GDPR: Aktuálně a prakticky

Podobné dokumenty
S GDPR nepřijde konec světa

GDPR Aneb co se nedá stihnout včas

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Seznam vzorů, které naleznete v publikaci:

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

GDPR RYCHLE A ZBĚSILE

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Představení služeb Konica Minolta GDPR

Zabezpečení osobních údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR Modelová Situace z pohledu IT

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Nová pravidla ochrany osobních údajů

Školení GDPR pro Cosmetics Atok International

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Aktuálně o stavu příprav na účinnost GDPR v resortu Ministerstva vnitra. Konference samospráv Olomouckého kraje 14. března 2018

#gdpr #gastro #hotel. 16. února Janka Brezániová

SAFEGUARDING THE DIGITAL FUTURE: CYBER SECURITY & DATA PROTECTION

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Farmakovigilance z pohledu ochrany osobních údajů

Kybernetická bezpečnost

Právní posouzení principů GDPR v rámci organizace

Implementace GDPR. Prioritní okruhy

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Systémová analýza a opatření v rámci GDPR

Ochrana osobních údajů Implementace GDPR

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

DPO jako nový nástroj ochrany osobních údajů

GDPR - příklad z praxe

GDPR v sociálních službách

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

Informatický pondělek FIT ČVUT. Jak pracovat s osobními daty od roku 2018?

Ochrana osobních údajů pro personalisty

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

GDPR Jak pokračuje příprava na vysokých školách. Miroslav Bartošek Masarykova univerzita Ústav výpočetní techniky

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Ochrana osobních údajů podle GDPR. (c) 2018 HÁJEK ZRZAVECKÝ advokátní kancelář, s.r.o.

GDPR Projekt GDPR Compliance

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

ALIS spol. s r.o., Česká Lípa říjen 2017

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

GDPR rok poté Praktické zkušenosti

V Praze 4. dubna 2018

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Obecné nařízení o ochraně osobních údajů

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

O2 a jeho komplexní řešení pro nařízení GDPR

Sdělení ÚOOÚ k přístupu založenému na riziku

Dopady GDPR a jejich vazby

1. ÚVODNÍ USTANOVENÍ. Politika zpracování a ochrany OÚ externích SÚ informační povinnost detailní 2018_05_22_OVANET_a.s. Strana č. 1 z počtu stran 18

GDPR a rizika ochrany osobních údajů jinak. Miroslav Bartošek Masarykova univerzita Ústav výpočetní techniky

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení

Elektrotechnická asociace ČR

Očekávané dopady GDPR do pojišťovnictví

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

Posouzení vlivu na ochranu. Metodika. Jakub Míšek Ústav práva a technologií PrF MU

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

ICT ve školství ročník konference. Mgr. Jana Pattynová, LL.M

Metodické doporučení MV a ÚOOÚ k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

GDPR & CLOUD. Mgr. Jana Pattynová, LL.M

Transkript:

GDPR: Aktuálně a prakticky Mgr. Michal Nulíček, LL.M., CIPP/E, ROWAN LEGAL Osobní údaje 2018, 30. 11. 2017, Praha

O čem to dnes bude? Aktuality z Bruselu Výkladová stanoviska WP29 a další pomůcky Stav českého adaptačního zákona Stav eprivacy nařízení rizika zpracovatel oznámení pověřenec souhlas EU eprivacy ENISA incidenty IAPP prevence GDPR soulad osobní údaje správce analýzy security pokuty WP29 dozorový úřad dotazníky GAP compliance

Aktuality z Bruselu

Postřehy z IAPP Co se řeší v Evropě? Stejná témata mapování, info, souhlasy, práva SÚ, mazání, pověřenci, zabezpečení V ČR nejsme s přípravami výrazně pozadu Stejné výkladové nejasnosti Stejný problém SMEs i ICO Webináře a vodítka pro malé a střední podniky

Postřehy z IAPP Mapování a záznamy Postup procesní/businessový, registrace u ÚOOÚ (výjimky) příp. doplnění přes aplikace a jejich vlastníky Směřovat k výsledku, který očekává GDPR, tj. k záznamům o zpracování PŘES ÚČELY Část povinná (pro ÚOOÚ) Část nepovinná (GAPy, rizikovosti, TO opatření) i Belgický dozorový úřad Vzor záznamů

Postřehy z IAPP Zpracovatelé / Vendor management 3 základní povinnosti správce dle GDPR Požadavky na smlouvu - lze zpřísnit, ale i nastavit parametry Odškodnění správce vs. limity na odpovědnost zpracovatele, četnost a náklady kontrol na místě apod. Dotaz na připravenost zpracovatele na GDPR i ICO Stanovisko ke vztahu správcezpracovatel Checklisty

Výkladová stanoviska WP29 a další pomůcky

Čerstvá novinka! Včera schváleny mj. návrhy vodítek WP29 k souhlasům a transparentnosti Sledujte: http://ec.europa.eu/newsroom/just/itemdetail.cfm?item_id=50083

WP29 k porušení zabezpečení OÚ 3 kategorie porušení: důvěrnosti (zpřístupnění), dostupnosti (ztráta přístupu/zničení) a integrity (změna OÚ) Často kombinace, trvalá i dočasná nedostupnost Více porušení GDPR (př. neoznámení, nedostatečná opatření pro identifikaci porušení) -> sankce za obojí Lhůta bezodkladně, do 72 hodin od získání přiměření jistoty, předtím krátká doba na úvodní prověření Zavést technická (analýza datových toků) a organizační opatření (principy eskalace, přiřazení odpovědnosti, proces vyhodnocení a hlášení) Jednat na základně prvního upozornění

WP29 k porušení zabezpečení OÚ Nehlásí se porušení bez rizika pro SÚ (stále ale evidovat a průběžně vyhodnocovat kompromitace šifr. klíče) Př. ztráta firemního ntb se zašifrovanými daty a s možností rychlé zálohy (dostupnost a důvěrnost zajištěna) I pokud není povinnost hlásit, stále je potřeba evidovat Technická opatření jsou mj. prevence incidentu a povinnosti hlásit, podle toho volit opatření (př. šifrování)

ENISA Metodika pro vyhodnocení závažnosti incidentů Pomůcka a indikace, ne náhražka vlastního posouzení! Výpočet celkové závažnosti incidentu Rozdělení do 4 skupin (nízká, střední, vysoká a velmi vysoká závažnost) ZávPor = KonZpr x JednIden + OkoPor KonZpr - citlivost dat základní hodnota, zvýšení/snížení přes objem OÚ, povahu správce, nepřesnost dat, veřejná dostupnost dat JednIden - zanedbatelná, omezená, podstatná a maximální, vždy dle druhu údaje OkoPor důvěrnost (zveřejnění), integrita (použití nesprávných údajů bez recovery), dostupnost (není backup) a zlovolný úmysl narušitele

WP29 k pokutám I. Konzistentní přístup, podobné sankce za podobná porušení v EU (reakce ÚOOÚ) Stanoví kritéria: povaha závažnost (počet SÚ a újma, respektování omezení účelem) délka porušení Vždy zvážit pokutu x napomenutí méně závažná porušení, nepřiměřená sankce jednotlivci

WP29 k pokutám II. GDPR Finanční benefit z porušení silný indikátor pokuty Přitěžující a polehčující okolnosti úmysl v případě jednání x DPO či na vědomý příkaz top mngtu, zakrývání porušení Plnění GDPR povinností není samo o sobě polehčující okolnost, ale odpovědná reakce na porušení ano Skupiny společností mohou být jeden podnik (soutěžní právo) pokuta z globálního obratu Detailní kalkulace pokut - v dalším vodítku

WP29 k DPIAs I. kdy provádět Kritéria pro vysoká rizika definována široce 9 kritérií, většinou stačí splnění 2 kritérií, Konkrétní hodnocení Příklady: nemocniční IS, monitorování zaměstnanců, využití sociálních sítí pro profilování, správa úvěrové registry XX zpracování jednotlivým lékařem nebo zdravotníkem Existující zpracování zpřesnění původním návrhu

WP29 k DPIAs I. 9 kritérií VR Hodnocení a bodování vč. profilování (scoring úvěrové instituce, predikce chování, nemocí apod.) Automatizované rozhodování Systematické monitorování Velký rozsah Zranitelné subjekty (nerovnováha - děti, zaměstnanci, starší osoby, pacienti) Nové technologie (biometrika, IoT apod.) Obohacování a slučování databází Zpracování brání využití jiných práv (uzavření úvěru) Zpracování citlivých údajů (vč. tr. činů, finančních, el. komunikací, lokalizační apod. x zveřejněné)

DPIAs III. - Postup Monitorování/přezkum Popis zpracování a data flow GAP analýza vč. nezbytnosti a přiměřenosti Dokumentace Opatření pro soulad Opatření pro rizika Posouzení rizik pro SÚ a dalších Nástroj řízení rizik Požadavky metodiky (Příloha 2) i ICO, CNIL, ISACA, Bitkom

GDPR v ČR Novela stojedničky Fakticky nový zákon, připomínkové řízení skončilo 9/2017, účinnost nejistá omezuje některé povinnosti pro veřejnou správu snižuje u ní pokutu na 10Mil. Kč snižuje věk (13 let) pro souhlas ZZ dítěte u i-služeb upravuje výjimku z DPIA u povinného zpracování (GDPR?) u stejného zpracování info SÚ zveřejněním na internetu! omezená mlčenlivost pověřence Nutné přizpůsobení pravidel GDPR v sektorové legislativě (zdravotnictví, školství, telekomunikace, finanční služby apod.). V EU součást návrhů adaptačních zákonů, v ČR ZATÍM NENÍ!

Stav eprivacy

Bude skutečnou revolucí epr? Média nemohou používat jakýkoliv obchodní model 90 % internetových stránek je nelegálních eprivacy? Směřujeme ke zrušení marketingu založeného na sledování uživatelů Birgit Sippel, Ralf Bendrath, MEPs na konferenci IAPP v Bruselu

eprivacy populisticky Zpřísnění souhlasů požadavky dle GDPR, stejné sankce Tvrdý zákaz podmiňování užití webu souhlasem s OÚ, zákaz používání cookie walls Povinnost upozorňovat SÚ na revokaci souhlasu co 6 měsíců Privacy by default zákaz cookies a dalších technologií změna business modelů news portálů, eshopů apod. zpoplatnění dosud free služeb více otravných pop-upů a souhlasů Na rozdíl od GDPR zatím neschváleno, pracovní skupina MPO

Jak můžeme pomoci

Jak můžeme pomoci?

Kde se můžete o GDPR dozvědět víc? www.gdprcompliance.eu Nebo si napište o newsletter nulicek@rowanlegal.com První komentář k GDPR v ČR www.wolterskluwer.cz Sleva 15 % při využití kódu GDPR062017 Intenzivní kurz Pověřenec ochrany osobních údajů www.tx.cz Sleva 5 % pro účastníky

Děkuji za Vaši pozornost Mgr. Michal Nulíček, LL.M. nulicek@rowanlegal.com

Odkazy na zdroje ICO https://ico.org.uk SMEs: https://tinyurl.com/y8p256tk Správce zpracovatel: https://tinyurl.com/yahf66ls Checklist: https://tinyurl.com/yaqgma8j PIA: https://tinyurl.com/jyww3cz Belgický dozorový úřad Vzor: https://tinyurl.com/ycwjv9s4 CNIL PIA: https://tinyurl.com/y8rf79tg ENISA Tool: https://tinyurl.com/y7zsof29

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář