DPO jako nový nástroj ochrany osobních údajů

Transkript

1 DPO jako nový nástroj ochrany osobních údajů - Praha, Nový zákon o zpracování osobních údajů S ohledem na kombinaci adaptace GDPR a transpozice směrnice 2016/680 (trestněprávní směrnice) nový zákon upravuje: tzv. civilní zpracování upravuje Obecné nařízení tzv. trestněprávní či policejní zpracování podle směrnice 2016/680 strukturu a pravomoci ÚOOÚ 1

2 Dosud vydaná stanoviska WP 29 k výkladu GDPR Vodítka k pověřencům pro ochranu osobních údajů (schváleno , revidováno ) Vodítka k určování vedoucího dozorového úřadu pro správce nebo zpracovatele (schváleno , revidováno ) Vodítka týkající se práva na přenositelnost údajů (schváleno , revidováno ) Vodítka k posouzení vlivu na ochranu osobních údajů a návod pro hodnocení úrovně rizika zpracování (schváleno , revidováno ) Vodítka k automatizovanému individuálnímu rozhodování a profilování (schváleno ) Dosud vydaná stanoviska WP 29 k výkladu GDPR Vodítka k ohlašování případů porušení zabezpečení osobních údajů (schváleno ) Vodítka pro uplatňování a stanovení správních pokut pro účely nařízení 2016/679 (schváleno ) Pokyny k transparentnosti podle Nařízení 2016/679 Pokyny k souhlasu podle Nařízení 2016/679 Pokyny k certifikacím podle Nařízení 2016/679 Užitečné odkazy: - informační stránka EK v češtině - stránky ÚOOÚ obsahující rubriku GDPR, kde jsou všechna výkladová stanoviska WP metodika k GDPR v oblasti spisových služeb, vydalo MV 2

3 Obecný úvod Institut pověřence je v českém právním řádu novinkou. Současná směrnice 95/46/ES však institut pověřence upravuje (Čl. 18 odst. 2 a recitál č. 49) ale ČR nezavedlo Někteří správci jmenují pověřence dobrovolně (Především dceřiné společnosti s mateřskou společností v zahraničí, typicky v Německu) Do určité míry nahrazuje dosavadní registrační povinnost, kterou GDPR ruší DPO je úhelným kamenem zásady odpovědnosti a jeho jmenování může usnadnit soulad s GDPR. Je to arbitr, metodik, rádce, vnitřní kontrola, připomínkové místo, konzultant Princip odpovědnosti (accountability) Klíčový princip ochrany osobních údajů explicitně v nařízení vyjádřený Správce musí nejen zajistit soulad provádění svých činnosti se základními zásadami ochrany údajů, ale navíc musí být schopen tento soulad proaktivně prokazovat Správce bude muset všechny činnosti související se zpracováním dokladovat WP29 - Stanovisko č. 3/2010 k zásadě odpovědnosti 3

4 Právní úprava V obecném nařízení je institut DPO upraven především v čl. 37 (kdo a jak je povinen DPO jmenovat včetně společného DPO, kvalifikační předpoklady DPO, povinnost zveřejnit kontaktní údaje), čl. 38 (postavení DPO) a čl. 39 (úkoly DPO) a poměrně stručně v recitálu č. 97 Vodítka k pověřencům pro ochranu osobních údajů (schváleno , revidováno ) Jmenování pověřence Povinnost dopadající na správce i zpracovatele, kteří zpracovávají osobní údaje s vyšším rizikem, a proto je nezbytné, aby na takové zpracování dohlížela nezávislá poradní osoba Pověřence budou povinny jmenovat orgány veřejné moci a veřejné subjekty, správci či zpracovatelé, jejichž hlavní činnosti vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů, nebo rozsáhle zpracovávají zvláštní kategorie údajů nebo údaje týkajících se rozsudků v trestních věcech a trestných činů Možnost jmenovat pověřence dobrovolně. V tom případě se zákonné povinnosti týkají obdobně!! V případě zpracování osobních údajů zaměstnanců nepůjde o činnost, která je v kontextu článku 37 odst. 2 písm. b) Nařízení hlavní činností správce nebo zpracovatele a povinnost jmenovat pověřence se vztahovat nebude 4

