců vyžadované právními předpisy za účelem plnění zákonných povinností zaměstnavatele (např. údaje o zdravotním stavu zaměstnanců).

Účely zpracování osobních údajů:

a) osobní údaje uchazečů o zaměstnání škola zpracovává za účelem vzniku pracovního poměru;

b) osobní údaje zaměstnanců škola zpracovává za účelem realizace pracovního vztahu a plnění povinností zaměstnavatele na základě právního titulu plnění smlouvy a plnění zákonné povinnosti;

c) osobní údaje uchazečů o vzdělávání škola zpracovává údaje nezbytné k přijetí uchazeče ke vzdělávání;

d) osobní údaje žáků škola zpracovává ………..,

e) osobní údaje zákonných zástupců nezletilých žáků škola zpracovává ………,

f) osobní údaje zaměstnanců a žáků školy za účelem propagace činnosti školy na základě získaného souhlasu subjektu údajů.

Počet zaměstnanců:

Škola zaměstnává v hlavním pracovním poměru ….. pedagogických pracovníků a ….. zaměstnanců na hlavní pracovní poměr. Zaměstnanci školy jsou prokazatelně seznámeni s pravidly nakládání s osobními údaji a jejich ochranou.

Přístup k osobním údajům:

Osobní údaje zaměstnanců zpracovává ředitel, zástupce ředitele, ekonomka a účetní školy, přístup k nim však mají v případě údajů o uchazečích o studium, žácích a zákonných zástupcích žáků v omezené míře všichni pedagogičtí pracovníci školy.

Způsob evidence a skladování osobních údajů:

Škola má vlastní interní server, na který se ukládají osobní údaje zpracovávané elektronickým způsobem. Zaměstnanci s osobními údaji pracují i na počítačích zabezpečených heslem. Osobní údaje zpracovávané v listinné podobě jsou ukládány v kanceláři školy, ředitelně, v archivu v oddělené místnosti, která je uzamykatelná. Klíče od ní mají ………………………………………..

Kategorie příjemců osobních údajů:

Osobní údaje uchazečů o zaměstnání, žáků, zákonných zástupců nezletilých žáků nejsou předávány třetím osobám. Výjimku představují osoby, kterým má společnost zákonnou povinnost osobní údaje příslušných fyzických osob předat (např. povinnost zaměstnavatele předávat osobní údaje příslušné zdravotní pojišťovně na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, a dále osoby pověřené řešením případných sporů.

Osobní údaje zaměstnanců školy jsou předávány v nezbytně nutné míře společnosti ………………., která zajišťuje zpracování podkladů pro výplatu platů.

2. Kritéria pro posouzení rizik, zhodnocení rizik pro jednotlivé druhy zpracování

Na základě shora uvedených informací můžeme rozlišit následující základní druhy zpracování osobních údajů společností:

a) zpracování osobních údajů uchazečů o zaměstnání

b) zpracování osobních údajů zaměstnanců v rámci pracovních poměrů;

c) zpracování osobních údajů uchazečů o vzdělávání;

d) zpracování osobních údajů žáků;

e) zpracování osobních údajů zákonných zástupců nezletilých žáků

f) zpracování osobních údajů zaměstnanců a žáků školy na základě získaného souhlasu subjektu osobních údajů se zpracováním těchto údajů.

Za základní z hlediska posouzení rizika zpracování osobních údajů považujeme tyto oblasti:

a) identifikace hrozeb spojených se zpracováním;

b) identifikace potenciální újmy dotčených osob spojené se zpracováním jejich osobních údajů;

c) zhodnocení pravděpodobnosti, že újma vznikne, posouzením slabých míst systémů a procesů zpracování oproti povaze hrozby;

d) zhodnocení závažnosti potenciální újmy, pokud by vznikla.

Posouzení hrozeb spojených se zpracováním osobních údajů uchazečů o zaměstnání:

Podklady k výběrovému řízení pro uchazeče o zaměstnání předcházející vznik pracovního poměru jsou dodávány škole v převažující míře v písemné podobě. Pokud budou dodržena všechna pravidla nakládání s osobními údaji a písemnostmi (skladování v uzamykatelných prostorách, zajištění přístupu k osobním údajům pouze oprávněným osobám …), je míra rizika velmi nízká. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Potenciální újma způsobená subjektům údajů v případě narušení bezpečnosti je středně závažná. V případě, že škola bude dodržovat nastavené zabezpečení a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Posouzení hrozeb spojených se zpracováním osobních údajů zaměstnanců, uchazečů o vzdělávání, žáků a zákonných zástupců nezletilých žáků:

Stěžejní hrozbou je porušení zabezpečení osobních údajů (narušení systému apod.), v jehož důsledku hrozí únik dat. Potenciální újma způsobená subjektům údajů narušením zabezpečení spočívá v tom, že se k osobním údajům mohou dostat nepovolané osoby a subjekty údajů tak ztratí možnost kontrolovat své osobní údaje. Potenciální újma způsobená subjektům údajů v případě narušení bezpečnosti je středně závažná. V případě, že společnost bude dodržovat nastavené zabezpečení (viz doporučení IT specialisty) a systém zavedený vnitřními směrnicemi společnosti, je míra pravděpodobnosti vzniku újmy nízká.

Další hrozby může představovat zpracování osobních údajů v rozporu se zásadou zákonnosti či nevhodné zpracování osobních údajů (vzhledem k očekávatelnosti zpracování ze strany subjektů údajů). Tím by mohlo dojít k újmě subjektů údajů spočívající v omezení kontroly svých osobních údajů. Tuto potenciální újmu lze hodnotit jako středně závažnou. Míra pravděpodobnosti vzniku újmy je však s ohledem na počet osob zapojených do zpracování (pouze vybraní zaměstnanci společnosti) a zavedená opatření společnosti nízká.

Ve vztahu k samotným zaměstnancům nejsou shledány další podstatné hrozby zpracování osobních údajů, jelikož přesnost osobních údajů je průběžně kontrolována a na tuto oblast se vztahuje informační povinnost zaměstnance vůči zaměstnavateli.

Posouzení hrozeb spojených se zpracováním osobních údajů zaměstnanců, uchazečů o vzdělávání, žáků, zákonných zástupců nezletilých žáků:

Stěžejní hrozbou je porušení zabezpečení osobních údajů