GDPR: Aktuálně a prakticky

Transkript

1 GDPR: Aktuálně a prakticky Mgr. Michal Nulíček, LL.M., CIPP/E, ROWAN LEGAL Osobní údaje 2018, , Praha

2 O čem to dnes bude? Aktuality z Bruselu Výkladová stanoviska WP29 a další pomůcky Stav českého adaptačního zákona Stav eprivacy nařízení rizika zpracovatel oznámení pověřenec souhlas EU eprivacy ENISA incidenty IAPP prevence GDPR soulad osobní údaje správce analýzy security pokuty WP29 dozorový úřad dotazníky GAP compliance

3 Aktuality z Bruselu

4 Postřehy z IAPP Co se řeší v Evropě? Stejná témata mapování, info, souhlasy, práva SÚ, mazání, pověřenci, zabezpečení V ČR nejsme s přípravami výrazně pozadu Stejné výkladové nejasnosti Stejný problém SMEs i ICO Webináře a vodítka pro malé a střední podniky

5 Postřehy z IAPP Mapování a záznamy Postup procesní/businessový, registrace u ÚOOÚ (výjimky) příp. doplnění přes aplikace a jejich vlastníky Směřovat k výsledku, který očekává GDPR, tj. k záznamům o zpracování PŘES ÚČELY Část povinná (pro ÚOOÚ) Část nepovinná (GAPy, rizikovosti, TO opatření) i Belgický dozorový úřad Vzor záznamů

6 Postřehy z IAPP Zpracovatelé / Vendor management 3 základní povinnosti správce dle GDPR Požadavky na smlouvu - lze zpřísnit, ale i nastavit parametry Odškodnění správce vs. limity na odpovědnost zpracovatele, četnost a náklady kontrol na místě apod. Dotaz na připravenost zpracovatele na GDPR i ICO Stanovisko ke vztahu správcezpracovatel Checklisty

7 Výkladová stanoviska WP29 a další pomůcky

8 Čerstvá novinka! Včera schváleny mj. návrhy vodítek WP29 k souhlasům a transparentnosti Sledujte:

9 WP29 k porušení zabezpečení OÚ 3 kategorie porušení: důvěrnosti (zpřístupnění), dostupnosti (ztráta přístupu/zničení) a integrity (změna OÚ) Často kombinace, trvalá i dočasná nedostupnost Více porušení GDPR (př. neoznámení, nedostatečná opatření pro identifikaci porušení) -> sankce za obojí Lhůta bezodkladně, do 72 hodin od získání přiměření jistoty, předtím krátká doba na úvodní prověření Zavést technická (analýza datových toků) a organizační opatření (principy eskalace, přiřazení odpovědnosti, proces vyhodnocení a hlášení) Jednat na základně prvního upozornění

10 WP29 k porušení zabezpečení OÚ Nehlásí se porušení bez rizika pro SÚ (stále ale evidovat a průběžně vyhodnocovat kompromitace šifr. klíče) Př. ztráta firemního ntb se zašifrovanými daty a s možností rychlé zálohy (dostupnost a důvěrnost zajištěna) I pokud není povinnost hlásit, stále je potřeba evidovat Technická opatření jsou mj. prevence incidentu a povinnosti hlásit, podle toho volit opatření (př. šifrování)

11 ENISA Metodika pro vyhodnocení závažnosti incidentů Pomůcka a indikace, ne náhražka vlastního posouzení! Výpočet celkové závažnosti incidentu Rozdělení do 4 skupin (nízká, střední, vysoká a velmi vysoká závažnost) ZávPor = KonZpr x JednIden + OkoPor KonZpr - citlivost dat základní hodnota, zvýšení/snížení přes objem OÚ, povahu správce, nepřesnost dat, veřejná dostupnost dat JednIden - zanedbatelná, omezená, podstatná a maximální, vždy dle druhu údaje OkoPor důvěrnost (zveřejnění), integrita (použití nesprávných údajů bez recovery), dostupnost (není backup) a zlovolný úmysl narušitele

12 WP29 k pokutám I. Konzistentní přístup, podobné sankce za podobná porušení v EU (reakce ÚOOÚ) Stanoví kritéria: povaha závažnost (počet SÚ a újma, respektování omezení účelem) délka porušení Vždy zvážit pokutu x napomenutí méně závažná porušení, nepřiměřená sankce jednotlivci

