Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Podobné dokumenty
Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

Ochrana osobních údajů a bezpečnost dat novinky v GDPR

GDPR & CLOUD. Mgr. Jana Pattynová, LL.M

Kybernetická bezpečnost

Nová pravidla ochrany osobních údajů

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

ICT ve školství ročník konference. Mgr. Jana Pattynová, LL.M

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR compliance v Cloudu. Jiří Černý CELA

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zabezpečení osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

SROVNÁNÍ PRÁVNÍ ÚPRAVY DLE ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ A NAŘÍZENÍ GDPR

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Představení služeb Konica Minolta GDPR

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

GDPR obecně Svaz měst a obcí

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Seznam vzorů, které naleznete v publikaci:

GDPR Obecné nařízení o ochraně osobních údajů

GDPR RYCHLE A ZBĚSILE

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Obecné nařízení o ochraně osobních údajů

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

GDPR Modelová Situace z pohledu IT

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Ochrana osobních údajů aktuálně

Zásady ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Sdělení ÚOOÚ k přístupu založenému na riziku

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Záznam o zpracování osobních údajů

Právní posouzení principů GDPR v rámci organizace

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

GDPR v IVF. JUDr. Ondřej Dostál, Ph.D., LL.M. Společnost medicínského práva ČLS JEP PriceWaterhouseCoopers Legal, s.r.o.

#gdpr #gastro #hotel. 16. února Janka Brezániová

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Informace o zpracování a ochraně osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Ochrana osobních údajů nové nařízení EU. Mgr. Klára Valentová

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Dopady GDPR na elektronizaci zdravotnictví

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Obecné nařízení o ochraně osobních údajů (GDPR) FBMI Kladno Dagmar Brechlerová

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

GDPR evoluce v ochraně osobních údajů.

Ochrana osobních údajů Implementace GDPR

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

JAK SE PŘIPRAVIT NA GDPR?

GDPR ochrana osobních údajů

Co nového do ochrany osobních údajů přináší nařízení 2016/679

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Okresní soud v Ústí nad Labem

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Transkript:

Mgr. Lenka Suchánková, LL.M. 25. dubna 2017 Ochrana osobních údajů a bezpečnost dat - co přinese GDPR? forbes.com

ÚVOD K OCHRANĚ OSOBNÍCH ÚDAJŮ Proč je GDPR / ochrana údajů tématem? Data jsou důležitým aktivem Data jsou klíčová v digitální transformaci Riziko vysokých sankcí dle GDPR

DOZOR A SPRÁVNÍ SANKCE Srovnání správních sankcí GDPR Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Zákon o ochraně osobních údajů Úřad pro ochranu osobních údajů (ÚOOÚ) Zákon o kybernetické bezpečnosti / novela - NIS Národní bezpečnostní úřad (NBÚ) Maximální výše pokut Vedoucí dozorový úřad 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 10.000.000 Kč 100.000 Kč/5 mil. Kč Účinnost 25. května 2018 1. června 2000 1. ledna 2015 / do května 2018

Dopad GDPR napříč odvětvími PŮSOBNOST GDPR PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X

OBECNĚ K GDPR GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány

SANKCE Rozšířený dopad GDPR Dopad na podnik ve významu čl. 101 a čl. 102 SFEU tj. může dopadat např. na celý koncern (podnikatelská seskupení - interpretace dle soutěžního práva, sankce založeny na obratu skupiny) Místní příslušnost pro aplikaci GDPR Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD) Jakákoliv skutečná a provozovaná aktivita alespoň v jednom čl. státě (Weltimo)

ZÁKLADNÍ POJMY Co je regulováno jako osobní údaje? Veškeré údaje identifikující fyzickou osobu Zřejmé: jméno, kontaktní údaje, číslo dokladu totožností, údaje o zdravotní stavu, údaje z kreditních karet, atd. Zvláštní kategorie údajů = přísnější ochrana Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie, lokalizační údaje, IP adresy

Co je zpracování osobních údajů? ZÁKLADNÍ POJMY Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

ZÁKLADNÍ POJMY Koho se regulace týká? Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

