S GDPR nepřijde konec světa Mgr. Michal Nulíček, LL.M., CIPP/E, ROWAN LEGAL Osobní údaje 2018, 8. 3. 2018, Praha
Obsah GDPR bez obalu Dopady GDPR na: HR Marketing Odhad vývoje po 25. 5. 2018 rizika zpracovatel oznámení pověřenec souhlas EU eprivacy ENISA incidenty IAPP prevence GDPR soulad osobní údaje správce analýzy security pokuty WP29 dozorový úřad dotazníky GAP compliance
GDPR bez obalu
GDPR jako strašák ALE! Platí již dva roky Obsahově není revolucí Důvody hysterie: Pokuty jsou ale maximální a zafungovaly jako motivátor změny Počáteční stav (ne)připravenosti Pozdní zahájení přípravy i u velkých společností a skupin Neznalost nebo těžká pochopitelnost přístupu založeného na riziku
Hlavní principy správné Je dobře, že: se GDPR vztahuje i na společnosti mimo EU si správci našich dat musí určit účel zpracování, opřít jej o zákonný podklad pro daný účel mohou zpracovávat jen nezbytné aktualizované údaje a po nezbytnou dobu máme právo na informace o zpracování a další práva (vč. výmazu) správci musí naše data chránit, zavázat k tomu zaměstnance a dodavatele + kontrolovat předávat do zemí s nižší mírou ochrany lze jen omezeně
Důvody kritiky!!!! Obecná, nejasná terminologie Nejasné a pozdní výklady regulátorů (WP29) Technické obtíže při implementaci Velká míra právní nejistoty Nedostatečná lokální adaptace Nerovnost českých správců a zpracovatelů oproti některým jiným státům EU
Kde hledat pomoc Stanoviska WP29 WP29 2016 Pověřenec pro ochranu osobních údajů (DPO), Právo na portabilitu, Vedoucí dozorový úřad, Automatizované individuální rozhodování a profilování 2017 Posouzení vlivu na ochranu osobních údajů, Ohlašování případů porušení zabezpečení osobních údajů, Osvědčení o ochraně osobních údajů (certifikace), Akreditace subjektů pro vydávání osvědčení, Stanovení správních pokut, Souhlas, Transparentnost, Binding Corporate Rules, Zpracování osobních údajů na pracovišti Překlady stanovisek Úřad pro ochranu osobních údajů
Kde hledat pomoc ICO a zahraniční orgány ICO Stanoviska k úpravě smluv mezi správci a zpracovateli, souhlasu, profilování a automatizovanému rozhodování, webináře a vodítka pro malé a střední podniky Pomůcky zahraničních orgánů ENISA metodika hodnocení bezpečnostních incidentů Belgický dozorový úřad vzor záznamů zpracování CNIL Bezplatná aplikace v češtině pro posouzení vlivu ISACA - Průvodce posouzením vlivu na ochranu osobních údajů
GDPR a HR
Zaměstnanec dle GDPR Subjekt údajů Nástroj plnění Zdroj rizika
Zpracování údajů zaměstnanců Plnění právní povinnosti (přihlášení na úřady, daně, sociální zabezpečení) Plnění smlouvy (mzdy, apod.) Oprávněný zájem (provozní potřeby, monitoring) Souhlas pouze výjimečně nové stanovisko WP29 Nesmí být negativní dopad při neudělení!
Informační politika Stručně v první vrstvě Např. v osobním dotazníku
Informační politika Podrobně kompletní informace dle GDPR Např. na intranetu, k vyžádání na personálním odd
Koncepce ochrany OÚ včetně školení a kontroly dodržování Podrobná a srozumitelná l Musí umožňovat posouzení souladu l Proveditelná l Aktuální Koncepce ochrny osobních údajů
GDPR a marketing
Konkurence režimů 2 regulace GDPR ZSIS/ePrivacy souhlas oprávněný zájem opt-out opt-in / souhlas Stávající zákazníci Stávající i potenciální zákazníci Konvenční marketing (balanční test) Obchodní sdělení el. prostředky
Ukázka souhlasu Např. s cíleným marketingem + odkaz na podrobné informace
Co bude po 25. 5. 2018?
Odhad vývoje po 25. 5. 2018 I. Svět se nezhroutí, Pokuty spíše V řádu max. spíše U velkých správců business as usual, udělovány až po desítek mil. Kč s přechodný skokový byť nikdo nebude účinnosti nového výjimkou např. incidentů nárůst žádostí (hlavně 100% v souladu zákona a hrubé nedbalosti přístup a výmaz), postupně snížení
Odhad vývoje po 25. 5. 2018 II. GDPR IT SMEs Velcí správci a Všichni budou dohánět Řada malých a Sektorové přístupy, zpracovatelé budou IT (data governance, středních podniků kodexy a certifikace dohánět dokumentaci (interní směrnice, bezpečnost), automatizace, SW začne řešit až po 25. 5. (dle průzkumů až 20 % přesmluvnění nástroje společností vyčkává) zpracovatelů)
Jak můžeme pomoci?
Děkuji za Vaši pozornost Mgr. Michal Nulíček, LL.M. nulicek@rowanlegal.com
Odkazy na zdroje ICO https://ico.org.uk https://tinyurl.com/yahf66ls https://tinyurl.com/jyww3cz Belgický dozorový úřad https://tinyurl.com/ycwjv9s4 CNIL https://tinyurl.com/y8rf79tg