Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Transkript

1 Workshop GDPR a farmacie, aneb co se ještě musí stihnout do JUDr. Lucie Radkovičová Data Agentura INFOPHARM s.r.o., Praha advokátka a právní konzultantka pro bezpečnost informací

2 Personal data is the new oil of the internet and the new currency of the digital world. Meglena Kuneva European Consumer Commissioner, 2009

3 Osnova 1. Co je GDPR? 2. Jak se může Vaše organizace připravit na GDPR? 3. Zpracovatelská smlouva a aplikace

4 1.Co je GDPR?

5 Co je GDPR? Nařízení EU 2016/679 Od nahradí dosavadně platnou směrnici 95/46 /ES a dosavadně platný zákon č. 101/2000 Sb., o ochraně osobních údajů Nejkomplexnější právní úprava ochrany osobních dat Jednotná právní úprava pro všech 31 států EU a EHS Detailnější a širší úprava povinností správců a zpracovatelů osobních dat oproti současnému stavu

6 Proč GDPR? What Happens in an Internet Minute?

7 Základní pojmy GDPR Osobní údaje Zvláštní kategorie osobních údajů Subjekt osobních údajů Správce Zpracovatel Zpracování Zásady zpracování Tituly zpracování Čl. 4, 5, 6, 9 GDPR

8 Základní zásady GDPR Zákonnost, korektnost, transparentnost Účelové omezení Minimalizace údajů Přesnost Omezení uložení Integrita a důvěrnost Odpovědnost Čl. 5 GDPR

9 Právní tituly pro zpracování osobních údajů Zákonná povinnost Smlouva Životně důležité zájmy subjektu osobních údajů Veřejný zájem Oprávněné zájmy správce Souhlas Čl. 6 GDPR

10 Co nového přináší GDPR? rozšiřuje zavádí zvyšuje

11 Co nového přináší GDPR? rozšiřuje: působnost pojem osobní údaj zvláštní kategorie osobních údajů osobní údaje dětí obsah zpracovatelské smlouvy práva subjektů osobních údajů povinnosti správců a zpracovatelů právní úpravu souhlasu Čl. 3, 4, 8, 9, 15-22, 24-30, GDPR

12 Co nového přináší GDPR? zavádí: širší působnost přímá odpovědnost nejen správce, ale i zpracovatele detailnější úprava povinností zpracovatele řešit bezpečnost údajů od počátku (Privacy by design/by default) Povinnost zanalyzovat aktuální stav a dopad zpracovávání dat na soukromí (odpadá dosavadní registrace k ÚOOÚ) povinnost zavést ve firmě technická, organizační a právní opatření povinnost vést záznamy o činnostech zpracování nová doporučení: šifrování, pseudonymizace, konzultace s ÚOOÚ funkci pověřence (DPO) posouzení vlivů na ochranu osobních údajů

13 Co nového přináší GDPR? zvyšuje: pokuty EUR nebo 4% z celkového obratu celosvětově za předchozí finanční rok Při ukládání se zohlední mnoho faktorů Čl. 83 GDPR

14 2. Jak se může vaše organizace připravit na GDPR?

15 Čeho všeho se může GDPR ve firmě týkat? Osobní doklady, dokumenty v písemné a elektronické podobě, vstupy do budovy a kanceláří, strategických pracovišť V návaznosti na rozsah a kategorii osobních údajů, typ činnost firmy se může dotýkat těchto oddělení: Obchodní, právní, marketingové, IT, Personální, Mzdová účtárna Čl. 6 GDPR

16 Jak se může vaše organizace připravit? Musí mít DPO? orgány rozsáhlé rozsáhlé veř. moci pravidelné monitorování SOÚ citlivé OÚ ne ano Analýza Analýza Implementace Systém Systém Systém osobních údajů, přístupů, marketing rizik opatření uplatňování práv SOÚ hlášení bezpeč. incidentů na ÚOOÚ změn (kontinuita podnikání) Musí mít posouzení vlivů dle čl. 35? rozsáhlé rozsáhlé rozsáhlé citlivé OÚ + trestní věci kamery profilování Čl. 29, 35, 83 GDPR

17 Defaultní proces Určení odpovědné osoby Analýza osobních údajů, přístupů, marketing Analýza rizik, rozhodnutí o úrovni rizik Návrh opatření, rozhodnutí o přijetí opatření Implementace opatření Zpracovatelská smlouva Systém uplatňování práv subjektů osobních údajů Systém vedení záznamů o činnostech zpracování Systém určení a hlášení bezpečnostních incidentů ÚOOÚ a subjektům Systém změn

