Nejbližší termíny kurzů

    GDPR - zajištění ochrany osobních údajů v úřadu městské části v Praze, aneb jak vybrat pověřence

    Rubrika: Ochrana osobních údajů (GDPR), vydáno: 28. 05. 2018, autor: Ing. Petr Flener

    Autor, zaměstnanec městské části Praha 6, zpracoval návrh optimální přípravy podkladů pro výběr pověřence pro ochranu osobních údajů se zřetelem na stanovení kvalifikačních požadavků a kritérií jejich hodnocení.

    Zobrazit termíny kurzů…

    Nařízení Evropského parlamentu a rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 94/46/ES, (Obecné nařízení k ochraně osobních údajů angl. General Data Protection Regulation zkr. GDPR), (dále jen „GDPR“), je jedním z nejvýznamnějších regulačních počinů Evropské unie na poli ochrany osobních údajů. Zasáhne široké spektrum subjektů včetně veřejnoprávních. Z pohledu GDPR jsou městské části hlavního města Prahy veřejnoprávními subjekty typu orgán veřejné moci. Jednou z mnoha povinností, které musí orgány veřejné moci v roli správce nebo zpracovatele osobních údajů splnit, je zajistit si (jmenovat) pověřence pro ochranu osobních údajů dle GDPR čl. 37 odst.1 písm. a), (dále jen „Pověřenec“). Při výběru Pověřence je možné postupovat dle GDPR čl. 37 odst. 3 a vybrat jednoho Pověřence pro městskou část hlavního města Prahy, (dále jen „Městská část“), a jí zřízené nebo založené organizace či společnosti. Městská část musí ovšem v souladu s GDPR čl. 37 odst. 5 požadovat od Pověřence dostatečnou profesní kvalifikaci založenou na odborných znalostech práva v oblasti ochrany osobních údajů a prokázání schopností plnit úkoly stanovené v GDPR čl. 39. Dle GDPR čl. 37 odst. 6 může Pověřenec plnit své úkoly i na základě smlouvy o poskytování služeb. Tyto aspekty jsem vzal v potaz při přípravě podkladů pro výběrové řízení na externího poskytovatele služeb Pověřence. V rámci kompletace podkladů jsem se zabýval předmětem služeb, rozsahem (počtem subjektů), stanovením kvalifikačních požadavků, definicí výběrových kritérií a definicí požadavku na poskytnutí referencí. V textu je uvedeno autorem doporučované znění příslušných článků zadávací dokumentace s ambicí vzorového pro konkrétní potřebu modifikovatelného námětu:

    Předmět zakázky

    Předmětem zakázky je zajišťovat pro zadavatele činnosti vyplývající z povinností a úkolů správce, zpracovatele a pověřence pro ochranu osobních údajů (dále jen „Pověřenec“) ve smyslu Obecného nařízení o ochraně osobních údajů (dále jen „GDPR“) a dále ve smyslu dalších obecně závazných právních předpisů.
    Pověřenec vykonává konzultační, školicí, poradenskou a monitorovací (auditní) činnost. Hlavním úkolem Pověřence bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

    Poptávané činnosti:
    • poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
    • monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
    • poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
    • spolupráce s dozorovým úřadem a
    • působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

    Kvalifikační předpoklady

    Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39. (čl. 37 odst. 5). Zná GDPR, ovládá agendu ochrany osobních údajů, a to s přesahy do práva i IT, ovládá metody posuzování souladu praxe s GDPR, zná veřejnou správu (samosprávu) včetně fungování příspěvkových organizací.

    Pověřenec plní své povinnosti a úkoly nezávislým způsobem, neměl by se ocitnout ve střetu zájmů. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

    Osobní dostupnost Pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat.

    Požadavky na složení týmu
    Pro zajištění služeb Pověřence je třeba, aby zájemce doložil, že disponuje kvalitním kvalifikovaným týmem. Jednotliví členové týmu musí splňovat minimální kvalifikační předpoklady dokládající jejich kompetentnost k poskytování služeb Pověřence. Zájemce uvede, který ze členů týmu bude hlavní kontaktní osobou pro zajišťování služeb. Tým pro zajištění služeb musí profilově pokrývat odbornosti v těchto oblastech:

    Oblast práva ochrany osobních údajů
    Min. požadavky: VŠ vzdělání magisterského stupně v oboru práva, praxe v oblasti práva ochrany osobních údajů 5 let, znalost GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany údajů

    Oblast informačních a komunikačních technologií – obor ochrany dat a informační bezpečnosti, management dat
    Min. požadavky: SŠ vzdělání, praxe v oblasti ochrany dat a informační bezpečnosti a managementu dat 5 let,

    Oblast procesního řízení se zaměřením na veřejnou správu
    Min. požadavky: VŠ vzdělání magisterského stupně, praxe v oblasti zajišťování procesů ve veřejné správě 5 let

    Oblast řízení rizik
    Min. požadavky: VŠ vzdělání magisterského stupně, praxe v oblasti řízení rizik 5 let

    Oblast vzdělávání (školicích činností)
    Min. požadavky: VŠ vzdělání magisterského stupně, praxe v oboru vzdělávání zaměstnanců 5 let

    Kritéria

    Znalost GDPR
    Váha: 20 %

    Bude prověřena formou testu realizovaného nezávislou institucí. Úspěšnost správných odpovědí bude vyhodnocována v %. Minimální úroveň pro kvalifikaci zájemce pro poskytování služeb Pověřence je 70 (80) %. Zájemce, který této úrovně nedosáhne, bude vyřazen z výběru (diskvalifikován pro poskytování služby). Pořadí zájemců, kteří získali minimálně 70 %, bude určeno následujícím způsobem. Zájemci, který dosáhne nejvyššího procentuálního ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Popis vykonávané služby
    Váha: 20 %

    Osnova popisu:
    1. Forma a způsob plnění poskytované služby,
    2. Rámcový popis (přehled) dílčích služeb,
    3. Organizační struktura týmu poskytovatele služby,
    4. Způsob komunikace s klientem včetně požadované součinnosti, s dozorovým orgánem, se subjekty údajů,
    5. Zajištění zastupitelnosti,
    6. IS používaný/é pro zajištění poskytovaných služeb,
    7. Metodiky resp. standardy pro zajišťování poskytovaných služeb včetně aspektu řízení rizik,
    8. Způsob zabezpečení (ochrany) dat vytvořených poskytovatelem služby v souvislosti s jejím plněním,
    9. Využití subdodavatelů,
    10. Forma a periodicita reportování o výsledcích monitorování souladu s GDPR a následných doporučeních,
    11. Forma a periodicita reportování o plnění poskytovaných služeb,
    12. Forma a způsob incidenčního řízení vč. eskalačního mechanismu,
    13. Způsob ukončení služby včetně způsobu migrace dat vytvořených poskytovatelem služby v souvislosti s jejím plněním na jiného poskytovatele služeb.

    Kvalita popisu vykonávané služby bude vyhodnocována v % naplnění předepsané osnovy. Zájemci, který dosáhne nejvyššího procentuálního ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Školení zaměstnanců
    Váha: 10 %
    Za poskytnutí základního (úvodního) školení v rozsahu min. 2 hodin bude zájemci přiděleno 5 bodů. Za poskytnutí následných periodických školení v rozsahu min. 2 hodin a počtu min. 2 za období 1 roku bude zájemci přiděleno 10 bodů, za každé další školení v rozsahu min. 2 hodin nad rámec uvedeného počtu bude zájemci přiděleno 5 bodů. Za otestování znalostí školené látky v rámci školení budou zájemci přiděleny 2 body za každé takto završené školení. Pořadí zájemců bude určeno následujícím způsobem. Zájemci, který dosáhne nejvyššího bodového ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Služby nabízené navíc oproti požadovaným
    Váha: 5 %
    Bude vyhodnocován rozsah služeb poskytovaných nad rámec předmětu zakázky. Kritérium bude vyhodnocováno v %. Zájemci, který dosáhne nejvyššího procentuálního ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Praxe v oboru
    Váha: 5 %
    Bude vyhodnocován počet roků praxe v oboru členů týmu nad rámec minima stanoveného v kvalifikačních požadavcích pro jednotlivé oblasti poskytovaných služeb. Každý rok navíc bude ohodnocen 2 body nejvýše však do 5 let navíc. Zájemci (týmu), který dosáhne nejvyššího bodového ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Kvalifikace členů týmu (kvalifikační garance)
    Váha: 10 %
    Bude vyhodnocován počet doložených certifikátů (osvědčení) relevantních pro poskytování služeb (v oblasti právní se zaměřením na ochranu osobních údajů, informačních a komunikačních technologií a jejich bezpečnosti, auditorské, procesního řízení, školicích aktivit). Každý certifikát bude ohodnocen 2 body. Zájemci, který dosáhne nejvyššího bodového ohodnocení, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Dostupnost Pověřence
    Váha: 10 %
    Bude vyhodnocen míra (časový rozsah) dostupnosti Pověřence pro klienta a subjekty údajů v rámci kalendářního týdne, který zájemce předloží ve formě časového rozvrhu pro jednotlivé dny kalendářního týdne s uvedením doby resp. dob zahájení a ukončení dostupnosti pro každý den týdne, kdy bude dostupnost zajištěna. Hodnotit se bude celkový součet hodin zajištění dostupnosti za kalendářní týden. Zájemci, který dosáhne nejvyššího celkového součtu hodin, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Cena
    Váha: 20 %
    Bude vyhodnocena celková cena poskytovaných služeb za období 1 roku, která bude stanovena na základě odhadovaného počtu hodin za období 1 roku. Zájemce uvede cenu za 1 hodinu, odhadovaný počet hodin za 1 měsíc, cenu za 1 měsíc, která odpovídá součinu ceny za 1 hodinu a odhadovaného počtu hodin za měsíc, a celkovou cenu za 1 rok. Zájemci, který dosáhne nejnižší celkové ceny za 1 rok, bude přiřazeno 100 %. Ostatním zájemcům bude přiřazeno alikvótní procentuální ohodnocení.

    Autor si nečiní nárok na jediné unifikované řešení. Předkládané budiž námětem k diskuzi za účelem optimalizace metodiky této sféry zajišťování souladu s GDPR.

    Přílohy