13 WP29 k pokutám II. GDPR Finanční benefit z porušení silný indikátor pokuty Přitěžující a polehčující okolnosti úmysl v případě jednání x DPO či na vědomý příkaz top mngtu, zakrývání porušení Plnění GDPR povinností není samo o sobě polehčující okolnost, ale odpovědná reakce na porušení ano Skupiny společností mohou být jeden podnik (soutěžní právo) pokuta z globálního obratu Detailní kalkulace pokut - v dalším vodítku

14 WP29 k DPIAs I. kdy provádět Kritéria pro vysoká rizika definována široce 9 kritérií, většinou stačí splnění 2 kritérií, Konkrétní hodnocení Příklady: nemocniční IS, monitorování zaměstnanců, využití sociálních sítí pro profilování, správa úvěrové registry XX zpracování jednotlivým lékařem nebo zdravotníkem Existující zpracování zpřesnění původním návrhu

15 WP29 k DPIAs I. 9 kritérií VR Hodnocení a bodování vč. profilování (scoring úvěrové instituce, predikce chování, nemocí apod.) Automatizované rozhodování Systematické monitorování Velký rozsah Zranitelné subjekty (nerovnováha - děti, zaměstnanci, starší osoby, pacienti) Nové technologie (biometrika, IoT apod.) Obohacování a slučování databází Zpracování brání využití jiných práv (uzavření úvěru) Zpracování citlivých údajů (vč. tr. činů, finančních, el. komunikací, lokalizační apod. x zveřejněné)

16 DPIAs III. - Postup Monitorování/přezkum Popis zpracování a data flow GAP analýza vč. nezbytnosti a přiměřenosti Dokumentace Opatření pro soulad Opatření pro rizika Posouzení rizik pro SÚ a dalších Nástroj řízení rizik Požadavky metodiky (Příloha 2) i ICO, CNIL, ISACA, Bitkom

17 GDPR v ČR Novela stojedničky Fakticky nový zákon, připomínkové řízení skončilo 9/2017, účinnost nejistá omezuje některé povinnosti pro veřejnou správu snižuje u ní pokutu na 10Mil. Kč snižuje věk (13 let) pro souhlas ZZ dítěte u i-služeb upravuje výjimku z DPIA u povinného zpracování (GDPR?) u stejného zpracování info SÚ zveřejněním na internetu! omezená mlčenlivost pověřence Nutné přizpůsobení pravidel GDPR v sektorové legislativě (zdravotnictví, školství, telekomunikace, finanční služby apod.). V EU součást návrhů adaptačních zákonů, v ČR ZATÍM NENÍ!

18 Stav eprivacy

19 Bude skutečnou revolucí epr? Média nemohou používat jakýkoliv obchodní model 90 % internetových stránek je nelegálních eprivacy? Směřujeme ke zrušení marketingu založeného na sledování uživatelů Birgit Sippel, Ralf Bendrath, MEPs na konferenci IAPP v Bruselu

20 eprivacy populisticky Zpřísnění souhlasů požadavky dle GDPR, stejné sankce Tvrdý zákaz podmiňování užití webu souhlasem s OÚ, zákaz používání cookie walls Povinnost upozorňovat SÚ na revokaci souhlasu co 6 měsíců Privacy by default zákaz cookies a dalších technologií změna business modelů news portálů, eshopů apod. zpoplatnění dosud free služeb více otravných pop-upů a souhlasů Na rozdíl od GDPR zatím neschváleno, pracovní skupina MPO

21 Jak můžeme pomoci

22 Jak můžeme pomoci?

23 Kde se můžete o GDPR dozvědět víc? Nebo si napište o newsletter nulicek@rowanlegal.com První komentář k GDPR v ČR Sleva 15 % při využití kódu GDPR Intenzivní kurz Pověřenec ochrany osobních údajů Sleva 5 % pro účastníky

24 Děkuji za Vaši pozornost Mgr. Michal Nulíček, LL.M.

25 Odkazy na zdroje ICO SMEs: Správce zpracovatel: Checklist: PIA: Belgický dozorový úřad Vzor: CNIL PIA: ENISA Tool: