JAK SE PŘIPRAVIT NA GDPR?

Transkript

1 JAK SE PŘIPRAVIT NA GDPR? Jan Sůra a Nikola Antlová Reálné zkušenosti z implementace legislativních požadavků GDPR Praha, 17. ledna 2018

2 CO JE TO GDPR? GDPR = General Data Protection Regulation Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 Přímo použitelné (není třeba dalšího vnitrostátního předpisu) Adaptační zákon v ČR Sjednocení úpravy ochrany osobních údajů pro celou Evropu Účinné ode dne 25. května

3 GDPR V POROVNÁNÍ SE STÁVAJÍCÍ ÚPRAVOU Zvyšuje rozsah ochrany osobních údajů Stanovuje (nová) práva subjektům údajů Rozšiřuje stávající a zakotvuje nové povinnosti pro správce Zvyšuje sankce za porušení povinností až 20 milionů euro nebo 4 % z celosvětového obratu skupiny TČ neoprávněné nakládání s osobními údaji (souvisí s trestní odpovědností právnických osob) Sjednocuje dozor nad zpracováním v EU 3

4 JAKÝCH OBLASTÍ SE GDPR DOTKNE? Právní Interní předpisy Pracovní vztahy Další smluvní vztahy Souhlasy a další související dokumentace Organizační Organizační struktura Vnitřní procesy Školení Vyřizování žádostí Komunikace Technická Fyzické zabezpečení Ochrana elektronických dat IT systémy a databáze Automatizované procesy 4

5 CO UDĚLAT ZE VŠEHO NEJDŘÍVE? Naučit se s GDPR pracovat Organizačně se na GDPR připravit Stanovit pevný plán postupu Oslovit odborníka (?) 5

6 Jak prakticky postupovat? 1. Analýza stávajícího stavu 2. Posouzení souladu s GDPR 3. Implementace opatření 6

7 1. ANALÝZA Analýza prostředí a procesů V jakých oblastech přichází společnost do styku s osobními údaji? Co všechno společnost dělá? Inventarizace osobních údajů (datová analýza) S jakými osobními údaji nakládám? Od koho a jak jsem osobní údaje získal? Kde tyto osobní údaje najdu? Jaký je účel a právní základ jejich zpracování? Kudy osobní údaje putují dovnitř / ven? Jaký je životní cyklus osobních údajů? 7

8 1. ANALÝZA Inventarizace stavu zavedených opatření (zejména ve vnitřních předpisech) Máme zavedena všechna nutná opatření, aby nedošlo k porušení OÚ? Jsou tato opatření pouze na papíře nebo fungují v praxi? Kontroluji a testuji účinnost efektivity opatření? Informuji subjekty o zpracování jejich OÚ? Vím, jaká jsou práva subjektů údajů a jak a kdy na ně reagovat? Jsem schopen plnit lhůty stanovené GDPR? Ví každý, co má dělat, jaká je jeho role? Analýza dokumentů Analýza smluv (se zpracovateli, zaměstnanci, dodavateli apod.) Analýza stávajících souhlasů se zpracováním OÚ Analýza plnění informační povinnosti Analýza compliance programu a dalších vnitřních předpisů Metodika posouzení a řízení rizik, existuje-li 8

9 ANALÝZA POSOUZENÍ RIZIK Sestavení metodiky analýzy rizik (nebo její revize) Provedení analýzy rizik Každé zpracování posoudit z pohledu dopadu na subjekt údajů Provést kategorizaci rizik: Nízké riziko Riziko Vysoké (kritické) riziko (např. ztráta identity subjektu) ČINNOST Zaměstnavatel Správa vodohospodářského majetku Projektová činnost ve výstavbě Činnost účetních poradců, vedení účetnictví, vedení daňové evidence Provádění staveb, jejich změn a odstraňování Stanoviska k projektovým dokumentacím aj. Další činnosti (výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona) RIZIKO Střední Střední Nízké Vysoké Nízké Nízké Střední Obchodní rozhodnutí ohledně akceptace / neakceptace rizik 9