18 Pomocné nástroje normy ISO systém bezpečnosti informací, seznam opatření správa incidentů správa rizik COBIT (Control Objectives for Information and related Technology): rámec k posouzení fungování a auditování IT certifikace ISO 27001

19 Katalog práv subjektů osobních údajů Přístup Oprava Výmaz (právo být zapomenut) Omezené zpracování Přenositelnost údajů Vznést námitku Pravidla ochrany osobních údajů (Privacy Policy) v tomto dokumentu je třeba tato práva upravit. Nezapomeňte na tzv. layering! Čl. 6 GDPR

20 3. Zpracovatelská smlouva a aplikace

21 Pravidla odpovědnosti správce a zpracovatele Poškozený má právo obrátit se s požavkem na náhradu újmy na správce i na zpracovatele Odpovědnost za svou část: Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené GDPR konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Liberační důvody: Správce nebo zpracovatel se odpovědnosti zprostí, pokud prokáží, že nenesou žádným způsobem odpově dnost za událost, která ke vzniku újmy vedla. Regres: Jestliže některý správce nebo zpracovatel zaplatil plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracováni vráceni části náhrady, ktera odpovídá jejich podílu na odpovědnosti za újmu. Čl. 82 GDPR

22 Kdo je zpracovatel? osoba definována v čl. 4 písm. 8) GDPR samostatný subjekt práva z rozhodnutí správce správce může určit 1 zpracovatele nebo více zpracovatelů musí správci poskytnout dostatečné záruky, že provede vhodná technická a organizační opatření a zajistí ochranu práv subjektů údajů. zapojení dalšího zpracovatele je možné jen na základě předchozího konkrétního nebo obecného písemného svolení správce + uložit mu stejné povinnosti vůči správci odpovídá prvotní zpracovatel vztah se správcem se řídí smlouvou nebo kodexem chování nebo schváleným mechanismem pro vydávání osvědčení Čl. 4, 25, 28, 32, 40, 42 GDPR, R81

23 Zpracovatelská smlouva do smlouvy o poskytování služeb nebo separátně předmět doba trvání zpracování povaha a účel zpracování typ osobních údajů kategorie subjektů osobních údajů povinnosti a práva správce zpracování probíhá na základě pokynů správce zpracovatel použije pouze osoby s povinností mlčenlivosti přijme technická a organizační opatření adekvátní rizikům informační povinnost správci pravidla pro zapojení dalšího zpracovatele (odpovědnost nese 1. zpracovatel) Povinnost součinnosti, výmazu/vrácení dat po skončení zpracování Čl. 28 GDPR, R81

24 3. Aplikace imiks

25 Aplikace imiks K osobním údajům, které ukládáte v imiks, nepotřebujete souhlas. Vše lze podřadit pod jiné zákonné tituly. Výjimka! Osoba, kterou navštěvuje Váš obchodní zástupce a není s ním v obchodním vztahu -> tato osoba musí dát souhlas.

26 Aplikace imiks Správce: Vy (hlavička) Vzor souhlasu Subjekt údajů: Souhlasím se zpracování svých osobních údajů pro účely. Osobní údaje budou zpracovány v rozsahu: Svůj souhlas mohu odvolat posláním u na . adresu. Souhlasím s těmito podmínkami zaškrtnutím souhlasu prostřednictvím internetového formuláře. Zaškrtnutím souhlasu vyjadřuji, že jsem si tyto podmínky přečetl, že s nimi vyjadřuji svůj souhlas a že je v celém rozsahu akceptuji.

27 Závěr imiks je na GDPR připraven Zpracovatelskou smlouvu na imiks máte k dispozici GDPR není jen o vztahu k imiks. Nutno vyřešit i další části Vaší firmy.

28 Nebojte se GDPR. Pomůžeme Vám! Dlouholeté zkušenosti v oblasti ochrany dat Úzká spolupráce s dodavateli IT řešení a ISO techniky na bezpečnost informací Členství v profesních komorách a spolcích Orientace na obchodní přínosy procesu pro klienty

29 imiks Odpovědi na konkrétní otázky k řešení aktuálních problémů s GDPR ve farmacii.

30 Děkuji za pozornost! JUDr. Lucie Radkovičová