Obecné nařízení (GDPR)

Transkript

1 Obecné nařízení (GDPR) Regulatorní rámec ochrany osobních údajů Praha, Obecné nařízení o ochraně osobních údajů (GDPR) ve stručnosti V platnosti od 24. května 2016 V účinnosti od 25. května 2018 Ruší se směrnice 95/46/ES Zákon č. 101/2000 Sb., o ochraně osobních údajů se účinností GDPR neruší, použije se pouze subsidiárně Návrh zákona o zpracování osobních údajů je v Senátu 2 1

2 Nový zákon o zpracování osobních údajů Nahradí zákon č. 101/2000 Sb. 4 hlavní části: tzv. unijní zpracování (hlava II ZZOÚ) upravuje Obecné nařízení tzv. trestněprávní či policejní zpracování (hlava III ZZOÚ) - transponuje směrnici 2016/680 (zpracování bezpečnostními sbory) tzv. neunijní zpracování (hlava IV ZZOÚ) - v rámci bezpečnosti a obrany ČR (zpracování zpravodajskými službami obecně) struktura a pravomoci ÚOOÚ (hlava V ZZOÚ) Změnový zákon řada dílčích úprav různých zákonů (cca 35) kvůli nařízení nebo směrnici 3 Některé úpravy Výjimky pro zpracování údajů ke kompatibilním účelům a možnosti omezit práva subjektů údajů ve věcech veřejného zájmu a nově i při vymáhání soukromoprávních nároků - 6, 11 Výjimka z povinnosti posouzení vlivu nebo oznámení porušení zabezpečení - 10, 12 Možnost informovat subjekty údajů zveřejněním informací na internetu, pokud je zpracování prováděno na základě zákona nebo ve veřejném zájmu - 8 Přenesení akreditace subjektů pro vydávání osvědčení na ČIA - 15 Výjimky z některých povinnosti při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely - 16 Stanovení maximální výše pokuty pro orgány veřejné moci a veřejné subjekty na 10 mil. Kč. a pro malé obce a jejich školy, školky, příspěvkové organizace na 5 tis. Kč Nová kompetence související s prováděním přezkumného řízení při postupu podle předpisů upravujících svobodný přístup k informacím 4 2

3 Základní zdroje informací stránky ÚOOÚ obsahující rubriku GDPR, kde jsou i všechna výkladová stanoviska WP 29 stránky Sboru pro ochranu osobních údajů - informační stránka EK v češtině - metodická doporučení včetně rozcestníku na metodické materiály ostatních resortů (MZ, MŠ, MPO, MK), vzorové dokumenty včetně vzorové pracovní náplně pověřence a vzorových záznamů o činnostech zpracování, modelové systémové analýzy pro obce i pro kraje 5 Konzultace s Úřadem Velký nárůst počtu dotazů ze strany veřejnosti Aktualizace rubriky Často kladených otázek, rozdělení do jednotlivých částí dle oblastí Průběžně doplňovány informační materiály na webových stránkách Úřadu Každodenní provoz telefonní informační linky určené k poskytování rychlých a jednoduššíchinformací o GDPR veřejnosti Semináře pro pověřence 6 3

4 Jak konzultovat s Úřadem Identifikovat a analyzovat problém K otázkám hledat vhodná řešení Zpracovat návrh řešení (stručný a výstižný) Konzultace není závazným stanoviskem (s výjimkou. předběžné konzultace podle čl. 36) Úřad neschvaluje interní dokumenty správce Úřad nevydává žádné certifikaci o tom, zda nějaký produkt je v souladu s GDPR 7 Stížnosti subjektů údajů Zvýšený nárůst stížnostní oproti minulým rokům Získávání souhlasu - podmiňování poskytnutí služby (porušení čl. 7 odst. 4) v praxi případy, kdy nelze dokončit (odeslat) uzavření smlouvy (objednávku služby) bez vyjádření souhlasu se zpracováním osobních údajů za účelem zasílání obchodních sdělení - manipulativní získávání souhlasu (porušení zásady transparentnosti a čl. 7 odst. 2) účel je zamlžován (nekonkrétní, příliš obecná informace) souhlas je předvyplněn (předem zaškrtnutá pole), zpravidla nejsou uvedeny obě možnosti (souhlasím, nesouhlasím), event. pod nezaškrtnutým polem ve formuláři je jediná možnost - odeslat - nadbytečné vyžadování souhlasu (vyžadování souhlasu se zpracováním pro uzavření smluvního vztahu např. pracovněprávního, vyžadování souhlasu při on-line registraci na seminář) 8 4

5 Stížnosti subjektů údajů Výkon práv subjektů údajů Zvýšený počet stížností na nevykonávání těchto práv ze strany správců. Zejména právo na přístup k osobním údajům, kdy subjektu údajů nebyla na jeho žádost poskytnuta informace nebo bylo znesnadňováno uplatnění tohoto práva neadekvátními požadavky na způsob ověření jeho identity Nerespektování námitky proti přímému marketingu čl. 21 odst. 2, odst. 3 V případě méně závažných porušení Úřad informoval správce formou dopisu o možném porušení pravidel ochrany osobních údajů. V drtivé většině těchto případů bylo už v této fázi dosaženo nápravy. Velmi často se týkaly z. 106/1999 Sb., šlo zejména o obce, které velmi často přistupují ke zveřejnění dokumentu s poskytnutou informací, aniž by zároveň odstranily adresní údaje žadatelů 9 Stížnosti subjektů údajů Neoprávněné předání - omylem postoupená pohledávka - zaslání zprávy obsahující osobní údaje klientů jiným adresátům - možné předání osobních údajů ze strany zaměstnance banky společnosti poskytující finanční služby (klient poptával na pobočce bankovní trezor, byl přitom požádán o aktualizaci kontaktních údajů a v tentýž den mu následně volala investiční společnost s nabídkou obchodního sdělení ) Zveřejňování osobních údajů na internetu a souvisejícího práva na zapomenutí Stížnosti na kamery, nejčastěji využívaných v rámci sousedských (občanskoprávních) sporů, zaměstnavatelem, nebo k ochraně veřejného majetku 10 5

6 Spolupráce dozorových úřadů mechanismus jednotnosti Důraz na spolupráci dozorových úřadů, cíl - jednotné posuzování prováděných zpracování Součástí systému je i mechanismus jediného kontaktního místa ( onestop-shop mechanism ) pro případy přeshraničního zpracování osobních údajů V rámci tohoto mechanismu je jeden dozorový úřad v roli vedoucího (úřad pro hlavní nebo jedinou provozovnu správce nebo zpracovatele) a ostatní úřady mohou být za určitých podmínek tzv. dotčenými dozorovými úřady (např. pokud jsou zpracováním podstatně dotčeny subjekty údajů s bydlištěm v členském státě tohoto úřadu) V rámci kontrol, které byly zahájeny v roce 2018, vystupoval Úřad v roli vedoucího dozorového úřadu ve dvou kontrolách 11 Zásady ochrany osobních údajů Staré (již za směrnice 95/46) Zákonnost, korektnost, transparentnost Účelové omezení Minimalizace údajů Přesnost Omezení uložení Integrita a důvěrnost Nové Přístup založený na riziku (Risk-Based Approach) Odpovědnost (accountability) 12 6

7 Posouzení vlivu na ochranu osobních údajů (DPIA) základní informace Upravuje čl. 35 GDPR (rec. 75, 84, 89 95) Vodítko WP 29 (WP 248) - Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko pro účely nařízení 2016/679 Seznam rizikových zpracování vytvořený Úřadem ČSN - ISO/IEC proces posuzování dopadů na soukromí 13 Seznam rizikových zpracování vytvořený Úřadem Seznam rizikových zpracování Úřad vycházel ze stanoviska WP248 k DPIA Každé zpracování je popsané jedinečným souborem charakteristik (kritérií), které umožní zpracování popsat a zařadit mezi zpracování s vysokou mírou rizika nebo ostatní Zpracování se dle každé z charakteristik roztřídí do tří skupin: kritické hodnoty (červeně), významné hodnoty (modře) a nízké hodnoty (zeleně) Dvě a více červených nebo jedna červená a 5 žlutých = povinnost DPIA Seznam zpracování, která nepodléhají povinnosti provést DPIA (negativní seznam) bude zaslán ke stanovisku Sboru a poté rovněž zveřejněn 14 7

8 Kodexy chování základní pravidla, doporučení, nedostatky Existenci kodexů upravovala již směrnice 95/46/ES neujalo se Samoregulační nástroj, měl by zohledňovat specifika různých odvětví (řešit nejasnosti, které vznikají při zpracování osobních údajů v rámci daného odvětví - pojišťovnictví, bankovnictví, zdravotnictví, energetika, cestovní ruch apod.) Musí poskytnout dostatečně jasné a účinné řešení problémů spojených se zpracováním osobních údajů v daném sektoru. Nesmí obsahovat pouze přepis ustanovení obecného nařízení (takový kodex je zbytečný, protože ustanovení obecného nařízení jsou přímo účinná) Spravuje určený subjekt (asociace, aliance, sdružení apod.), závazek jeho aktualizace ve vztahu k vývoji legislativy, změnám postupů správců nebo zpracovatelů, případně i k vývoji informačních technologií V úvodu jasné sdělení, jaká zpracování bude kodex řešit, tedy zda pouze core business nebo i ostatní společné zpracování, např. personální a mzdovou agendu, monitorování zaměstnanců, kamerové sledovací systémy apod. uplatňování obecného nařízení 15 Kodexy chování základní pravidla, doporučení, nedostatky Závazek správce nebo zpracovatele k dodržování kodexu chování je dobrovolný Když je kodex schválen dozorovým úřadem nebo Sborem, může se ke kodexu přihlásit příslušný správce nebo zpracovatel Správce nebo zpracovatel se podpisem kodexu zavazuje k jeho dodržování, zajištění monitorování kodexu chování (prostřednictvím akreditovaného subjektu oprávněného k monitorování daného kodexu) Ustanovení kodexu chování musí být natolik konkrétní, aby umožňovala správci nebo zpracovateli jejich jednoznačnou implementaci a subjektu monitorujícímu kodex chování ověření jejich plnění Ustanovení kodexu chování mohou být jednak pozitivní (co správce nebo zpracovatel dělat musí), jednak negativní (co správce nebo zpracovatel dělat nesmí) nebo doporučující řádnému uplatňování obecného nařízení 16 8