GDPR V KOSTCE Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů Privacy by design a privacy by default Pseudonymizace Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut

GDPR V KOSTCE Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele

DOPADY GDPR Dopady GDPR na organizaci Organizační otázky Struktura zabezpečení Zajištění kontinuity provozu Správa identity Oblasti řízení podnikových procesů Datové struktury Správa životního cyklu dat Řízení rizik

SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (sub-zpracovateli) na základě písemného povolení správce Povinná písemná forma (i elektronická) Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce

PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání osobních údajů v rámci EHP Volný pohyb osobních údajů Zákazník = Správce osobních údajů Nelze omezovat Obecná povinnost uzavřít zpracovatelskou smlouvu Poskytovatel služby/produkt = Zpracovatel osobních údajů (*datové centrum na území EU) Smlouva o zpracování osobních údajů technická a organizační opatření Další zpracovatel osobních údajů

PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Rozhodnutí o přiměřenosti (adequacy decisions) Poměrně malá relevance; novinka přezkum každé 4 roky Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 Řetězení zpracovatelů, povinnost auditu Typy standardních smluvních doložek: Správce (EU) Správce (mimo EHP) 2 sety doložek Správce (EU) Zpracovatel (mimo EHP) Závazná podniková pravidla (BCR) Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU Náročný proces schvalování konzultace a schvalování ÚOOÚ GDPR podrobně popisuje a zjednodušuje schvalování

PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Nové samoregulační nástroje: Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky - akreditace) Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -? Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany Důležitý důvod veřejného zájmu Nově: legitimní zájem správce omezené využití (převažuje zájem subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci cloudu, nadnárodních personálních databází) Předávání do USA: Privacy Shield

Předávání osobních údajů mimo EHP Standardní smluvní doložky (Zákazník + Subzpracovatel) PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Standardní smluvní doložky: Poskytovatel (jménem zákazníka) + Subzpracovatel Zákazník = Správce Cloud First osobních (Shared údajů First) Spojené státy Velká Británie Irsko Singapur Poskytovatel Cloud if it makes sense cloudu Austrálie Zpracovatel = osobních údajů The Australian Government mimo státy EHP Zpracovatel and its agencies may choose osobních cloud údajů based services if they (*datové centrum na území demonstrate EU) value for money and adequate security Smlouva o zpracování osobních údajů technická a organizační opatření

Předávání osobních údajů mimo EHP Standardní smluvní doložky (správce - zpracovatel) PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Zákazník = Správce Cloud First osobních (Shared údajů First) Spojené státy Velká Británie Irsko Singapur Cloud if it makes sense Poskytovatel cloudu Austrálie mimo Zpracovatel EHP osobních údajů The Australian Government mimo státy EHP (Zpracovatel and its agencies may choose osobních cloud based services if they údajů) demonstrate value for money and adequate security Smlouva o zpracování osobních údajů technická a organizační opatření

Nové povinnosti správců záznamy a DPIA Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profilování rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti ) Seznamy zpracovatelských operací, kterých se to týká NOVÉ POVINNOSTI SPRÁVCŮ

NOVÉ POVINNOSTI SPRÁVCŮ DPIA analýza rizik Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba 8 + 6 týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR

INSTITUT POVĚŘENCE Institut pověřence Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence??

OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Hlášení bezpečnostních incidentů Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů Do 72 hodin, předepsaný minimální obsah Výjimka: je nepravděpodobné, že způsobí ohrožení práv a svobod osob Pokud je vysoké riziko ohrožení práv a svobod Bezodkladně Výjimky: šifrování údajů jiná opatření eliminující riziko nepřiměřené úsilí veřejné oznámení

Co by měly mít společnosti pod kontrolou? Datové toky Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Analýza největších rizik a základní krizový plán Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora

Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: IT smlouvy, včetně smluv na cloudové produkty Ochrana osobních údajů IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Pro více informací: www.pierstone.com Lenka Suchánková Na Příkopě 9 110 00 Praha 1 +420 777 738 046 lenka.suchankova@pierstone.com

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář