Post on 04-Aug-2020
transcript
Ohlédnutí za projektem GDPR v rámci VŠ
Miroslav Bartošek
Masarykova univerzita
GDPR - rok poté, 21.5.2019 2
1 Projekt CRP-GDPR
CRP – Centralizované rozvojové projekty VŠ
Program MŠMT vyhlašovaný každoročně na určitá témata, jen pro VVŠ
Cíl: přispět k naplňování priorit Dlouholetého záměru
Roční projekty, sdílení kapacit a vytváření sítí VŠ
Kategorie CRP 18+
Vyhlášená témata: pro rok 2018 – aktivita d)
„Plnění požadavků stanovených obecně závaznými právními předpisy“
Komplexní řešení ochrany osobních údajů v prostředí VŠ
Řešitel Masarykova univerzita (Bartošek)
Zapojeno všech 26 VVŠ
Projekt CRP C11-2018
Dotace 15,2 mil Kč
GDPR - rok poté, 21.5.2019 3
2 Východiska
Připravit a implementovat komplexní řešení ochrany osobních údajů
dle požadavků evropského nařízení GDPR ve všech 26 VVŠ ČR
Většina VŠ – žádné představy „jak na to“, ani potřebné kapacity
MU jako leader, na kterého ostatní spoléhají, určité zkušenosti
ÚVT MU: Projekt FR CESNET
Pilotní ověření metodiky GDPR v IT prostředí (2017/02 – 2018/03)
IS MU: příprava řešení pro studijní inf-systémy (C10-2018)
Komplexní řešení – ve smyslu ucelené (všechny podstatné části),
nikoliv kompletní (všechny možné případy)
Málo času (magické datum 25.5.2018)!
GDPR - rok poté, 21.5.2019 4
3 Cíle
1. Zajistit, aby k datu účinnosti GDPR byli účastnící schopni prokázat
základní shodu v klíčových oblastech
2. Analyzovat a implementovat opatření pro všechny zásadní
systémy a oblasti zpracování osobních údajů
3. Spojit síly ke společnému postupu při návrhu a nasazení první
verze Komplexního řešení
4. Vytvořit základy pro dlouhodobou spolupráci VVŠ v dané oblasti
Splněno, Podrobná textová zpráva o řešení (40 stran)
GDPR - rok poté, 21.5.2019 5
4 Postup řešení
Zapojeno všech 26 VVŠ, ale jen málo tvůrčích spoluřešitelů
Koordinace (MU) + 8 pracovních skupin
Právo (MU)
Interní legislativa a personální zajištění (UPOL)
Metodiky (UPa)
Registr (MU)
Služby osobám se specifickými požadavky (MU)
Vzdělávání a informovanost (ZČU)
Informační systémy (ČVUT)
Výzkumná data (MU)
GDPR - rok poté, 21.5.2019 6
4 Postup řešení
Pracovní skupiny – paralelní řešení (občas překryvy)
Valné hromady – koordinace, předávání výstupů, další postup
12.09.2017 Praha (přípravná),
01.12.2017 Pardubice (ustanovující),
23.02.2018 Pardubice (pracovní),
03.05 2018 Pardubice (před účinností GDPR)
26.10.2018 Brno (závěrečná + workshop k výzkumným datům)
E-mailová konference – operativní komunikace
Projektový web – dokumenty, výstupy, aktuality, diskuse
https://gdprcrp.ics.muni.cz
GDPR - rok poté, 21.5.2019 7
4 Projektový web
GDPR - rok poté, 21.5.2019 8
4 Projektový web
GDPR - rok poté, 21.5.2019 9
4 Projektový web
GDPR - rok poté, 21.5.2019 10
5 „Komplexní řešení“
GDPR - rok poté, 21.5.2019 11
6 Výstupy
1. Přehled o činnostech
2. Identifikace klíčových systémů
3. Právní posouzení
4. Interní legislativa
5. Personální zajištění
6. Metodiky a doporučení
7. Registr zpracování OÚ
8. Posouzení, implementace
9. Výzkumná data
10. Dokumentace
11. Vzdělávání a informovanost
12. Životní cyklus inf-systémů
13. Dlouhodobá spolupráce
https://gdprcrp.ics.muni.cz
GDPR - rok poté, 21.5.2019 12
6.1 Právní posouzení, ML
Právní analýzy GDPR a ochrana osobních údajů v inf-systémech VVŠ
Posouzení vlivu na ochranu osobních údajů (DPIA)
Office 365 a GDPR
Google Suite for Edu – soulad s GDPR
Aktuální stav právní úpravy ochrany OÚ k datu 31.12.2018
Metodické listy (MU) Mapování činností zpracování OÚ
Smlouvy se zpracovateli
Souhlas se zpracováním OÚ
Povinnosti při výkonu spisové služby
Používání fotografických a AV záznamů
Uplatnění práv subjektu údajů
Postup při porušení zabezpečení OÚ
Doporučení pro používání datových úložišť
GDPR - rok poté, 21.5.2019 13
6.2 Interní legislativa
Směrnice Směrnice VŠ k OÚ, Desatero pro zaměstnance
Specifické rozbory a doporučení Zpracování OÚ uchazečů o studium, studentů, absolventů a „nestudentů“
Kamerové systémy veřejných vysokých škol
Zabezpečení referentských počítačů součástí VVŠ
Zpracování osobních údajů v oblasti celoživotního vzdělávání
Zpracování osobních údajů studentů se specifickými potřebami
Údaje zveřejňované VVŠ na www-stránkách z pohledu ochrany OÚ
Marketing VVŠ ve vztahu ke zpracování osobních údajů
Spisový a skartační řád na VVŠ optikou nařízení GDPR
Ochrana osobních údajů v oblasti personalistiky
Fórum pověřenců VVŠ Schůzky 2x ročně
GDPR - rok poté, 21.5.2019 14
6.3 Metodiky
Překryvy s prací a výstupy dalších pracovních skupin
M01 – Doporučení pro vypořádání práv a požadavků SÚ
M02 – Postup při porušení zabezpečení OÚ
M03 – Doporučení k souhlasům
M04 – Pořizování a zveřejňování fotografií
M05 – Posouzení vlivu zpracování na ochranu OÚ
M06 – Prvotní posouzení rizikovosti zpracování OÚ
M07 – Test proporcionality
M08 – Analýza rizik
M09 – Životopisy
• Šibeniční termín účinnosti vedl k hektickému pracovnímu nasazení, které mělo za následek některé nedostatky ve vytvořených materiálech nebo paralelní zpracování podobných témat více skupinami.
• Po nabytí účinnosti pocit sounáležitosti a ochoty sdílet zkušenosti mírně polevil. I poté však vznikly cenné a využitelné materiály, jejichž vzniku určité zklidnění situace naopak prospělo.
GDPR - rok poté, 21.5.2019 15
6.3 Metodiky
Metodika 05Posouzení vlivu na ochranu osobních údajů
Metodika 05(…) - šablona
popisuje
Metodika 05(…) - příklad vyplnění
ilustrována
Metodika 06Prvotní posouzení rizikovosti
předchází
Metodika 07Test proporcionality
zahrnuta
Metodika 08Ohodnotenie rizík
zahrnuta
Metodika 08(…) XLS šablona pro vyhodnocení
ulehčena
Metodika 06(…) - příklad vyplnění
ilustrována
Oprávněný zájem
I samostatněpoužitelná
ilustrována
GDPR - rok poté, 21.5.2019 16
6.4 Vzdělávání a informovanost
Informační segmenty segmenty textu k základním pojmům a postupům v Mark Down (exporty pdf, html, docx)
Privacy Policy vzory veřejných webových informací ke zpracování a ochraně OÚ na VŠ
Příručka pro zaměstnance tištěná a elektronická příručka pro zaměstnance VŠ pro všechny zapojené VŠ
E-learningový kurz Moodle-kurz pro prvotní proškolení zaměstnanců (přístup na ZČU nebo lokální)
Animovaná vzdělávací videa krátká 3min animovaná videa; youtube kanál http://crp-gdpr.zcu.cz
Sbírka cizích materiálů v AJ videa od cizích autorů v angličtině
GDPR - rok poté, 21.5.2019 17
6.4 Vzdělávání a informovanost
GDPR - rok poté, 21.5.2019 18
6.4 Vzdělávání a informovanost
GDPR - rok poté, 21.5.2019 19
7 Zhodnocení – projekt přínosný
Projekt přínosný, cíle i výstupy naplněny
Jen částečné naplnění u Dlouhodobé spolupráce
Fórum pověřenců – platforma pro výměnu zkušeností
Pokračovací projekt nepodán – nutný delší odstup a zkušenosti z praxe
Vysoce pozitivní hodnocení od účastníků projektu:
„Zároveň bych Vám ráda poděkovala za neskutečnou práci, kterou jste vykonal a pomoc a podporu ostatním VŠ a zároveň cítím tak trochu potřebu se omluvit, že jsme aktivně nepřispívali, nicméně vzhledem k velmi omezené personální kapacitě na GDPR u nás jsem ráda, že se zvládlo alespoň to základní. S veškerou upřímností mohu za sebe říci, že bez Vaší podpory a podpory ostatních členů pracovních skupin bychom u nás nezvládli ani to, co se alespoň dosud podařilo.“ (spoluřešitelka z jedné VŠ)
GDPR - rok poté, 21.5.2019 20
7 Zhodnocení – zkušenosti
1. Bezbřehost problematiky --x-- nebylo moc o co se opřít
2. Umocněno -- Občas přehnaným alibistickým přístupem
-- Rozdílnými (někdy až protichůdnými) názory
3. Neexistuje žádné „jedině správné“ řešení
4. Je těžké uchovat si zdravý rozum a najít správný balanc
5. Preferovat jednoduchá řešení, zaměřit se na podstatné věci
6. Hledání shody je velmi zdlouhavá záležitost
7. GDPR je běh na dlouhou trať
GDPR - rok poté, 21.5.2019 21
7 Zhodnocení – na závěr
GDPR a zdravý rozum „Stručně řečeno, zdravý rozum není pramenem práva. Avšak výklad
by se jim měl určitě řídit. Bylo by nanejvýš nešťastné, kdyby se
ochrana osobních údajů měla přeměnit na obstrukci prostřednictvím
osobních údajů.“
Generální advokát CJEU Michal Bobek ve svém Stanovisku ve věci
C-13-16, předneseném dne 26. ledna 2017. Citováno z prezentace
Karla Neuwirta na Fakultě informatiky MU dne 4. 12. 2018.
Perlička na závěr V. Šmíd. Jak si Masarykova univerzita poradila s ochranou osobních
údajů. Zpravodaj ÚVT MU, červen 2001.
http://webserver.ics.muni.cz/zpravodaj/articles/218.html
Dotazy?
Miroslav Bartošek, ÚVT MU bartosek@ics.muni.cz
GDPR - rok poté, 21.5.2019 22