Seminář k GDPR

Transkript

1

2 Provozuje síť národního výzkumu a vzdělávání CESNET2 Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají: vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy : Projekt Velká infrastruktura CESNET : E-Infrastruktura CESNET Člen TF-CSIRT, Pracovní skupiny CSIRT.CZ a projektu Fenix

3 IP konektivita připojení k e-infrastruktuře Služby vyhrazených okruhů a sítí dedikované infrastruktury a propoje podle potřeb LIR, přidělování IPv4 a IPv6, DNS, relay Monitoring provozu sítě Forenzní laboratoř FLAB MetaCentrum využití sdružených výpočetních a datových zdrojů pro řešení velmi náročných úloh Datová úložiště dlouhodobé ukládání primárně vědeckých dat zálohy, archivace, sdílení dat... Podpora spolupráce web/videokonference, IP telefonie, streaming, videoarchiv, obrazové přenosy Správa identit PKI & AAI, osobní a serverové certifikáty eduroam Virtuální servery Konzultace, školení, osvěta...

4 To co bude uvedeno v následujících prezentacích jsou pouze mé názory, které se nemusí ztotožňovat s oficiálním výkladem či stanovisky orgánů EU či orgánů jednotlivých členských států. Byť budete mít někdy pocit, že jsem zatvrzelým odpůrcem GDPR, tak se tento pocit nemusí zakládat na pravdě. Vždy jde pouze o prezentaci mých názorů, které nejsou právně závazné a mají sloužit pouze jako vhled do situace.

5 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) 9&qid= &from=CS

6

7

8 One Ring to rule them all, One Ring to bring them all

9

10

11

12

13 Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti. Máte představu, co obsahují ty ostatní? Mgr. Eva Škorničková

14 GDPR se uplatní v případech, kdy je: (bez ohledu na úplatu)

15

16 Čl. 4 odst. 1 identifikovaná nebo identifikovatelná fyzickou osobou - fyzická osoba bez ohledu na její státní příslušnost nebo bydliště. - OSVČ - právnická osoba (zejména podniky vytvořené jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby). V14

17 veškeré osobě Čl. 4 odst. 1 GDPR fyzické Čl. 4 ZOOU a) osobním údajem jakákoliv informace týkající se subjektu zejména odkaz na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,

18 veškeré (obrazové, písemné, slovní, digitální, genetické, zdravotnické aj.), (obsahem např. jméno, adresa, pracovní zařazení, aj.), Subjekt může být identifikován: přímo nepřímo (např. výběr vyčleněním aj.)

19 jméno a příjmení RČ lokační údaje (geo-) věk a datum narození pohlaví osobní stav občanství pracovní/osobní pracovní/osobní pracovní/osobní identifikační čísla vydaná státem fotografie prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity V30

20 rasovém či etnickém původu vyznání politických názorech členství v odborech či jiných organizacích sexuální orientaci spáchání deliktů (trestný čin/přestupek aj.) a potrestání za ně genetické údaje (DNA & RNA) biometrické údaje údaje o zdravotním stavu V34, 35, 38

21 Ochrana OÚ se nevztahuje na: (informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným) Čl. 4 odst. 1, V 26-27

22 Zpracování OÚ tak, že Dodatečné informace musí: osobě a na ně technická a organizační identifikované či identifikovatelné fyzické Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. - snížení rizik pro subjekt údajů - pomoc správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů - změkčení některých povinností Výslovné zavedení pseudonymizace v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů. V26, 28, 29

23 Pseudonymizace by měla být možná a aby V 29

24 Volnější pravidla: Oznamování Profiling Přístup subjektu údajů

25 Čl. 4 odst. 2 jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů,, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

26 Ochrana subjektu údajů se vztahuje na pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. V16, 18

27 ve smyslu Obecného nařízení však Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování. Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

28 fyzických osob jak Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly. Výjimky: bezpečnost) (např. národní V16 Směrnice 2016/680 - JHAD V18

29 - pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž Čl. 5 odst. 1, V39, 58, 60

30 musí co, jak, proč zpracovává souhlas a zákonný důvod čas, po který zpracovává přijaté záruky a bezpečnostní opatření - OÚ musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný), (osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány),

31 (osobní údaje musí být přesné a v případě potřeby aktualizované. ), zpracovávány),, pro které jsou (technické a organizační zabezpečení osobních údajů). Čl. 5 odst. 1, V39, 58, 60

32 Profilování je jakákoli forma Zejména k: - rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, - ekonomické situace, - zdravotního stavu, - osobních preferencí, - zájmů, - spolehlivosti, - chování, - místa, kde se nachází, nebo - pohybu Čl. 4 odst. 4 Profilování není zakázáno. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.

33 Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány nebo s ohledem na Právní základ či legislativní opatření nutně legislativní akt přijatý parlamentem. Právní základ či legislativní opatření musí být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora Evropské unie (dále jen Soudní dvůr ) a Evropského soudu pro lidská práva. Čl. 6, V 40 a 41

34 Souhlasu subjektu údajů Jiný legitimní základ Vlastní souhlas Smlouva - Vlastní plnění - Provedení opatření před uzavřením smlouvy Splnění právní povinnosti, která se na správce vztahuje Zájem: - ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby - plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce - oprávněný zájem příslušného správce či třetí strany Čl. 6, V40

35 (pro splnění této podmínky musí měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny). (souhlas je svobodný pouze pokud má subjekt údajů svobodnou volbu nebo může souhlas odmítnout či odvolat, aniž by byl poškozen). Čl. 7, V32

36 (ne součást smlouvy či EULA) (prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky). (Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, ). V 32 a 42

37 technického prohlášení či při návštěvě internetové stránky, které v této souvislosti předem zaškrtnuté políčko nečinnost veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely v případě více účelů by měl by být souhlas udělen pro všechny V 32

38 Seminář k GDPR

39

40 Seminář k GDPR

41 základ v právní normě Unie nebo členského státu stanovit účel zpracování určit správce, typ osobních údajů, které mají být zpracovány, dotčené subjekty údajů, subjekty, kterým lze osobní údaje sdělit, účelové omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování dotčený subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. V45, 69

42 Zpracování na základě životně důležitého zájmu jiné fyzické osoby má Jde například o: - humanitární účely, - monitorování epidemií a jejich šíření - případy přírodních a člověkem způsobených katastrof. V46

43 zohlednit přiměřené očekávání subjektu údajů na základě jeho vztahu se správcem, včetně toho, zda subjekt údajů může v okamžiku shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zpracování pro účely přímého marketingu. předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely (OÚ o zaměstnancích i zákaznících) V47, 48

44 (kdo, co, kde, kdy, jak dlouho, proč, kam? ) Účely zpracování Kategorie údajů Příjemci Doba uchování Existence práva na výmaz, omezení, námitku či stížnost Informace o zdroji Profilování/automatizované rozhodování (Řešeno již stávající právní úpravou) (Nově řešeno GDPR).

45 Fyzická osoba by měla mít. zánik účelu odvolání souhlasu ( námitka protiprávní zpracování právní povinnost údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Čl. 17, V65

46 Rosudek Soudního dvora EU C-131/12 spor španělského občana s Googlem ment/document.jsf;jsessionid=9ea7 d2dc30d59c3214d6fafa4d6cae2ede05 8bf9fcdb.e34KaxiLc3qMb40Rch0Sax unb3z0?text=&docid=152065&page Index=0&doclang=CS&mode=req& dir=&occ=first&part=1&cid= Mario Costeja González si v roce 2010 místnímu úřadu na ochranu osobních údajů postěžoval, že mu ve výsledcích hledání v Googlu vybíhá po zadání jeho jména odkaz na novinové články z roku 1998, kde se psalo o dražbě jeho majetku kvůli dluhům na sociálním pojištění. Zdroj:

47 Pokud je zpracování: má subjekt právo získat osobní údaje, které se ho týkají, a jež poskytl správci, a předat je jinému správci, i bez souhlasu původního správce. - zpracování nezbytné ve veřejném zájmu, nebo - při výkonu veřejné moci Čl. 20, V68

48 fyzická nebo právnická osoba povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob doložit, že zpracování OÚ je prováděno v souladu s GDPR V74

49 fyzická nebo právnická osoba Správce by měl zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky (odbornost, znalosti, spolehlivost aj.) = Jedním z prvků, jimiž lze doložit dostatečné záruky: kodex chování (Čl. 40) schválený mechanismus pro vydávání osvědčení (Čl. 42) Čl. 28,V81

50 povaze dat, povaze zpracování, lokaci dat, technickém zabezpečení,

51 (Čl. 30) (Čl. 35) (Čl. 31 a násl.) (Čl. 33) 37) (Čl. 34) (Čl. Čl. 24 a násl., V82

52

53 a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk je-li to možné, je-li to možné, obecný uvedených v čl. 32 odst. 1. Výjimky: zpracování není jejich hlavní činností a neexistuje riziko pro práva a svobody subjektu údajů Zpracování není příležitostné Nejsou zpracovány citlivé osobní údaje Čl. 30

54 vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku s přihlédnutím: Implementace prostředků, jak v době určení, tak při zpracování samotném, aby byly splněny požadavky GDPR (např. pseudonymizace, minimalizace OÚ, transparentnost aj.) Zajištění, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. (množství, rozsah, doba, dostupnost) Čl. 25

55 Zaznamenávání detailů o zpracování Zavedení bezpečnostních opatření DPIA (Data Protective Impact Assessment) Osvědčení, Kodexy chování Privacy-by-design, Privacy-by-default (čl. 25) Pověřenec pro ochranu OÚ

56 nemusí neprodleně v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení. nemusí, pokud zajistil správce nápravu, nebo to není prakticky možné. ( ). V85-87

57 nichž jež by mohly mít údajů a u (biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních) v případě případě popis zamýšlených operací zpracování posouzení nezbytnosti a přiměřenosti operací z hlediska účelu ( ) Čl. 35, V84, 87, 90-94

58 poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům monitorování souladu s GDPR poskytování poradenství na požádání spolupráce s dozorovým úřadem zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů působení jako kontaktní místo pro dozorový úřad Čl. 37 a 39

59 %C4%8Dinnosti-obc%C3%AD.pdf

60 kategorii OÚ, která byla dotčena povaze, závažnosti a délce porušení s přihlédnutím k povaze, rozsahu či účelu zpracování zavinění (úmysl/nedbalost) počtu dotčených subjektů a škodě úkonům učiněným správcem či zpracovatelem ke zmírnění škody nastaveným technicko organizačním opatřením předchozím porušením míře spolupráce s dozorovým úřadem za účelem nápravy aj. Audity dozorových úřadů Nové správní nástroje (stížnost, žaloba)

61

62 (Teoreticky největší objem dat majících povahu OÚ. Jejich citlivost ve srovnání s PO?)

63 provedení auditu, kde všude se pracuje s OÚ ve vztahu k GDPR Stanovení podmínek dle GDPR (jasné srozumitelné atd.) Stanovení účelu pro každé zpracování OÚ Možnost nesouhlasu subjektu údajů

64 Neexistuje jedno pravidlo, vzor, nástroj, řešení či postup aplikovatelný pro každou společnost a každou situaci či každou organizaci.

65 Dokumenty k GDPR GDPR a role ÚOOÚ Pracovní skupina WP29 GDPR v otázkách a odpovědích dich/d-23790/p1=4720 Desatero omylů o GDPR

66 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (JHAD) SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích)

67

68

69