19. 6. 2018
Interpelace radního Radomíra Palovského Martinou Pokornou
25. zasedání Zastupitelstva Městské části Praha 5 dne 19. 6. 2018
RNDr. Radomír Palovský CSc.
Radní ÚMČ Praha 5
Věc: Aplikace GDPR na MČ Praha 5
Vážený pane radní,
obracím se na vás jako radního pro IT, počítačovou bezpečnost a bezpečnost úřadu ve věci v poslední době hojně zmiňovaného Obecného nařízení o ochraně osobních údajů označovaného jako GDPR (General Data Protection Regulation), jehož účinnost nastala 25. května 2018.
Obecné nařízení o ochraně osobních údajů představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Nařízení stanovuje pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů. GDPR se týká všech firem a institucí, tedy i obcí a v našem případě městské části. Za porušení pravidel jsou zavedeny správní pokuty, ale mohou hrozit také žaloby ze strany fyzických osob s nárokem na náhradu škody v případě hmotné či nehmotné újmy.
Účinností nařízení o ochraně osobních údajů od 25. května 2018 vznikla MČ také povinnost jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer, DPO), který by měl dohlížet na správné zpracování dat a jejich další používání a poskytovat MČ v této oblasti veškerý potřebný servis. Podle metodického doporučení vydaného Ministerstvem vnitra k 10. srpnu 2017 “Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí” musí být pověřenec také nezávislý a nestranný, musí mít přímý přístup k vedení obce či příslušné organizace. Musí zajišťovat soulad činností obce s právními předpisy na ochranu osobních údajů. Musí být snadno dosažitelný pro obec, Úřad pro ochranu osobních údajů i pro veřejnost.
Mezi dokumenty k GDPR doporučenými Svazem měst a obcí ČR, které by obec měla mít, patří:
- Organizační řád doplněný o funkci pověřence a další věci dle obecného nařízení
- Pracovní řád
- Spisový a skartační řád
- Směrnice pro práci s osobními údaji
- Provozní řád výpočetní techniky
- Systémová příručka k IS
- Revize stávajících souhlasů
- Informovaný souhlas dle obecného nařízení
- Dodatky ke smlouvám s dodavateli software a zpracovateli osobních údajů – stanovení požadavků ze strany správce
- Dohoda o mlčenlivosti s externími pracovníky
- Evidence – vytvoření evidence kódů elektronického zabezpečovacího zařízení (EZS), evidence razítek, evidence klíčů (komu byly přiděleny), evidence souhlasů, evidence všech přenosných paměťových médií, evidence výpočetní techniky, úložišť dat a programového vybavení používaných ke zpracování osobních údajů a další
- Seznam osob s přístupem k základním registrům, k osobním datům ze základních registrů a k Czech Pointu
- Analýza/revize osobních údajů, rizik a procesů – dobrovolná, ale velmi užitečná. Z analýzy se vychází při zpracování dokumentace k prokázání souladu s GDPR, např. záznamů o činnostech zpracování
- Záznamy o činnosti zpracování – povinné pro prokázání souladu s GDPR, dle čl. 30 obecného nařízení
Technicko-organizační opatření – evidence opatření k zabezpečení osobních údajů - Řízení přístupů – udělování oprávnění pracovníkům a jejich poučení o ochraně osobních údajů, tedy pověření k přidělení přístupových práv pracovníka k jednotlivým SW aplikacím v rámci informačního systému obce“
- Popis a definice postupu při narušení zabezpečení osobních údajů – pravidla pro oznamování bezpečnostního incidentu Úřadu pro ochranu osobních údajů (ÚOOÚ), určení osoby odpovědné za ohlášení BI, které má být učiněno pokud možno do 72 hodin
- Ustanovení Pověřence pro ochranu osobních údajů (včetně smluvního vztahu), zveřejnění kontaktních údajů pověřence.
Rada MČ Praha 5 schválila dne 7. 3. 2018 výběr účastníka o veřejnou zakázku s názvem „Zpracování analýzy připravenosti ÚMČ Praha 5 na nařízení GDPR, návrh implementačních opatření, školení a výkon funkce pověřence pro ochranu osobních údajů“, společnost KPMG Česká republika, s.r.o.
- s celkovou nabídkovou cenou ve výši 2.335.300 Kč vč. DPH, z toho 338.800 Kč připadá na pověřence pro ochranu osobních údajů
- se závazkem provést celé dílo dle smlouvy, s výjimkou činností souvisejících s výkonem funkce pověřence pro ochranu osobních údajů, nejpozději do tří kalendářních měsíců ode dne podpisu této smlouvy
s tím, že o převzetí každé části díla bude sepsán písemný záznam. - kdy Rada MČ uložila tajemníkovi ÚMČ P5 Josefu Žeberovi
- zajistit veškeré administrativní kroky směřující k podpisu smlouvy se společností KPMG Česká republika, s.r.o. do 21. 3. 2018
- a předat podepsanou smlouvu společností KPMG Česká republika, s.r.o. k podpisu starostovi MČ Praha 5 do 4. 4. 2018.
Ptám se vás, pane radní:
- Veřejná zakázka malého rozsahu byla zveřejněna 26. 2. 2018 a nabídky měly být podány do 2. 3. 2018 do 10.00, což jsou něco přes 3 dny. Není to na přípravu nabídky na aplikaci tak zásadní legislativy málo? Vyvolává to pak dojem, že vítězná firma byla vybrána dopředu.
- Bylo zadání zakázky projednáno v poradních orgánech, například Komise IT? Projednávala Rada MČ zadání zakázky? Nenašla jsem usnesení Rady MČ, které by rozhodlo o zadání zakázky, pouze k výběru uchazeče.
- Které firmy se zúčastnily výběrového řízení a podaly nabídku? Byly některé firmy osloveny přímo? Jaká byla výběrová kritéria a kvalifikační předpoklady?
- Proč výběr účastníka proběhl až v březnu, když bylo Metodické doporučení MVČR zveřejněno 10. srpna?
- Smlouva byla podepsána 20. března a KPMG dostala na analýzu tři měsíce, tj. až do 20. června, tedy skoro měsíc poté, co nastala účinnost nařízení? Kdy KPMG odevzdala své dílo?
- Připadá vám jako přiměřená částka 1 996 500 Kč za tříměsíční analýzu a plat pověřence 1 130 Kč/hod. při vyčerpání maximálního rozsahu 300 hodin po dobu trvání smlouvy, jinak vlastně vyjde částka na hodinu pro pověřence vyšší?
- Začal již pracovat pověřenec? Je to konkrétní osoba nebo to bude skupina osob, neboť ve smlouvě se mluví o týmu?
- Podle smlouvy pověřenec dostane vlastní kancelář od MČ a telefon a je stanoveno, že osoba z týmu pověřence mý být fyzicky přítomna v přidělené kanceláři minimálně 5 hodin týdně, jinak má být dostupný na telefonu. Když rozpočítáme 300 hodin na týdny a budeme předpokládat, že maximální rozsah bude vyčerpán, vychází, že pověřenec věnuje MČ týdně něco přes 9 hodin. Není 9 hodin týdně, respektive podle smlouvy minimálně 5 hodin, málo? Kde se nachází kancelář pověřence? Když bude tým pověřenců, každý z nich dostane svůj telefon s vlastním číslem?
- Proč si MČ nenechala proškolit pověřence interně? Je opravdu nutné outsourcovat, když MČ bude platit ani ne za čtvrtinový úvazek kolem 45 000 Kč? Pokud tedy bude vyčerpán 300hodinový limit, jinak to vyjde MČ na hodinu ještě dráž?
- Řekněte mi tedy, pane radní, je MČ P5 na zavedení GDPR plně připravena? Má všechny potřebné dokumenty? Na webu MČ jsem nenašla zmínku o pověřenci, tak bych se ráda zeptala, kdy bude informace o pověřenci nebo týmu pověřenců s jejich kontakty sdělena veřejnosti v médiích MČ?
Prosím o reakci, zda KPMG odevzdala již analýzu a kde sídlí pověřenec a kdo to je? U ostatních otázek předem děkuji za písemnou odpověď.
Mgr. Martina Pokorná
Členka ZMČ Praha 5 V Praze dne 19. 6. 2018