10 2. POSOUZENÍ SOULADU Srovnání souladu stávajícího stavu proti požadavků GDPR Návrh opatření (právních organizačních technických) a jejich prioritizace Časový harmonogram implementace Souhrnná zpráva výsledky analýzy Významný dokument pro případnou kontrolu z UOOU! 10

11 Právně organizační opatření 3. IMPLEMENTACE Příprava, revize či doplnění vnitřních předpisů Odstranění přebytečných souhlasů a jejich změna Úprava zpracovatelských smluv Úprava dalších smluv (zákazníci / zaměstnanci / dodavatelé aj.) Úprava vnitřních procesů zpracovávání osobních údajů Příprava vzorových dokumentů Školení Provedení posouzení vlivu Technická opatření Implementace nových funkcí IS (aktualizace, výmaz, omezení využívání, kopie dat apod.) Pseudonymizace / anonymizace / šifrování Testování a zálohování dat Bezpečnostní opatření 11

12 PRAKTICKÉ POSTŘEHY K VYBRANÝM OBLASTEM I. Vnitřní předpisy Zmapování stávajících vnitřních předpisů z oblasti ochrany osobních údajů Odhalení rozporů s GDPR Zrušení problematických (částí) předpisů Doplnění vnitřních předpisů dle požadavků GDPR Vytvoření nové struktury vnitřních předpisů: ústřední předpis + další specifické předpisy (DPO, školení, informační systémy, řízení a výběr dodavatelů, uplatňování práv subjektů) Právní tituly a účely Vytvoření metodiky k určování právních titulů a účelů Nastavení procesů kontroly existence právního titulu/účelu Provedení balančního testu v případě využití právního titulu oprávněný zájem Posouzení slučitelnosti účelů (při zpracování pro jiný než původní účel) Minimalizace rozsahu OÚ zpracovávaných pro daný účel Omezení přístupu k osobním údajům Stanovení doby zpracování údajů pro daný účel Souhlasy Pokud možno nahrazení souhlasu jiným právním titulem Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný Členění souhlasu dle operací zpracování Souhlas vždy pro konkrétní účely Oddělení souhlasu od obchodních podmínek a jiných dokumentů Snadné odvolání souhlasu Odstranění formálních nedostatků souhlasu (např. odkazy na starou právní úpravu) 12

13 PRAKTICKÉ POSTŘEHY K VYBRANÝM OBLASTEM II. Informační povinnost Vytvoření zaměstnanecké i zákaznické politiky ochrany osobních údajů, prostřednictvím které budou subjekty údajů informovány dle GDPR Vytvoření vrstvených online podmínek ochrany osobních údajů Vytvoření samostatné politiky ochrany osobních údajů pro tištěné formuláře, smlouvy Uchování důkazů splnění informační povinnosti Vytvoření systému informování příjemců dle čl. 19 GDPR Zpracovatelské smlouvy Revize stávajících zpracovatelských smluv Smlouvy s blížícím se koncem účinnosti nechat doběhnout x ostatní smlouvy upravit pomocí dodatku Přijetí vnitřního předpisu pro výběr a řízení dodavatelů Příprava vzorové smluvní dokumentace (rámcová smlouva + dodatky ke smlouvám) DPO Posouzení, zda je dána povinnost jmenovat DPO Zvážení dobrovolného jmenování DPO nad rámec povinnosti Výběr vhodné osoby na pozici DPO Volba mezi interním a externím DPO Ověření úrovně odborných znalostí, profesních kvalit a schopnosti plnit úkoly DPO Začlenění DPO v organizační struktuře Předcházení střetu zájmů - DPO se nesmí podílet na určování účelů a prostředků zpracování! 13

14 DĚKUJEME ZA POZORNOST Mgr. Jan Sůra & Mgr. Nikola Antlová 14