Mgr. Lenka Suchánková, LL.M. 28. března 2017 Ochrana osobních údajů a bezpečnost dat - co přinese GDPR? forbes.com
ÚVOD K OCHRANĚ OSOBNÍCH ÚDAJŮ Proč je GDPR / ochrana údajů tématem? Data jsou důležitým aktivem Data jsou klíčová v digitální transformaci Riziko vysokých sankcí dle GDPR
Srovnání správních sankcí Dozorový úřad Maximální výše pokut GDPR Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad 20.000.000 Eur nebo až 4 % celkového světového ročního obratu Zákon o ochraně osobních údajů Úřad pro ochranu osobních údajů (ÚOOÚ) DOZOR A SPRÁVNÍ SANKCE Zákon o kybernetické bezpečnosti / novela - NIS Národní bezpečnostní úřad (NBÚ) 10.000.000 Kč 100.000 Kč/5 mil. Kč Účinnost 25. května 2018 1. června 2000 1. ledna 2015 / do května 2018
Trestněprávní odpovědnost TRESTNĚPRÁVNÍ SANKCE Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Trestní odpovědnost právnických osob - Trestný čin spáchaný statutárním orgánem, zaměstnancem atd. - Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO
Dopad GDPR napříč odvětvími PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti PŮSOBNOST GDPR Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X
OBECNĚ K GDPR GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
ZÁKLADNÍ POJMY Co je regulováno jako osobní údaje? Veškeré údaje identifikující fyzickou osobu Zřejmé: jméno, kontaktní údaje, číslo dokladu totožností, údaje o zdravotní stavu, údaje z kreditních karet, atd. Zvláštní kategorie údajů = přísnější ochrana Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie, lokalizační údaje, IP adresy
Co je zpracování osobních údajů? ZÁKLADNÍ POJMY Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
ZÁKLADNÍ POJMY Koho se regulace týká? Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
GDPR V KOSTCE Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů Privacy by design a privacy by default Pseudonymizace Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut
GDPR V KOSTCE Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele
DOPADY GDPR Dopady GDPR na organizaci Organizační otázky Struktura zabezpečení Zajištění kontinuity provozu Správa identity Oblasti řízení podnikových procesů Datové struktury Správa životního cyklu dat Řízení rizik
GDPR jako příležitost pro pojišťovny GDPR dopadne plošně na všechny organizace Přísnější požadavky na ochranu osobních údajů Jednoznačné souhlasy a jejich prokázání v celém životním cyklu Validace starých souhlasů Profilování, big data Rozšířená informační povinnost vůči subjektům Nová práva subjektů být zapomenut, přenositelnost Nové povinnosti správců i zpracovatelů = vedení záznamů o zpracování, DPIA, konzultace, hlášení případů porušení bezpečnosti, pověřenec Nové požadavky na zapojení zpracovatelů a sub-zpracovatelů vč. smluv Bezpečnostní opatření šifrování, pseudonymizace, DR Audity Pojištění kybernetických rizik Nové odpovědnosti, nová rizika = pokuty, reputace POJIŠTĚNÍ RIZIK
Nové povinnosti správců záznamy a DPIA Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profilování rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti ) Seznamy zpracovatelských operací, kterých se to týká NOVÉ POVINNOSTI SPRÁVCŮ
NOVÉ POVINNOSTI SPRÁVCŮ DPIA analýza rizik Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba 8 + 6 týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR
INSTITUT POVĚŘENCE Institut pověřence Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence??
OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Hlášení bezpečnostních incidentů Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů Do 72 hodin, předepsaný minimální obsah Výjimka: je nepravděpodobné, že způsobí ohrožení práv a svobod osob Pokud je vysoké riziko ohrožení práv a svobod Bezodkladně Výjimky: šifrování údajů jiná opatření eliminující riziko nepřiměřené úsilí veřejné oznámení
Co by měly mít společnosti pod kontrolou? Datové toky Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Analýza největších rizik a základní krizový plán Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora
Co pro Vás můžeme udělat? Analýza datových toků a procesů Analýza dopadů GDPR Příprava interní a externí dokumentace implementující požadavky GDPR
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: IT smlouvy, včetně smluv na cloudové produkty Ochrana osobních údajů IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Pro více informací: www.pierstone.com Lenka Suchánková Na Příkopě 9 110 00 Praha 1 +420 777 738 046 lenka.suchankova@pierstone.com