9 Schvalovací procedura Pokud se kodex týká zpracování prováděných pouze na území ČR: dozorový úřad posoudí návrh kodexu a vydá stanovisko o tom, zda je kodex v souladu s nařízením a následně ho schválí. Úřad schválený kodexy vhodným způsobem zveřejní Pokud se kodex týká zpracování prováděných ve více členských zemí: dozorový úřad předloží návrh kodexu Sboru pro ochranu osobních údajů, který vydá stanovisko o tom, zda je kodex v souladu s nařízením. Pokud je stanovisko kladné je kodex předán Komisi. Komise může rozhodnout, že kodex má všeobecnou platnost v rámci Unie. V tom případě zajistí jeho zveřejnění V současné době není možné předkládat Úřadu kodexy ke schválení 17 Akreditace subjektů pro monitorování kodexu Každý kodex musí být opatřený závazkem správce nebo zpracovatele: 1. k dodržování v kodexu popsaných postupů, 2. k podrobení se monitorování dodržování kodexu ze strany nezávislého subjektu. Dodržování kodexu chování bude monitorováno buď samotným dozorovým úřadem, nebo subjektem akreditovaným dozorovým úřadem Lze předpokládat, že kromě obecných požadavků (nestrannost, kvalita, bezdlužnost, čistý trestní rejstřík), požadavků na odbornost v oblasti bezpečnosti a ochrany osobních údajů, budou formulovány i požadavky na odbornost týkající se činnosti dané skupiny správců či zpracovatelů (znalost právních předpisů např. v oblasti zdravotnictví apod.) Systém monitorování schválených kodexů chování bude řešeno v rámci Evropy. Do té doby nelze prozatím žádat Úřad o akreditaci 18 9

10 První zkušenosti s kodexy Velký zájem. Důvod? Správci a zpracovatelé chtějí mít ověřenou záruku, že zpracovávají osobní údaje v souladu s nařízením dříve registrace Nešvar: předčasné zasílání návrhů kodexů chování k posouzení a schválení (9 návrhů kodexů chování nebo konzultací k jejich přípravě nebo monitorování) Důsledek: žádný z předložených dokumentů neměl charakter kodexu chování (v řadě případů šlo o přepsání ustanovení nařízení s minimální přidanou hodnotou, a to značně nekonkrétní a nejednoznačné) Zajímavost: Jeden ze subjektů zveřejnil kodex na svých webových stránkách, 50 subjektů se k němu přihlásilo, ačkoliv není schválen a není akreditován žádný subjekt určený pro jeho monitorování. Závěr: takový kodex nemůže sloužit k prokázání souladu s obecným nařízením o ochraně osobních údajů Chybí jakákoliv analýza a zdůvodnění přípravy a obsahu kodexu Chybí doložení proběhlých jednání nezbytných před zahájením tvorby kodexu, které dokladují, že na zpracování kodexu, jeho obsahu, jeho zpracovateli a správci panuje širší shoda v rámci daného odvětví 19 Mechanismus pro vydávání osvědčení základní informace Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky GDPR Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant, jak prokázat soulad s GDPR 20 10

11 Kdo vydává osvědčení (certifikaci) Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované ČIA Osvědčení se vydává na základě kritérií, které vytvořil ÚOOÚ Kritéria pro vydávání osvědčení specifikují soubor požadavků, které musí splňovat subjekt žádající o osvědčení Požadavky/kritéria vytvořená ÚOOÚ schvaluje Sbor pro ochranu osobních údajů 21 Předmět osvědčení (certifikace) Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být: a) operace zpracování osobních údajů (tj. jednotlivé zpracování osobních údajů nebo více zpracování osobních údajů) v případě správců nebo zpracovatelů, a to za účelem prokázání shody s nařízením (čl. 42) b) produkty, tedy HW a SW a služby (recitál bod 100) 22 11

12 Kdo provádí akreditaci Orgánem oprávněným akreditovat (oprávnit k provádění vydávání osvědčení/certifikaci) bude: Český institut pro akreditaci o.p.s. ( 15 návrhu zákona o zpracování osobních údajů) v souladu s EN-ISO/IEC 17065/2012 (požadavky na orgány certifikující produkty, procesy a služby) a na základě dodatečným požadavků dozorového úřadu/sboru Účelem akreditace je poskytnout autoritativní stanovisko k způsobilosti daného subjektu (subjekt posuzování shody) k provádění certifikace (činnost posuzování shody) 23 Stručný závěr Kritéria pro vydávání osvědčení a kritérií pro akreditaci subjektů pro vydávání osvědčení budou předána Sboru ke schválení Sbor chystá vydat vodítka, jak by měla vypadat kritéria pro akreditaci a certifikaci V současné době nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování 24 12

13 Děkuji Vám za pozornost! Kontakt: Mgr. Bc. David Burian 25 13