S GDPR nepřijde konec světa

Transkript

1 S GDPR nepřijde konec světa Mgr. Michal Nulíček, LL.M., CIPP/E, ROWAN LEGAL Osobní údaje 2018, , Praha

2 Obsah GDPR bez obalu Dopady GDPR na: HR Marketing Odhad vývoje po rizika zpracovatel oznámení pověřenec souhlas EU eprivacy ENISA incidenty IAPP prevence GDPR soulad osobní údaje správce analýzy security pokuty WP29 dozorový úřad dotazníky GAP compliance

3 GDPR bez obalu

4 GDPR jako strašák ALE! Platí již dva roky Obsahově není revolucí Důvody hysterie: Pokuty jsou ale maximální a zafungovaly jako motivátor změny Počáteční stav (ne)připravenosti Pozdní zahájení přípravy i u velkých společností a skupin Neznalost nebo těžká pochopitelnost přístupu založeného na riziku

5 Hlavní principy správné Je dobře, že: se GDPR vztahuje i na společnosti mimo EU si správci našich dat musí určit účel zpracování, opřít jej o zákonný podklad pro daný účel mohou zpracovávat jen nezbytné aktualizované údaje a po nezbytnou dobu máme právo na informace o zpracování a další práva (vč. výmazu) správci musí naše data chránit, zavázat k tomu zaměstnance a dodavatele + kontrolovat předávat do zemí s nižší mírou ochrany lze jen omezeně

6 Důvody kritiky!!!! Obecná, nejasná terminologie Nejasné a pozdní výklady regulátorů (WP29) Technické obtíže při implementaci Velká míra právní nejistoty Nedostatečná lokální adaptace Nerovnost českých správců a zpracovatelů oproti některým jiným státům EU

7 Kde hledat pomoc Stanoviska WP29 WP Pověřenec pro ochranu osobních údajů (DPO), Právo na portabilitu, Vedoucí dozorový úřad, Automatizované individuální rozhodování a profilování 2017 Posouzení vlivu na ochranu osobních údajů, Ohlašování případů porušení zabezpečení osobních údajů, Osvědčení o ochraně osobních údajů (certifikace), Akreditace subjektů pro vydávání osvědčení, Stanovení správních pokut, Souhlas, Transparentnost, Binding Corporate Rules, Zpracování osobních údajů na pracovišti Překlady stanovisek Úřad pro ochranu osobních údajů

8 Kde hledat pomoc ICO a zahraniční orgány ICO Stanoviska k úpravě smluv mezi správci a zpracovateli, souhlasu, profilování a automatizovanému rozhodování, webináře a vodítka pro malé a střední podniky Pomůcky zahraničních orgánů ENISA metodika hodnocení bezpečnostních incidentů Belgický dozorový úřad vzor záznamů zpracování CNIL Bezplatná aplikace v češtině pro posouzení vlivu ISACA - Průvodce posouzením vlivu na ochranu osobních údajů

9 GDPR a HR

10 Zaměstnanec dle GDPR Subjekt údajů Nástroj plnění Zdroj rizika

11 Zpracování údajů zaměstnanců Plnění právní povinnosti (přihlášení na úřady, daně, sociální zabezpečení) Plnění smlouvy (mzdy, apod.) Oprávněný zájem (provozní potřeby, monitoring) Souhlas pouze výjimečně nové stanovisko WP29 Nesmí být negativní dopad při neudělení!

12 Informační politika Stručně v první vrstvě Např. v osobním dotazníku

13 Informační politika Podrobně kompletní informace dle GDPR Např. na intranetu, k vyžádání na personálním odd

14 Koncepce ochrany OÚ včetně školení a kontroly dodržování Podrobná a srozumitelná l Musí umožňovat posouzení souladu l Proveditelná l Aktuální Koncepce ochrny osobních údajů

15 GDPR a marketing

16 Konkurence režimů 2 regulace GDPR ZSIS/ePrivacy souhlas oprávněný zájem opt-out opt-in / souhlas Stávající zákazníci Stávající i potenciální zákazníci Konvenční marketing (balanční test) Obchodní sdělení el. prostředky

17 Ukázka souhlasu Např. s cíleným marketingem + odkaz na podrobné informace

18 Co bude po ?

19 Odhad vývoje po I. Svět se nezhroutí, Pokuty spíše V řádu max. spíše U velkých správců business as usual, udělovány až po desítek mil. Kč s přechodný skokový byť nikdo nebude účinnosti nového výjimkou např. incidentů nárůst žádostí (hlavně 100% v souladu zákona a hrubé nedbalosti přístup a výmaz), postupně snížení

20 Odhad vývoje po II. GDPR IT SMEs Velcí správci a Všichni budou dohánět Řada malých a Sektorové přístupy, zpracovatelé budou IT (data governance, středních podniků kodexy a certifikace dohánět dokumentaci (interní směrnice, bezpečnost), automatizace, SW začne řešit až po (dle průzkumů až 20 % přesmluvnění nástroje společností vyčkává) zpracovatelů)

21 Jak můžeme pomoci?

22 Děkuji za Vaši pozornost Mgr. Michal Nulíček, LL.M.

23 Odkazy na zdroje ICO Belgický dozorový úřad CNIL