5 Pojem rozsáhlé zpracování Výklad pojmů rozsáhlé a systematické zpracování přináší stanovisko WP 29 k pověřencům Při určování rozsáhlosti zpracování je třeba brát v úvahu následující faktory: - počet zasažených subjektů údajů vyjádřený buď konkrétním číslem, nebo podílem na relevantní populaci - objem dat a/nebo rozsah různých datových položek - doba trvání nebo nepřetržitost zpracování - územní rozsah zpracování Mezi příklady rozsáhlého zpracování se mimo jiné uvádí: Zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb. Pojem systematické a pravidelné zpracování Za systematické je považováno takové zpracování pokud je splněna jedna nebo více z následujících podmínek: - dochází k němu na základě určitého systému, - je dopředu připravené, organizované nebo metodické, - dochází k němu na základě obecného plánu pro shromažďování osobních údajů nebo - je prováděno na základě určité strategie Slovo pravidelný je jednou nebo kombinací více následujících charakteristik: - průběžný nebo v pravidelných intervalech a po určitou dobu se opakující - stále se opakující nebo opakovaný ve stanoveném čase neustále nebo pravidelně se vyskytující 5

6 Příklady Příklady činností, které mohou zakládat pravidelné a systematické monitorování subjektů údajů např.: Provozování telekomunikační sítě; poskytování telekomunikačních služeb; cílení internetové reklamy pomocí u, marketing řízený daty, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní špinavých peněz), sledování polohy, například u mobilních aplikací, věrnostní programy; behaviorální reklama, sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení, kamerové systémy; propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy, atd. Interní/externí pověřenec DPO může být zajišťován interně, tedy být pracovníkem správce či zpracovatele, nebo může plnit úkoly externě, na základě smlouvy o poskytování služeb DPO může být i právnická osoba Interní DPO spíše pro větší správce či zpracovatele, kteří pověřence plně vytíží. Větší organizace mohou pracovat s velkým množstvím produktů, interních procesů a informačních systémů, jejichž pochopení může být jednodušší pro osobu, který tyto procesy zná Externí DPO - praktická zejména u menších a středních podniků, pro které je zřízení samostatné pozice pověřence finančně náročné. U externího pověřence nehrozí tolik riziko střetu zájmů 6

7 Společní pověřenci Pro skupiny správců a zpracovatelů (např. skupiny podniků typu ČSOB (banka+pojišťovna+leasing+stavební spořitelna). Orgán veřejné moci či veřejný subjekt např. kraje pro podřízené obce, vrchní soudy pro podřízené soudy, ministerstvo pro podřízené úřady atd. Musí být snadno dosažitelný z každého podniku = možnost pro všechny dotčené osoby rychle a levně bez vynaložení mimořádných nákladů se na DPO obrátit a to v rodném jazyce. Snadná dosažitelnost je tak zajištěna existencí vyhrazeného telefonního čísla, ové adresy, klasické adresy pro poštovní zásilky atd. Kvalifikační předpoklady Pověřenec musí být jmenován na základě: - profesních kvalit - odborných znalostí v oboru práva - praxe v oblasti ochrany osobních údajů - dostatečné znalosti národních i evropských předpisů, které se týkají ochrany OÚ - podrobné a hluboké znalosti Nařízení Právní předpisy neřeší, jak budou DPO či správci a zpracovatelé splnění kvalifikační předpokladů dokazovat (např. při kontrole), ani nestanoví žádná další kritéria pro posuzování, zda jsou jednotlivé požadavky naplněny Ani v současné době se neuvažuje o stanovení kvalifikačních požadavků např., formou certifikace apod. DPO je funkce nikoliv kvalifikace 7

8 Způsob práce pověřence zaměření na riziko Při plnění svých úkolů musí brát DPO ohled na riziko spojené s operacemi zpracování. Prioritně se proto musí zaměřit na ty úkony zpracování, které představují nejvyšší riziko pro práva a svobody fyzických osob Ani méně rizikové oblasti nesmí být zanedbávány. Pokud by bylo rizikových oblastí v rámci činností správce či zpracovatele takové množství, že by nebylo v kapacitách pověřence tato zpracování zodpovědně monitorovat, měl by správce či zpracovatel poskytnout dodatečné zdroje, včetně podřízených zaměstnanců pověřence Přístup založený na riziku (RBA) Správce (DPO) bude muset provádět komplexní posouzení každého zpracování s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Povinnost správce přijmout přiměřená bezpečnostní opatření odpovídající míře rizika prováděných zpracovatelských operací Povinnost tato opatření průběžně revidovat a aktualizovat Příklady různě pravděpodobných a závažných rizik pro práva a svobody fyzických osob (čl. 35 r. 75, 91) 8

9 Uplatnění určení rizikovosti zpracování osobních údajů Určení rizikovosti zpracování osobních údajů se uplatní při plnění některých povinností, jako jsou: - zpracování posouzení vlivu na ochranu osobních údajů - určení úrovně rizikovosti je odvozeno od charakteru zpracování osobních údajů (tedy úroveň rizika nevyplývá z analýzy rizik) ale předchází všem krokům včetně analýzy rizik. Hodnotíme hypotetickou událost - ohlašování případů porušení zabezpečení osobních údajů hodnocení rizika vůči lidským právům a svobodám, které je následkem porušení, je zaměřeno jinak, než v případě DPIA. V případě DB již k porušení došlo, jde o hotovou věc, přičemž pozornost se soustřeďuje na výsledné riziko vlivu incidentu na jednotlivce Posouzení vlivu na ochranu osobních údajů (DPIA) základní informace Upravuje čl. 35 GDPR Recitály: 75, 84, Vodítko WP 29 (WP 248) - Pokyny pro posouzení vlivu na ochranu údajů ze (obsahují i odkazy na metodiky vytvořené zahraničními dozorovými úřady) K povinnosti provádět DPIA (materiál ÚOOÚ k veřejné diskusi na webových stránkách úřadu) DPIA = způsob, jak ukázat, že byla zavedena vhodná opatření k minimalizaci definovaných rizik a demonstrovat tak soulad s GDPR 9

10 Proces DPIA základní pravidla Částečně nahrazuje registrační povinnost, kterou GDPR ruší. Povinnost se vztahuje pouze na správce osobních údajů Nemusí provést přímo správce, lze outsourcovat ale odpovědnost vždy na správci Správce může vyžádat součinnost zpracovatele, je-li to nutné DPIA může být také součástí dodávky uceleného programového vybavení (pokrývající jednu nebo více operací zpracování) Je nutné si vždy vyžádat posudek pověřence, pokud byl jmenován Správce si musí vyžádat stanovisko subjektů údajů nebo jejich zástupců DPIA je nutné provést vždy před zahájením nového zpracování nebo významnou změnou v již probíhajícím zpracování DPIA podléhá revizím, a to alespoň v případě změn hrozeb působících na zpracování osobních údajů Pro provádění posouzení může správce zvolit z více různých metodik (viz příloha č. 1 WP 248) Úkoly DPO ve vztahu k DPIA Zaměstnavatel musí s DPO konzultovat: Zda je nebo není nutné provést posouzení vlivu Jakou metodiku při zpracování posouzení vlivu uplatnit Zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě Jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů Zda posouzení vlivu bylo zpracováno správně a zda jeho závěry (ať už vedou či ne k pokračování zpracovatelské operace a určují jaká ochranná opatření nutno uplatnit) jsou v souladu s GDPR V jakých lhůtách bude zaměstnavatel revidovat DPIA 10

11 Postup správce při zpracování DPIA a) Stanovení, zda zpracování osobních údajů podléhá vypracování posouzení vlivu na ochranu osobních údajů b) Vypracování vlastního posouzení vlivu na ochranu osobních údajů v požadovaném rozsahu a struktuře c) Stanovení, zda na základě výsledků posouzení vlivu na ochranu osobních údajů je nutná předchozí konzultace s Úřadem pro ochranu osobních údajů a) stanovení, zda zpracování osobních údajů podléhá vypracování DPIA Provádí se pouze pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva s svobody fyzických osob (čl. 35/1) dochází k systematickému a rozsáhlému vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k FO právní účinky nebo mají na fyzické osoby podobně závažný dopad, dochází k rozsáhlému zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se trestních věcí, dochází k rozsáhlému systematické monitorování veřejně přístupných prostorů Další upřesňování parametrů provedla WP29 v rámci vydaného stanoviska K DPIA ÚOOÚ vytvořil seznam operací, které podléhají DPIA, prostřednictvím určení rizikovosti u jednotlivých zpracování osobních údajů + návrh negativního seznamu - na webových stránkách ÚOOÚ k veřejné diskusi 11

12 b) vypracování vlastního DPIA Obsah posouzení vlivu DPIA 1. Systematický popis operací zpracování (definice účelů, popis zpracovávaných údajů, doby uchování, subjektů údajů, příjemců dat ) 2. Analýza proporcionality a nezbytnosti prováděných operací z hlediska plnění definovaných účelů zpracování 3. Popis zajištění jednotlivých práv subjektů údajů 4. Posouzení rizik pro práva a svobody subjektů údajů : - identifikace hrozeb spojených se zpracováním - identifikace potencionální újmy dotčených osob - zhodnocení pravděpodobnosti, že újma vznikne - zhodnocení závažnosti potencionální újmy, pokud by vznikla 5. Návrh technických a organizačních opatření k řešení hrozeb (snížení pravděpodobnosti, že se riziko projeví, např. prostřednictvím řízení přístupu do objektu/prostor, řízení přístupu k údajům, zajištění čitelnosti údajů pouze oprávněnými osobami, provádění logování a monitorování, zabezpečení komunikačního prostředí, zálohování dat, archivace dat apod. b) vypracování vlastního DPIA 6. Způsob a periodicita ověření účinnosti přijatých technických a organizačních opatření 7. Odhad úrovně rizika pro práva svobody subjektů údajů po provedených opatřeních (míra rizika by se měla po provedených technických a organizačních opatřeních snížit na úroveň běžná nebo riziková, bylo by jen obtížně obhajitelné, kdyby se i po provedených opatřeních míra rizika nesnížila) 8. Případné stanovisko zástupců subjektů údajů a případný posudek pověřence pro ochranu osobních údajů CNIL uvedl aplikaci pro DPIA 12

13 c) stanovení, zda je nutná předchozí konzultace s Úřadem pro ochranu osobních údajů Pokud je po provedení DPIA úroveň rizika stále hodnocena jako vysoké riziko pro práva a svobody subjektů údajů (tj. přijatá technická a organizační opatření rizika nesnížila), potom je třeba provést předchozí konzultaci u Úřadu pro ochranu osobních údajů Nepřijatelné riziko je takové, kdy subjektu údajů hrozí závažné nebo nevratné důsledky, které nelze překonat (propuštění ze zaměstnání, finanční ohrožení) nebo pokud je zřejmé, že riziko nastane (např. tím, že nebude možné omezit počet osob, které mají přístup k údajům) Úřad může v případě, že by zamýšlené zpracování porušilo toto nařízení, uplatnit kteroukoli ze svých pravomocí uvedených v čl. 58 GDPR (např. žádat o informace, o přístup k osobním údajům a do všech prostor, provádět šetření, uložit dočasné nebo trvalé omezení zpracování včetně jeho zákazu) Seznamy rizikových zpracování podléhající DPIA sestavované dozorovým úřadem ÚOOÚ má povinnost sestavit a zveřejnit seznam druhů operací zpracování, které podléhají požadavku na DPIA (čl. 35/4 GDPR) Kritéria stanovená WP 29 mohou být inspirací dozorovým úřadům při sestavování tohoto seznamu ale nezbavují povinnosti jednotlivé dozorové úřady seznam vytvořit Dozorové úřady mohou vytvořit i negativní seznam zpracování, na které se povinnost DPIA vztahovat nebude Úřad zveřejnil materiál k povinnosti provádět DPIA na svých webových stránkách k veřejné diskusi 13

14 Zpracování nepodléhající posouzení vlivu Pokud zpracování nepředstavuje vysoké riziko Pokud bylo DPIA již provedeno pro velmi podobné zpracování Zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky (rec. 91 GDPR) Pokud je zpracování uvedeno na seznamu zpracování, které nevyžadují DPIA (seznam vypracovaný ÚOOÚ) Pokud zpracování bylo před účinností GDPR zkontrolováno dozorovým úřadem Pokud se jedná o zpracování na základě právní povinnosti mající základ v unijním právu nebo právu členského státu EU a posouzení vlivu již bylo provedeno v rámci legislativního procesu (čl. 35/10 GDPR) V 9 návrhu zákona o zpracování osobních údajů je zakotvena Výjimka z povinnosti posouzení vlivu pro správce před jeho zahájením, pokud mu (správci) právní předpis stanoví povinnost takové zpracování provést. Porušení zabezpečení osobních údajů (data breaches) základní informace Nápad oznamovat regulátorům porušení zabezpečení osobních údajů pochází z USA, první zákon k DB přijal v roce 2002 stát Kalifornie Od 1. ledna 2012 se vztahuje na poskytovatele služeb elektronických komunikací (provozovatelé telekomunikačních sítí a poskytovatelé internetových služeb) - zákon č. 127/2005 Sb. GDPR rozšiřuje ohlašovací povinnost na všechna odvětví (bankovnictví, energetika, doprava, zdravotnictví, veřejná správa apod.) Za porušení ohlašovací povinnosti sankce do výše 10 mil EUR nebo 2 % celkového ročního obratu 14

15 Obecná povinnost zabezpečit osobní údaje GDPR ukládá správci a zpracovateli osobních údajů povinnost zabezpečit osobní údaje, a to prostřednictvím technických a organizačních opatření, které jsou přiměřená různě pravděpodobným a různě závažným rizikům Správci a zpracovatelé tak musí zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování a v pravidelných intervalech posuzovat účinnost zavedených technických a organizačních opatření Kdy dochází k porušení Porušení zabezpečení osobních údajů vzniká v případě, že dojde k překonání (úmyslnému, neúmyslnému nebo nahodilému) technických a organizačních opatření přijatých správcem k zabezpečení zpracování osobních údajů Takové porušení má za následek stav, kdy vznikají rizika pro práva a svobody fyzických osob, která mohou být, v některých případech, považována za vysoká Rozhodujícím krokem, ze kterého vyplývá další postup správce je stanovení míry rizika (jeho pravděpodobnost a závažnost), vyplývající z porušení zabezpečení osobních údajů, pro práva a svobody fyzických osob Hodnocení rizika je u porušení zabezpečení zaměřeno jinak než při posouzení vlivu, kde se jedná o posouzení hypotetické události. Když už k porušení dojde, jedná se o hotovou věc 15

