Předmětem plnění veřejné zakázky je komplexní zajištění funkce pověřence pro ochranu osobních údajů (DPO) dle nařízení Evropského parlamentu a Rady (EU) č. 679/2016 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) /GDPR/ pro město Bruntál (Městský úřad Bruntál, Městská policie Bruntál), a veškeré jím zřízené příspěvkové organizace (souhrnně dále označované též jen jako „MUBR“, jejichž seznam je přílohou této výzvy) v období od 1.5.2019 do 30.4.2020. Předmětem činnosti pověřence budou činnosti dle oddílu 4 obecného nařízení o ochraně osobních údajů, zejména pak následující činnosti:
a. poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR v oblasti ochrany údajů;
b. monitorování souladu s GDPR a dalšími právními předpisy v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c. poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování;
d. spolupráce s Úřadem na ochranu osobních údajů (ÚOOÚ) v rozsahu požadovaném GDPR tj. hlášení bezpečnostních incidentů (v odpovídající lhůtě) a dále pak:
e. vyhodnocení incidentu - vyhodnocení situace, analýzu rizik osobních údajům a zpracování návrhu opatření.
f. dojde-li k incidentu se závažným dopadem na subjekty osobních údajů, zajistí Pověřenec ochrany osobních údajů jejich informování o této skutečnosti.
g. působení jako kontaktní místo pro ÚOOÚ v záležitostech týkajících se zpracování, včetně předchozí konzultace, a případně vedení konzultací v jakékoli jiné věci,
h. vyhodnocení bezpečnostních incidentů osobních údajů, vyhodnocení jejich řešení a návrhy nápravných opatření a reportování bezpečnostních incidentů osobních údajů a návrhů nápravných opatření Tajemníkovi MUBR či řediteli dotčené příspěvkové organizace;
i. další činnosti nutné pro zajištění souladu nakládání s osobními údaji u MUBR s GDPR.
K naplnění výše vymezeného bude pověřenec povinen minimálně:
a. pravidelně monitorovat soulad s GDPR v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů a vést odpovídající záznam;
b. upozorňovat na nesoulad s GDPR;
c. upozorňovat na rizika ochrany osobních údajů a rizika subjektům osobních údajů;
d. poskytovat informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR v oblasti ochrany údajů;
e. poskytovat poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování
f. spolupracovat s ÚOOÚ v rozsahu požadovaném GDPR tj. hlášení bezpečnostních incidentů (v odpovídající lhůtě) a dále pak:
1. vyhodnocení incidentu - vyhodnocení situace, analýzu rizik osobním údajům a zpracování návrhu opatření,
2. dojde-li k incidentu se závažným dopadem na subjekty osobních údajů, zajistí Pověřenec ochrany osobních údajů jejich informování o této skutečnosti,
g. působit jako kontaktní místo pro ÚOOÚ v záležitostech týkajících se zpracování, včetně předchozí konzultace, a případně vedení konzultací v jakékoli jiné věci.
h. působit jako kontaktní místo pro subjekty osobních údajů
i. sledovat legislativu v oblasti ochrany osobních údajů a upozorňovat odpovídající role na případné změny, včetně pravidelného školení zaměstnanců,
j. vzdělávat se v oblasti ochrany osobních údajů – právo, technická opatření zabezpečení osobních údajů.
k. připravovat a zpracovávat dokumentaci podporující osvětu v oblasti GDPR v rámci MUBR;
l. vyhodnocení bezpečnostních incidentů osobním údajům, vyhodnocení jejich řešení a návrhy nápravných opatření a reportování bezpečnostních incidentů osobních údajů a návrhů nápravných opatření Tajemníkovi Městského úřadu Bruntál a ředitelům jednotlivých příspěvkových organizací.
Poradenství DPO bude poskytováno ústně, telefonicky nebo elektronicky.
Součástí činnosti pověřence bude na základě jím předem zpracované a Tajemníkem Městského úřadu Bruntál a řediteli jednotlivých příspěvkových organizací schválené metodiky:
a. provádění pravidelného monitoringu souladu s GDPR v oblasti ochrany osobních údajů v oblastech:
1. Požadavky GDPR
2. Bezpečnostní opatření
3. Vedení záznamů
b. provádění namátkových kontrol;
c. provádění pravidelného (1x ročně) auditu, tento audit bude dle potřeby zpracován rovněž při každé změně rozsahu či kategorií zpracování osobních údajů nebo při změně legislativy s dopadem na ochranu osobních údajů.
DPO bude dále spolupracovat s vedoucími jednotlivých složek MUBR na:
a. Návrhu a aktualizaci Bezpečnostních politik;
b. Návrhu a aktualizaci bezpečnostních směrnic a pracovních postupů;
c. Návrhu a aktualizaci metodiky analýzy rizik a ostatních metodik v oblasti řízení bezpečnosti a rizik;
d. Návrhu a aktualizaci bezpečnostní opatření v oblasti ochrany osobních údajů.
Kontaktní údaje DPO budou předány ÚOOÚ.
Kontaktní údaje DPO budou zveřejněny tak, aby byly dosažitelné subjektům osobních údajů.
DPO bude sloužit jako kontaktní místo a podílet se na procesech výkonu práv subjektu osobních údajů:
a. Vznesení námitky proti zpracování osobních údajů
b. Informace o zpracovávaných osobních údajích