Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Transkript

1 Ochrana osobních údajů a bezpečnost dat novinky v GDPR

2 PRÁVNÍ Právní úprava dat ÚVOD K OCHRANĚ ÚDAJŮ PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X

3 ÚVOD K OCHRANĚ ÚDAJŮ Právní úprava dat Zákon o ochraně osobních údajů (101/2000 Sb.) = ZOOÚ Směrnice o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES) Zákon o kybernetické bezpečnosti (181/ 2014 Sb.) Zákon o některých aspektech informační společnosti (480/2004 Sb.) Zákon o elektronických komunikacích (127/2005 Sb.) Nařízení o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (2016/679/EU) = GDPR Účinné od pro celou EU Mezinárodní úprava Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108) Dohoda mezi EU a USA Privacy Shield (namísto původní dohody o Safe Harbor) Rozhodnutí Evropské Komise o předávání údajů

4 ÚVOD K OCHRANĚ ÚDAJŮ GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány

5 ÚVOD K OCHRANĚ ÚDAJŮ Rozšířený dopad GDPR Dopad na podnik ve významu čl. 101 a čl. 102 SFEU tj. může dopadat např. na celý koncern (podnikatelská seskupení interpretace dle soutěžního práva, sankce založeny na obratu skupiny) Místní příslušnost pro aplikaci GDPR Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD) Jakákoliv skutečná a provozovaná aktivita alespoň v jednom čl. státě

6 ZÁKLADNÍ POJMY Osobní údaje Informace o identifikované nebo identifikovatelné fyzické osobě Přímá či nepřímá identifikace odkazující na určitý identifikátor Identifikační číslo, lokační údaje, síťový identifikátor Fyzická, fyziologická, genetická, psychická, ekonomická, kulturní nebo společenská identita

7 ZÁKLADNÍ POJMY Citlivé údaje Rasový, národnostní či etnický původ Genetické a biometrické údaje pro účely jedinečné identifikace fyzické osoby Ke zpracování je potřeba výslovný souhlas nebo jiný nezbytný zákonem určený účel Politické názory, náboženské vyznání, filosofické přesvědčení, členství v odborech Údaje o zdravotním stavu nebo údaje o sexuálním životě či sexuální orientaci fyzické osoby

8 ZÁKLADNÍ POJMY Co je tedy regulováno jako osobní údaje? údaje identifikující fyzickou osobu Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie

9 ZÁKLADNÍ POJMY Zpracování osobních údajů Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

10 ZÁKLADNÍ POJMY Subjekty Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Zpracovatel Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

11 ZÁKLADNÍ PRINCIPY Hlavní zásady ochrany osobních údajů Zpracovávány zákonným, transparentním a korektním způsobem Shromažďování pro určité, výslovně vyjádřené a legitimní účely Přiměřené, relevantní a omezené na nezbytný rozsah pro daný účel (minimalizace) Přesné a v případě potřeby aktualizované Uchovávání ve formě umožňující identifikaci subjektů údajů pouze po dobu nezbytnou pro účely zpracování Zpracování pouze takovým způsobem, který zajistí náležité zabezpečení Ochrana pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním, před náhodnou ztrátou, zničením nebo poškozením Správce odpovídá za dodržení zásad a musí být schopen soulad doložit (accountability) Záměrná a standardní ochrana osobních údajů (privacy by design and by default)

12 ZÁKLADNÍ PRINCIPY Novinky v GDPR Povinnost oznámit neoprávněný přístup k osobním údajům Širší teritoriální a věcný dopad Vyšší pokuty (až 4% celosvětového obratu celého podniku) Pověřenec pro ochranu osobních údajů Privacy by design and by default Vedoucí dozorový úřad jako onestop-shop Zrušení systému registrací u ÚOOÚ Povinnost správce provést posouzení vlivu na ochranu osobních údajů

13 ZÁKLADNÍ PRINCIPY Novinky v GDPR Posílení práv subjektů údajů Jednoznačnost souhlasu pro všechna zpracování (opt in) Širší informační povinnost Pseudonymizace dat Nové náležitosti zpracovatelské smlouvy (vč. řetězení) Kodexy a certifikáty Evropský sbor pro ochranu osobních údajů Odpovědnost zpracovatele za způsobenou újmu

14 PRÁVNÍ TITULY Souhlas a jeho náležitosti Pro konkrétní účel, nikoliv paušální pro jakékoli zpracování Informovaný Odlišný od jiných záležitostí Jednoznačný/vý slovný (vždy opt-in) Jasný, svobodný Udělený na určitou dobu Již udělené souhlasy musí být harmonizovány

15 PRÁVNÍ TITULY Souhlas nezletilých < 13 Pouze se souhlasem rodiče Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče

16 Jak může být souhlas prokázán? Správci údajů musí být kdykoliv schopni dokázat, že: PRÁVNÍ TITULY Souhlas souvisí s konkrétním údajem Souhlas byl udělen příslušnou osobou Osoba udělující souhlas byla informována o účelu zpracování Souhlas byl udělen na příslušnou dobu a pokrývá dobu, v rámci níž jsou údaje zpracovávány

17 PRÁVNÍ TITULY Povinnost vymazat údaje Údaje o příslušné osoby musí být nezvratně a kompletně vymazány při odvolání souhlasu pokud již nejsou potřebné pro účely zpracování pokud subjekt údajů vznese námitky (a nepřevažují oprávněné důvody pro zpracování) Potvrzení osobě, že její údaje byly vymazány Zajištění pro celý ekosystém zpracovatele objektivní meze (přiměřené kroky, náklady, dostupná technologie) Výjimky: údaje nezbytné pro určení výkon nebo obhajobu právních nároků nezbytnost pro plnění právní povinnosti splnění úkolu provedeného ve veřejném zájmu výkon veřejné moci

18 PRÁVNÍ TITULY Zákonné výjimky GDPR Zpracování bez souhlasu subjektu osobních údajů = zákonné výjimky Úprava v čl. 6 GDPR Rozsah úpravy v nařízení může být rozšířena právem členských států (vč. zachování dosavadního rozsahu) Plnění smlouvy nebo jednání o jejím uzavření Splnění právní povinnosti správce Ochrana životně důležitých zájmů subjektu údajů Ochrana práv chráněných zájmů správce či jiné dotčené osoby Splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci

19 PRÁVNÍ TITULY Oprávněný zájem dle GDPR Nedopadá na případy: Subjektem údajů je dítě Zpracování údajů provádí orgán veřejné moci při plnění svých úkolů Správce má povinnost uchovávat záznamy o posouzení vlivu na ochranu osobních údajů Povinnost správce informovat subjekt údajů Přenosy do zahraničí na základě oprávněného zájmu Příklady oprávněného zájmu: Přímý marketing nebo ochrana před podvodem Přenos dat v rámci jedné skupiny (holdingu) vč. zaměstnaneckých údajů Zpracování pro účely zajištění síťové bezpečnosti nebo zamezení neoprávněným přístupům Oznamování trestných činů

20 PSEUDONYMIZACE A ANONYMIZACE

21 PSEUDONYMIZACE AANONYMIZACE Anonymizované vs pseudonymizované údaje Anonymizované údaje (nevratně oddělené od osoby) Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Pseudonymizované údaje (dočasně oddělené od osoby) Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci

22 Výhody pseudonymizovaných údajů Mohou být zpracovány nad rámec původně definovaného účelu Mírnější regulace: výjimky z notifikace, dalších povinností Pseudonymizace splňuje požadavek privacy by design H ÚDAJŮ Pseudonymizace jako bezpečnostní opatření

23 SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (subzpracovateli) na základě písemného povolení správce Povinná písemná forma (i Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce

24 Smlouva o zpracování údajů dle GDPR Povinnosti zpracovatele ve smlouvě o zpracování: Přijme veškerá nezbytná bezpečnostní opatření Dodržuje podmínky pro zapojení dalšího zpracovatele Zohledňuje povahu zpracování Povinen zajisti správci součinnost Na základě pokynů správce vymaže nebo předá zpět správci veškeré údaje Poskytuje správci veškeré informace Umožní vykonávat audity, vč. inspekcí Zpracovatel povinen poskytovat dostatečné záruky technických a organizačních zabezpečení Lze doložit schváleným kodexem chování nebo mechanismem pro vydávání osvědčení ZABEZPEČENÍ ÚDAJŮ

25 BEZPEČNOST ÚDAJŮ Technické zabezpečení dle GDPR správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů Čl. 32 GDPR obsahuje demonstrativní výčet možných opatření Pravidelné testování, posuzování a hodnocení Pseudonymizace a šifrování Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování

26 BEZPEČNOST ÚDAJŮ Technická a organiz. opatření dle GDPR Kodexy chování Kodexy schvaluje ÚOOÚ nebo EDPB Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy Certifikace Ustanovení orgánů, které budou udílet podnikům akreditace Certifikáty budou platné vždy po dobu 3 let Privacy by design/by default Záměrná a standardní ochrana osobních údajů Organizace musí implementovat technické a organizační prostředky Zahrnuje rovněž zaměstnanecké směrnice Privacy impact assesment Posouzení vlivu na ochranu osobních údajů Slouží k identifikaci a minimalizaci rizik při zpracování údajů

27 NOVÉ POVINNOSTI SPRÁVCŮ Nové povinnosti správců Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profiling rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti) Seznamy zpracovatelských operací

28 Nové povinnosti správců NOVÉ POVINNOSTI SPRÁVCŮ Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR Další nové povinnosti: Institut pověřence pro ochranu osobních údajů Ohlašování případů porušení zabezpečení osobních údajů

29 Institut pověřence DATABREACHES Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence?

30 DATABREACHES Hlášení dle stávající úpravy Obecná povinnost přijmout opatření proti neoprávněnému a nahodilému přístupu k osobním údajům Notifikace data breaches povinná jen pro poskytovatele veřejně dostupných služeb elektronických komunikací Oznámení narušení bezpečnosti osobních údajů ÚOOÚ 24 hodin Lhůta může být prodloužena Formulář Informování subjektu údajů, jehož osobní údaje byly narušením bezpečnosti zasaženy, pokud bezpečnost narušena zvlášť závažným způsobem a: Citlivé údaje / krádež identity / škoda > / fyzická či morální újma Provedení opatření k nápravě Vedení přehledu data breaches včetně posouzení dopadu a nápravných opatření

31 DATABREACHES Hlášení dle GDPR Bude dopadat na všechny správce Povinnost zpracovatelů ohlašovat správci Oznámení porušení zabezpečení osobních údajů ÚOOÚ Bez zbytečného odkladu, pokud možno do 72 hodin Důvody případného zpoždění Předepsaný min. obsah Výjimka: je-li nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Povinnost informovat subjekt údajů, pokud je pravděpodobné, že porušení zabezpečení = vysoké riziko pro jeho práva a svobody Bezodkladně Výjimky: údaje učiněny nesrozumitelnými (např. šifrováním) následná opatření eliminující riziko nepřiměřené úsilí à veřejné oznámení

32 DATABREACHES Hlášení dle zákona o kybernetické bezpečnosti Omezená relevance pro soukromý sektor pouze povinné subjekty Povinnost monitorovat bezpečnost a detekovat kybernetické incidenty Povinnost hlásit bezpečnostní incidenty Národnímu CERTu /CSIRT (orgán nebo osoba zajišťující významnou síť) Vládnímu CERTu (ostatní povinné osoby)

33 Sankce za nesplnění notifikační povinnosti Právní předpis Porušená povinnost Výše sankce ZEK Zákon o ochraně osobních údajů Nařízení o ochraně osobních údajů Oznámení data breaches ÚOOÚ/subjektu údajů Přijetí a provedení opatření pro zajištění bezpečnosti zpracování osobních údajů; Vedení přehledu případů porušení ochrany osobních údajů podle ZEK Oznámení data breaches ÚOOÚ/subjektu údajů 20 mil. Kč (ČTÚ) 5 mil. Kč / 10 mil. Až 2 % ročního světového obratu Kybernetický zákon Ohlášení kyberincidentu CERT Kč

34 PRÁVA SUBJEKTŮ ÚDAJŮ Práva subjektů údajů Subjekty mají právo především být informování o zpracování svých osobních údajů Další práva dovozována judikaturou např. právo být zapomenut V GDPR dochází k posílení individuálních práv s cílem zajistit větší transparentnost a lepší přístup; důraz na srozumitelnost jazyka

35 Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo na zasílání informací o zpracování (1 měsíc, ochrana proti kverulantům) Komplexní a transparentní informace o zpracování (výjimky: spec. zákon, služební tajemství) Právní titul zpracování a informace o pří jemcích úda jů, době, předávání, dobrovolnosti, profilování, právech Přístup, oprava a přenos údajů Na žádost subjektu údajů vznikají správci povinnosti Potvrzení o zpracování údajů, poskytnutí jejich kopie,

36 Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo vznést námitky proti zpracování Specifická práva ohledně využití pro účely marketingu Online služby - automatizovaná metoda k podání námitek Právo být zapomenut a právo na vymazání Právo být zapomenut je v legislativě novinkou v GDPR (dosud jen soudní výklad) Právo dožadovat se omezení zpracování údajů

37 PRÁVA SUBJEKTŮ ÚDAJŮ Omezení práv subjektů údajů vůči veřejným subjektům Práva subjektů a údajů a povinnosti správců mohou být zákonem omezeny čl.23 (např. z důvodu veřejného zdraví či jiného veř. zájmu) Právo na výmaz (být zapomenut) (výjimka pro výkon veř. moci, veř. zájem, oblast veřejného zdraví čl. 17(3) b, c) Práva na omezení zpracování a vznést námitku čl.18, 21 (výjimky pro zpracování ve veřejném zájmu) Právo na přenositelnost (vyloučeno u zpracování nezbytné pro plnění úkolu veřejného zájmu čl. 20 (3))

38 Předávání mimo státy EHP PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Rozhodnutí Komise o standardních smluvních doložkách Úmluva 108 Rozhodnutí Komise (adequacy decision) Regulovaný smluvní obsah s ohledem na údaje, které mohoubýt předávány mimo státy EHP EU + Uruguay, Mar oko, Kanada, Švýcarsko, Izrael, ( Závazná podniková pravidla (BCR) Jednotlivě udělený souhlas Privacy Shield

39 PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Rozhodnutí o přiměřenosti (adequacy decisions) Poměrně malá relevance; novinka přezkum každé 4 roky Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 Řetězení zpracovatelů, povinnost auditu Typy standardních smluvních doložek: Správce (EU) à Správce (mimo EHP) 2 sety doložek Správce (EU) à Zpracovatel (mimo EHP) Závazná podniková pravidla (BCR) Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU Náročný proces schvalování konzultace a schvalování ÚOOÚ GDPR podrobně popisuje a zjednodušuje schvalování

40 PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Nové samoregulační nástroje: Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky akreditace) Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -? Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany Důležitý důvod veřejného zájmu Nově: legitimní zájem správce omezené využití (převažuje zájem subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci Cloudu, nadnárodních personálních databází)

41 Předávání údajů do USA PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Platné znění již zohledňuje kritické připomínky pracovní skupiny čl. 29 ze 13. dubna 2016 komplikovanost ochranných mechanismů, nedostatečná úprava uchovávání osobních údajů, nedostatečné zohlednění GDPR Stejně jako Safe Harbor: Self-certification Není třeba schválení ÚOOÚ Prvky nad rámec Safe Harbor: Závazky amer. ministerstva obchodu ve vztahu ke kontrolám, vedení seznamu, každoročním obnovám certifikace atp. Každoroční společný audit (Komise, FTC, Department of Commerce) Výslovné uvedení odpovědnosti za předávání údajů dalším stranám (onward transfer) Proces řešení stížností arbitrážní řízení Institut nezávislého ombudsmana (stížnosti na amer. zpravodajské služby)

42 Dozorové orgány dle GDPR Vnitrostátní dozorové úřady Vnitrostátní dozorový úřad pro každý podnik v rámci jednotlivého členského státu DOZOR ASANKCE Vedoucí dozorový úřad Evropský sbor pro ochranu osobních údajů (EDPB) Dozorový úřad hlavní afilace Jedno správní místo (výlučná kompetence) pro přeshraniční zpracování Poradní orgán pro celou EU Doporučení, výkladová pravidla, kodexy jednání a best practices Vnitrostátní dozorové úřady zůstávají příslušné pro vnitrostátní zpracování údajů Rozhoduje kompetenční spory mezi národními dozorovými orgány Spolupráce mezi vedoucím a dotčenými vnitrostátními dozorovými úřady

43 DOZOR ASANKCE Správně právní odpovědnost ZOOÚ + směrnice GDPR Pokuty stanovuje každý členský dle své diskrece Oprávněným orgánem ÚOOÚ Max. výše ukládaných pokut Kč Pokuty stanoveny fixně v nařízení pro celou EU Každý členský stát pokuty samostatně (zůstane ÚOOÚ) Až (resp. 4 % z ročního obratu) Veřejné subjekty mohou být vyňaty/upraveny pr. předpisem

44 Srovnání správních sankcí DOZOR ASANKCE GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Národní bezpečnostní úřad (NBÚ) Národní bezpečnostní úřad (NBÚ) Maximální výše pokut Vedoucí dozorový úřad EUR nebo až 4 % celkového světového ročního obratu Kč 5 mil. Kč Účinnost 25. května ledna 2015 do května 2018

45 DOZOR ASANKCE Trestněprávní odpovědnost Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Porušení tajemství dopravovaných zpráv (sazba až 2 roky / 5 let u kvalif. skutkové podstaty) Nebezpečné pronásledování (sazba až 3 roky) Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí (sazba až 8 let) Trestní odpovědnost právnických osob Trestný čin spáchaný statutárním orgánem, zaměstnancem atd. Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO

46 Shrnutí specifik zpracování ve veřejném zájmu Uplatnění některých povinností v omezené míře Omezení účelem a další zpracování Slučitelnost účelů může být stanovena právním předpisem Právní tituly pro zpracování Zákonné výjimky, nespoléhat se na souhlas, nemožnost užití oprávněného zájmu Omezení práv subjektů Omezení v GDPR pro veřejný zájem; další omezení právním předpisem Posouzení vlivu na ochranu osobních údajů Souhrnné posouzení při zavádění zákona Pověřenec pro ochranu osobních údajů Stačí jeden pro více subjektů; povinně jmenovaný Sankce Pr. předpisem mohou být organizace veřejné moci a veřejné subjekty vyňaty, sankce jinak upraveny One-stop-shop Obvykle se neaplikuje (pokud zpracovávají z titulu splnění úkolu veř. zájmu; čl.55 (2))