16 Kdy dochází k porušení Souvisí s porušení tří zásad informační bezpečnosti: 1. porušení důvěrnosti v případě neoprávněného nebo náhodného poskytnutí nebo zpřístupnění osobních údajů 2. porušení dostupnosti - v případě náhodné nebo neoprávněné ztráty přístupu nebo zničení osobních údajů 3. porušení integrity v případě neoprávněného nebo náhodného pozměnění osobních údajů Kdy se riziko nemusí projevit Riziko nebo vysoké riziko pro práva a svobody subjektů údajů se nemusí projevit (respektive je nepravděpodobné, že by porušení mělo za následek vznik rizika/vysokého rizika pro práva a svobody fyzických osoby), pokud: 1. osobní údaje nejsou čitelné pro neoprávněnou osobu (správce přijal technická a organizační opatření, která neumožňují osobní údaj třetí osobě přečíst šifrování, hashování, pseudonymizace) 2. osobní údaje nejsou v držení třetí strany (např. zpřístupnění/zaslání osobních údajů známé osobě, která s jistotou provede jejich smazání/vrácení/znepřístupnění) 3. nedostupnost osobních údajů nezpůsobí narušení životně důležitých zájmů subjektu údajů (např. smazání údajů, nebo jejich dočasné nedostupnosti následkem výpadků zásobování energiemi apod.) 16

17 Postup správce a zpracovatele Postup správce: Správce oznamuje porušení zabezpečení osobních údajů ÚOOÚ a to v případech, kdy porušení zabezpečení bude mít za následek vznik rizika pro práva a svobody fyzických osoby (rizika se mohou projevit) Správce oznamuje porušení zabezpečení osobních údajů subjektu údajů, a to v případech, kdy porušení zabezpečení bude mít za následek vznik vysokého rizika pro práva a svobody fyzických osoby (vysoká rizika se mohou projevit), a to na základě vlastního podnětu nebo požadavku ÚOOÚ Správce vede dokumentaci všech případů porušení zabezpečení osobních údajů Postup zpracovatele: Pokud zpracovatel zjistí, že došlo k porušení zabezpečení osobních údajů u zpracování některého ze správců, ohlásí to bez zbytečného odkladu příslušnému správci Zpracovatel může provést ohlášení jménem správce, pokud byl správcem pověřen Způsob provádění oznámení správcem Správce oznamuje porušení zabezpečení osobních údajů v definované struktuře a definovaným způsobem (oznámení probíhá prostřednictvím formuláře umístěného na webových stránkách ÚOOÚ. Předpoklad společného formuláře pro země EU. Orientační rozsah formuláře lze nalézt na webu úřadu i dnes) Správce oznamuje porušení zabezpečení osobních údajů v definovaných termínech (oznamuje se do 72 hodin od okamžiku, kdy se správce dozvěděl o porušení zabezpečení osobních údajů. Pokud není možné poskytnout všechny informace v oznámení současně, může je správce oznámit postupně a bez zbytečného odkladu s tím, že v oznámení uvede, že chybějící informace oznámí postupně. Pokud ve výjimečných případech není oznámení učiněno do 72 hodin, musí v opožděném oznámení správce uvést důvody zpoždění oznámení 17

18 Povinné údaje ohlašované dozorovému úřadu Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace Popis pravděpodobných důsledků porušení zabezpečení osobních údajů Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů Správce může poskytnout i další informace nad rámec požadovaných, pokud to považuje za nezbytné Dozorový úřad může v průběhu šetření požadovat další informace, pokud to považuje za nezbytné pro vyjasnění okolností porušení Doporučení správcům Stanovit pravidla pro předcházení bezpečnostních incidentů Nastavit procesy, které pomohou detekovat a vyhodnotit případný incident Nastavit postupy a opatření, které navrhuje přijmout k řešení incidentu a minimalizaci negativních následků Vypracovat a dokumentovat vhodné plány určené k řešení případů porušení zabezpečení osobních údajů, včetně zřízení kontaktního místa pro všechny osoby ohlašující incident, díky čemuž bude schopen zajistit, aby na porušení bylo reagováno dostatečně rychle a účinně 18

19 Děkuji Vám za pozornost! Kontakt: Mgr. Bc. David Burian 19