Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Transkript

1 Mgr. Lenka Suchánková, LL.M. 28. března 2017 Ochrana osobních údajů a bezpečnost dat - co přinese GDPR? forbes.com

2 ÚVOD K OCHRANĚ OSOBNÍCH ÚDAJŮ Proč je GDPR / ochrana údajů tématem? Data jsou důležitým aktivem Data jsou klíčová v digitální transformaci Riziko vysokých sankcí dle GDPR

3 Srovnání správních sankcí Dozorový úřad Maximální výše pokut GDPR Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad Eur nebo až 4 % celkového světového ročního obratu Zákon o ochraně osobních údajů Úřad pro ochranu osobních údajů (ÚOOÚ) DOZOR A SPRÁVNÍ SANKCE Zákon o kybernetické bezpečnosti / novela - NIS Národní bezpečnostní úřad (NBÚ) Kč Kč/5 mil. Kč Účinnost 25. května června ledna 2015 / do května 2018

4 Trestněprávní odpovědnost TRESTNĚPRÁVNÍ SANKCE Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Trestní odpovědnost právnických osob - Trestný čin spáchaný statutárním orgánem, zaměstnancem atd. - Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO

5 Dopad GDPR napříč odvětvími PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti PŮSOBNOST GDPR Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X

6 OBECNĚ K GDPR GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány

7 ZÁKLADNÍ POJMY Co je regulováno jako osobní údaje? Veškeré údaje identifikující fyzickou osobu Zřejmé: jméno, kontaktní údaje, číslo dokladu totožností, údaje o zdravotní stavu, údaje z kreditních karet, atd. Zvláštní kategorie údajů = přísnější ochrana Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie, lokalizační údaje, IP adresy

8 Co je zpracování osobních údajů? ZÁKLADNÍ POJMY Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

9 ZÁKLADNÍ POJMY Koho se regulace týká? Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

10 GDPR V KOSTCE Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů Privacy by design a privacy by default Pseudonymizace Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut

11 GDPR V KOSTCE Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele

12 DOPADY GDPR Dopady GDPR na organizaci Organizační otázky Struktura zabezpečení Zajištění kontinuity provozu Správa identity Oblasti řízení podnikových procesů Datové struktury Správa životního cyklu dat Řízení rizik

13 GDPR jako příležitost pro pojišťovny GDPR dopadne plošně na všechny organizace Přísnější požadavky na ochranu osobních údajů Jednoznačné souhlasy a jejich prokázání v celém životním cyklu Validace starých souhlasů Profilování, big data Rozšířená informační povinnost vůči subjektům Nová práva subjektů být zapomenut, přenositelnost Nové povinnosti správců i zpracovatelů = vedení záznamů o zpracování, DPIA, konzultace, hlášení případů porušení bezpečnosti, pověřenec Nové požadavky na zapojení zpracovatelů a sub-zpracovatelů vč. smluv Bezpečnostní opatření šifrování, pseudonymizace, DR Audity Pojištění kybernetických rizik Nové odpovědnosti, nová rizika = pokuty, reputace POJIŠTĚNÍ RIZIK

14 Nové povinnosti správců záznamy a DPIA Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profilování rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti ) Seznamy zpracovatelských operací, kterých se to týká NOVÉ POVINNOSTI SPRÁVCŮ

15 NOVÉ POVINNOSTI SPRÁVCŮ DPIA analýza rizik Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR

16 INSTITUT POVĚŘENCE Institut pověřence Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence??

17 OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Hlášení bezpečnostních incidentů Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů Do 72 hodin, předepsaný minimální obsah Výjimka: je nepravděpodobné, že způsobí ohrožení práv a svobod osob Pokud je vysoké riziko ohrožení práv a svobod Bezodkladně Výjimky: šifrování údajů jiná opatření eliminující riziko nepřiměřené úsilí veřejné oznámení

18 Co by měly mít společnosti pod kontrolou? Datové toky Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Analýza největších rizik a základní krizový plán Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora

19 Co pro Vás můžeme udělat? Analýza datových toků a procesů Analýza dopadů GDPR Příprava interní a externí dokumentace implementující požadavky GDPR

20 Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: IT smlouvy, včetně smluv na cloudové produkty Ochrana osobních údajů IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Pro více informací: Lenka Suchánková Na Příkopě Praha lenka.suchankova@pierstone.com