GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Transkript

1 GDPR PRO VEŘEJNÝ SEKTOR GDPR - Specifika státní správy a samosprávy

2 EU GENERAL DATA PROTECTION REGULATION Nové nařízení Evropského parlamentu ze , přímo závazné pro členské státy, nadřazené národní legislativě Konsolidující existující pravidla o ochraně osobních údajů napříč 28 členskými státy Je nadřazeno stávajícímu zákonu č.101/2000 Sb. o ochraně osobních údajů a směrnici 95/46/EC Nenahrazuje oborově specifické zákony a úpravy Platné i pro Non EU organizace, které pracují s údaji o EU občanech V účinnosti od 25. května 2018

3 NOVÉ V OCHRANĚ OSOBNÍCH ÚDAJŮ Celoevropská působnost, evropský sbor pro ochranu osobních údajů (EU) Právo být zapomenut, přenositelnost a další rozšíření práv osob Povinnost vedení interních záznamů o činnostech zpracování Zpracování osobních údajů se nemusí registrovat Vydávání osvědčení, kodexy chování a podniková pravidla Ohlášení porušení zabezpečení osobních údajů dozorovému úřadu Pověřenec pro ochranu osobních údajů GDPR Rozšíření povinností zpracovatele osobních údajů Posouzení vlivu na ochranu osobních údajů při vysokém riziku Strana 3

4 SANKCE V RÁMCI GDPR Správní Civilní Peněžitá pokuta až do 20 mil. EUR nebo do 4 % ročního obratu Náhrada škody Náhrada nemajetkové újmy Národní legislativa může stanovit další správní sankce Národní legislativa může zmocnit neziskovou organizaci k podávání stížností i bez zmocnění dotčeným subjektem údajů Možnost žalovat u soudů v zemi bydliště subjektu údajů Možnost subjektu údajů nechat se zastoupit neziskovou organizací zaměřenou na ochranu osobních údajů Společná a nerozdílná odpovědnost správce a zpracovatele

5 OSOBNÍ ÚDAJE Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě Nevztahují se na osobní údaje zesnulých osob nebo anonymizované údaje Vztahuje se i na šifrované osobní údaje Osobním údajem jsou veškeré informace (obrazové, slovní, rentgenové snímky, IP adresa, Cookies) vztahující se (vztah daný obsahem jméno, adresa, pracovní pozice) k identifikované nebo identifikovatelné osobě (výběr vyčleněním).

6 KDO JE KDO? Správce = fyzická nebo právnická osoba, která sama nebo spolu s jinými určuje účel a způsoby zpracování Základní odpovědnost za údaje Nové povinnosti Zpracovatel = fyzická nebo právnická osoba, které zpracovává data jménem správce Povinnosti jsou stanoveny nově Sdílená odpovědnost Možnost řetězení zpracovatelů Subjekt údajů = fyzická osoba, které se údaj týká

7 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících ve: Shromáždění Zaznamenání Uspořádání Uložení Přizpůsobení nebo pozměnění Vyhledávání Nahlédnutí Použití Zpřístupnění přenosem Šíření nebo jakékoliv zpřístupnění Zkombinování či seřazení Omezení Výmaz nebo zničení

8 ZÁKONNOST Každé zpracování musí mít právní základ Právní základ musí pokrývat: Účel zpracování Kategorie zpracovávaných osobních údajů Způsob zpracování Dává možnost zpracovat osobní údaje

9 PRÁVNÍ TITULY Plnění smlouvy Splnění právní povinnosti Ochrana životně důležitých zájmů subjektu údajů Veřejný zájem, výkon veřejné moci Oprávněný zájem Souhlas

