Mgr. Lenka Suchánková, LL.M. 25. dubna 2017 Ochrana osobních údajů a bezpečnost dat - co přinese GDPR? forbes.com
ÚVOD K OCHRANĚ OSOBNÍCH ÚDAJŮ Proč je GDPR / ochrana údajů tématem? Data jsou důležitým aktivem Data jsou klíčová v digitální transformaci Riziko vysokých sankcí dle GDPR
DOZOR A SPRÁVNÍ SANKCE Srovnání správních sankcí GDPR Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Zákon o ochraně osobních údajů Úřad pro ochranu osobních údajů (ÚOOÚ) Zákon o kybernetické bezpečnosti / novela - NIS Národní bezpečnostní úřad (NBÚ) Maximální výše pokut Vedoucí dozorový úřad 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 10.000.000 Kč 100.000 Kč/5 mil. Kč Účinnost 25. května 2018 1. června 2000 1. ledna 2015 / do května 2018
Dopad GDPR napříč odvětvími PŮSOBNOST GDPR PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X
OBECNĚ K GDPR GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
SANKCE Rozšířený dopad GDPR Dopad na podnik ve významu čl. 101 a čl. 102 SFEU tj. může dopadat např. na celý koncern (podnikatelská seskupení - interpretace dle soutěžního práva, sankce založeny na obratu skupiny) Místní příslušnost pro aplikaci GDPR Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD) Jakákoliv skutečná a provozovaná aktivita alespoň v jednom čl. státě (Weltimo)
ZÁKLADNÍ POJMY Co je regulováno jako osobní údaje? Veškeré údaje identifikující fyzickou osobu Zřejmé: jméno, kontaktní údaje, číslo dokladu totožností, údaje o zdravotní stavu, údaje z kreditních karet, atd. Zvláštní kategorie údajů = přísnější ochrana Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie, lokalizační údaje, IP adresy
Co je zpracování osobních údajů? ZÁKLADNÍ POJMY Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
ZÁKLADNÍ POJMY Koho se regulace týká? Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
GDPR V KOSTCE Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů Privacy by design a privacy by default Pseudonymizace Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut
GDPR V KOSTCE Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele
DOPADY GDPR Dopady GDPR na organizaci Organizační otázky Struktura zabezpečení Zajištění kontinuity provozu Správa identity Oblasti řízení podnikových procesů Datové struktury Správa životního cyklu dat Řízení rizik
SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (sub-zpracovateli) na základě písemného povolení správce Povinná písemná forma (i elektronická) Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání osobních údajů v rámci EHP Volný pohyb osobních údajů Zákazník = Správce osobních údajů Nelze omezovat Obecná povinnost uzavřít zpracovatelskou smlouvu Poskytovatel služby/produkt = Zpracovatel osobních údajů (*datové centrum na území EU) Smlouva o zpracování osobních údajů technická a organizační opatření Další zpracovatel osobních údajů
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Rozhodnutí o přiměřenosti (adequacy decisions) Poměrně malá relevance; novinka přezkum každé 4 roky Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 Řetězení zpracovatelů, povinnost auditu Typy standardních smluvních doložek: Správce (EU) Správce (mimo EHP) 2 sety doložek Správce (EU) Zpracovatel (mimo EHP) Závazná podniková pravidla (BCR) Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU Náročný proces schvalování konzultace a schvalování ÚOOÚ GDPR podrobně popisuje a zjednodušuje schvalování
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Nové samoregulační nástroje: Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky - akreditace) Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -? Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany Důležitý důvod veřejného zájmu Nově: legitimní zájem správce omezené využití (převažuje zájem subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci cloudu, nadnárodních personálních databází) Předávání do USA: Privacy Shield
Předávání osobních údajů mimo EHP Standardní smluvní doložky (Zákazník + Subzpracovatel) PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Standardní smluvní doložky: Poskytovatel (jménem zákazníka) + Subzpracovatel Zákazník = Správce Cloud First osobních (Shared údajů First) Spojené státy Velká Británie Irsko Singapur Poskytovatel Cloud if it makes sense cloudu Austrálie Zpracovatel = osobních údajů The Australian Government mimo státy EHP Zpracovatel and its agencies may choose osobních cloud údajů based services if they (*datové centrum na území demonstrate EU) value for money and adequate security Smlouva o zpracování osobních údajů technická a organizační opatření
Předávání osobních údajů mimo EHP Standardní smluvní doložky (správce - zpracovatel) PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Zákazník = Správce Cloud First osobních (Shared údajů First) Spojené státy Velká Británie Irsko Singapur Cloud if it makes sense Poskytovatel cloudu Austrálie mimo Zpracovatel EHP osobních údajů The Australian Government mimo státy EHP (Zpracovatel and its agencies may choose osobních cloud based services if they údajů) demonstrate value for money and adequate security Smlouva o zpracování osobních údajů technická a organizační opatření
Nové povinnosti správců záznamy a DPIA Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profilování rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti ) Seznamy zpracovatelských operací, kterých se to týká NOVÉ POVINNOSTI SPRÁVCŮ
NOVÉ POVINNOSTI SPRÁVCŮ DPIA analýza rizik Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba 8 + 6 týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR
INSTITUT POVĚŘENCE Institut pověřence Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence??
OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Hlášení bezpečnostních incidentů Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů Do 72 hodin, předepsaný minimální obsah Výjimka: je nepravděpodobné, že způsobí ohrožení práv a svobod osob Pokud je vysoké riziko ohrožení práv a svobod Bezodkladně Výjimky: šifrování údajů jiná opatření eliminující riziko nepřiměřené úsilí veřejné oznámení
Co by měly mít společnosti pod kontrolou? Datové toky Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Analýza největších rizik a základní krizový plán Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: IT smlouvy, včetně smluv na cloudové produkty Ochrana osobních údajů IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Pro více informací: www.pierstone.com Lenka Suchánková Na Příkopě 9 110 00 Praha 1 +420 777 738 046 lenka.suchankova@pierstone.com