10 INFORMACE A PŘÍSTUP K OSOBNÍM ÚDAJŮM Nový, doplněný obsah informace, která se podává subjektu údajů při převzetí osobních údajů Nově se podává i u zpracování k naplnění právní povinnosti v případě, že jsou údaje získány přímo od subjektu údajů O zpracování není třeba informovat v případě, že údaje o subjektu nejsou získány přímo od subjektu údajů a: Informování není možné nebo by vyžadovalo nepřiměřené úsilí Zpracování probíhá na základě právní povinnosti, pokud jsou stanovena dostatečná opatření Informování by znemožnilo nebo výrazně ztížilo dosažení cílů zpracování

11 PODMÍNKY ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ Výběr opatření musí se analyzovat rizika zpracování osobních údajů na základě výsledků analýzy se vyberou vhodná technická a organizační opatření Vybraná opatření se musí popsat v dokumentaci Zavedení opatření včetně zajištění údajů s pomocí šifrování a pseudonymizace aby údaje byly spolehlivé, dostupné a důvěrné včasné obnovy údajů v případě incidentu testování a hodnocení jejich účinnosti Hlášení incidentů do 72 hodin musí správce hlásit porušení zabezpečení osobních údajů dozorovému úřadu v případě vysokého rizika se hlásí porušení zabezpečení osobních údajů i tomu kdo údaje poskytl

12 Co musíme vědět? Jaké otázky musí každý úřad umět zodpovědět

13 ZNÁTE ROZSAH GDPR? Jaké jsou činnosti vaší organizace a jaká je její organizační struktura v souvislosti se zpracování osobních údajů? V případě struktury s celky se samostatnou právní subjektivitou, jaké jsou činností jednotlivých celků patřících do skupiny? Například odbory, zřizované organizace apod.

14 MÁTE URČENOU ODPOVĚDNOST? Máte v organizaci ustanovenu osobu zodpovědnou za agendu ochrany osobních údajů? Kde se tato osoba nachází v rámci organizační struktury a jaké jsou kvalifikační předpoklady pro výkon této funkce? Jaká je pracovní náplň této osoby? Například pověřená osoba v oddělen lidských zdrojů nebo role bezpečnostního manažera v systému řízení bezpečnosti informací apod.

15 MÁTE ZAVEDENÝ ZPŮSOB PROSAZOVÁNÍ? Máte vytvořenou sestavu interních směrnic za účelem ochrany osobních údajů, kde jsou uloženy, jak jsou zpřístupněny zaměstnancům a třetím stranám? Jak často probíhají školení ve vaší společnosti v oblasti nakládání s osobními údaji, jakou formou, kdo je provádí a komu jsou určeny? Například samostatná směrnice pro ochranu osobních údajů, která je součástí interní předpisové základny popisující odpovědnosti a procesy školené v rámci pravidelného interního školení prováděné útvarem lidských zdrojů apod.

16 ZNÁTE STÁVAJÍCÍ ZPRACOVÁNÍ OÚ? Máte přehled o tom, jaká zpracování osobních údajů provádíte? Máte přehled o tom, jaké jsou právní tituly pro jednotlivá zpracování? Například evidence zpracování osobních údajů se stanovením způsobu a rozsahu zpracování s identifikací právních základů, plnění smluvních povinností, oprávněného zájmu, souhlasů apod.

17 PRACUJETE SE SOUHLASY? V případě zpracování osobních údajů na základě souhlasu, požadujete souhlas subjektu dat s poskytnutím jeho osobních údajů pro každé zpracování? Omezujete zpracování osobních údajů pouze pro účely, pro které jste obdrželi souhlas od subjektu údajů? Například osobní údaje zpracovávané na základě právního základu v souvislosti se zaměstnáním jsou dále využívány pro účely pořádání společenských akcí.

18 VÍTE KDE MÁTE OÚ? Máte přehled o tom, v kterých procesech provádíte zpracování osobních údajů a kde jsou osobní údaje fyzicky uloženy? Například existující specifikace informačních systémů, kde jsou osobní údaje zpracovávány, a úložišť, kde jsou ukládány, existující specifikace manuálních i automatizovaných postupů a datových toků (obsahujících osobní údaje) v rámci jednotlivých informačních systémů a mezi nimi navzájem apod.

19 ZNÁTE ZPŮSOBY VÝMĚNY OÚ? Předáváte osobní údaje do zahraničí? Pokud ano, do jakých zemí? Například zpracování osobních údajů spojených s výplatou mezd zahraniční společností apod.

20 PRACUJETE S RIZIKY? Byla v posledních třech letech provedena analýza rizik informací pokrývající oblast zpracování osobních údajů? Pokud ano, podle jaké metodiky? Například analýza rizik zahrnující osobní údaje jako informační aktiva zpracovaná podle interní metodiky apod.

21 ŘÍDÍTE BEZPEČNOST INFORMACÍ? Máte zaveden systém řízení bezpečnosti informací? Pokud ano, podle jaké normy? Například systém řízení bezpečnosti informací zavedený podle ČSN ISO/IEC 27001:2014 apod.

22 MÁTE PŘEHLED O PŘÍSTUPECH K OÚ? Máte přehled, kdo a v jakém rozsahu má přístup k osobním údajům a to včetně externích partnerů? Například evidence oprávnění a přístupů k úložištím osobních údajů apod.

23 ZVLÁDÁTE ŘEŠIT INCIDENTY? Je zaveden proces identifikace a zvládání incidentů bezpečnosti informací? Pokrývá tento proces případy porušení ochrany osobních údajů, nebo jsou tyto případy řešeny samostatně? Jaká k uvedenému existuje dokumentace? Například samostatný proces řízení bezpečnostních incidentů zavedený v rámci systému řízení bezpečnosti informací zahrnující případy porušení ochrany osobních údajů formalizovaný v dokumentaci ISMS apod.

24 PROVÁDÍTE KLASIFIKACI INFORMACÍ? Je zavedena klasifikace informací? Jsou osobní údaje zahrnuty do některého klasifikačního stupně? Například zahrnutí osobních údajů do klasifikačního stupně Citlivé se stanovením způsobů nakládání s informacemi uvedeného klasifikačního stupně.

25 JAK NAKLÁDÁTE S NEPOTŘEBNÝMI OÚ? Odstraňujete nebo nezpracováváte osobní údaje subjektů, které již nepotřebujete, resp. pominul účel jejich zpracování? Například bezpečné mazání s protokolárním záznamem u souborů údajů, u kterých vypršela retenční doba stanovená v souladu s účelem zpracování.

26 MŮŽETE VYUŽÍT OPATŘENÍ ZKB? Jsou aplikována nějaká opatření dle zákona 181/2014 Sb. o kybernetické bezpečnosti? Pokud ano, jaká a v jakém rozsahu? Například přijetí technických a organizačních opatření v rozsahu určeném pro provoz významného systému apod.

27 FUNGUJÍ STÁVAJÍCÍ PROCESY OÚ? Jsou nastaveny formální procesy a informovanost v podobě interní směrnice pro případ odvolání souhlasu subjektu dat se zpracováním jeho osobních údajů, přístup subjektu údajů k osobním údajům? Například zavedení procesů a technických prostředků pro informování subjektu údajů i interních vlastníků osobních údajů o požadavku na přístup apod.

28 OVĚŘUJETE SPRÁVNOST OU? Jsou zavedeny procesy pro ověřování správnosti a aktuálnosti zpracovávaných osobních údajů? Například proces telefonického ověření správnosti údajů se subjektem údajů před zahájením zpracování.

29 ŘÍDÍTE DODAVATELE? Jak je řízena ochrana osobních údajů ve vztahu k dodavatelům? Například jsou podepsány smlouvy o ochraně důvěrnosti sdělovaných informací, jsou smluvně vynucována ochranná opatření, je prosazováno právo auditu u dodavatele apod.

30 KONTROLUJETE OCHRANU OÚ? Je oblast ochrany osobních údajů zahrnuta do interního nebo externího auditu? Například interní audit provádí přezkoumání plnění opatření směrnice pro ochranu osobních údajů apod.

31 Nezbytné minimum... Způsoby implementace GDPR požadavků v prostředí úřadů

32 JAK SE POSTAVIT K POŽADAVKŮM GDPR? V první řadě je potřebné upřesnit zpracování Identifikovat zpracování osobních údajů v organizaci K těmto zpracováním určit: Účel zpracování Jaký je právní základ zpracování (souhlas, plnění právní povinnosti, plnění či uzavření smlouvy, oprávněný zájem, veřejný zájem či výkon veřejné moci ) Kdo je správce a kdo zpracovatel Kde jsou osobní údaje uloženy (manuální, IS) Kdo se v rámci organizace s údaji seznamuje, interní odpovědnost za zpracování Způsob zabezpečení osobních údajů

33 JAK SE POSTAVIT K POŽADAVKŮM GDPR? provést posouzení rizik pro práva a svobody osob Posouzení provést na základě povahy, rozsahu, kontextu a účelu zpracování. GDPR jmenuje několik rizikových faktorů: Zpracování je automatizované Zpracování je rozsáhlé Zpracování je systematické Zpracování OÚ zvláštní kategorie Vytváření evidence Profilování a automatizované rozhodování Zpracování OÚ pro jiný účel než byly získány Posouzení stanoví, zda operace zpracování představují riziko či vysoké riziko

34 JAK SE POSTAVIT K POŽADAVKŮM GDPR? Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představují: náhodné nebo protiprávní zničení ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim Pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů. pak mohu stanovit jaká opatření musím mít zavedena

35 POSTUP DOSAŽENÍ SOULADU S GDPR Stanovení rozsahu Srovnávací analýza Analýza rizik Plán opatření Implementace opatření Kontrolní audit Legislativní rozsah Organizační rozsah ICT rozsah Fyzický rozsah Odpovědnost za GDPR projekt Odhad náročnosti Školení Analýza stavu plnění právních, procesních a technických požadavků GDPR Procesní analýza Datová analýza Analýza rizik bezpečnosti informací/oú Prioritizace Posouzení vlivu Plán opatření Harmonogram Nároky na zdroje Interní/Externí Součinnost Změny dokumentace dle právních základů zpracování Obsazení rolí Změny procesů zpracování OÚ a procesů souvisejících Přijetí ICT opatření Školení Ověření plnění požadavků GDPR interním/externí m auditem

36 NA CO JE POTŘEBNÉ SE ZAMĚŘIT Identifikace zpracování Pověřenec Úprava klientských smluv a způsobu informování Zpracovatelské smlouvy Posouzení vlivu a systém hlášení Vedení záznamů o zpracování Určení účelů a titulů zpracování Určení podmínek zpracování Vymezit činnosti, nasmlouvat jeho činnost Vhodné hned po srovnávací analýze Úprava klientských smluv, zapracování povinných informací a úprava případného souhlasu Vymezení nových povinností Správce Zpracovatel a úprava smluv Příprava procesu (včetně zdokumentování) pro zpracování posouzení a hlášení Zdokumentování přijatých technických a organizačních opatření včetně testů a hodnocení je nutné zavedení komplexního systému ochrany a práce s osobními údaji, který je doložitelný

37 VYMEZENÍ ODPOVĚDNOSTI POVĚŘENCE Pověřenec pro ochranu osobních údajů musí mít: odborné znalosti a zkušenosti o právech a postupech v oblasti ochrany osobních údajů další odborné znalosti v oblasti: IT managementu Bezpečnosti aby zajistil, že organizace splní požadavky nařízení GDPR a příslušné zákony a předpisy o ochraně osobních údajů

38 ZÁKLADNÍ ÚKOLY POVĚŘENCE Monitorování souladu s GDPR a právními normami ČR k problematice zpracování a ochrany osobních údajů a informování vedení organizace Realizace úkolů spojených s prováděním posouzení vlivu s důrazem na prvotní i následná posouzení Je kontaktním místem pro klienty a zaměstnance a provádí pro ně poradenskou činnost Spolupracuje (je styčným bodem) s dozorovým úřadem [ÚOOÚ] Prosazuje přístup založený na riziku s důrazem na zpracování osobních údajů s vysokým rizikem pro práva a svobody subjektů údajů Dokumentuje přehledy operací zpracování a to včetně vedení jejich registru (evidence)

39 ZDROJE NA ČINNOST POVĚŘENCE Zřízení funkce/role Pravidelná měsíční agenda Pravidelná roční agenda Nárazová agenda (posouzení a narušení ) MD 8 20 MD 5 10 MD MD Uvedené počty MD ovlivňuje velikost obce, kategorie osobních údajů a rozsáhlost jejich zpracování

40 ZŘÍZENÍ FUNKCE/ROLE POVĚŘENCE Zřízení funkce/role, zavedení agendy včetně dokumentace: Identifikace zpracování a vytvoření registru (evidence) zpracování Identifikace legislativy týkající se ochrany osobních údajů a nařízením GDPR Spolupráce při návrhu struktury a obsahu záznamů o činnostech zpracování a založení dalších registrů a evidencí Návrh odpovědností Návrh metodiky posouzení rizik pro práva svobody subjektu údajů a provedení DPIA Návrh záznamů pro poradenskou činnost Návrh procesu hlášení incidentů Příprava, případně provedení školení Posouzení: vybraných právních základů, souhlasů se zpracováním a podávaných informací úprav zpracovatelských smluv a možnosti realizace práv přístupu, vznést námitku

41 PRAVIDELNÁ MĚSÍČNÍ AGENDA Vedení registru (evidence) zpracování Identifikace nových zpracování včetně spolupráce při určení právní titulů pro zpracován Školení nových zaměstnanců Běžná poradenská činnost zaměstnancům a vedení organizace Zajištění právního souladu (monitoring právních předpisů) Spolupráce s klienty a zajištění kontaktu s dozorovým úřadem Posuzování souhlasů, informací podávaných subjektům údajů a zpracovatelských smluv Sledování souladu s legislativou týkající se ochrany osobních údajů a nařízením GDPR (nejlépe formou vedení registru právních norem k ochraně osobních údajů) Kontrolní činnost

42 PRAVIDELNÁ ROČNÍ AGENDA Organizace pravidelného školení zaměstnanců v oblasti osobních údajů Provádění přezkoumání systému zpracování a ochrany osobních údajů (nebo spolupráce v případě, že přezkoumání bude prováděno jako součást přezkoumání kybernetické bezpečnosti nebo ISMS dle ČSN ISO/IEC 27001)

43 NEPRAVIDELNÁ AGENDA Mimo pravidelných činností bude pověřenec realizovat i činnosti, jejichž náročnost nelze předem určit: Činnosti spojené s posouzením vlivu na ochranu osobních údajů - U posudků je předpoklad, že zejména v počátku budou tvořit podstatnou část činnosti pověřence. V případě rozsáhlých zpracování s větším množstvím zpracování s vysokým rizikem, je pravděpodobné, že se bude jednat o trvalou součást činnosti pověřence. Důvodem je, že je doporučeno provádět posouzení vlivu v tříleté periodě Vyhodnocování a hlášení incidentů

44 VÝHODY OUTSOURCOVANÉHO POVĚŘENCE má odborné znalosti včetně znalosti GDPR a vhodných metodik má zajištěno pravidelné vzdělávání má možnost využít týmu specialistů na jednotlivé obory (od práva po IT) v rámci společnosti poskytující outsourcing nehrozí konflikt zájmů

45 KONTAKTY Daniel Přívratský NGSS.CZ partner, ředitel realizace