Obecné nařízení o ochraně osobních údajů - GDPR

Podobné dokumenty
Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Nová pravidla ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

GDPR obecně Svaz měst a obcí

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Prohlášení o ochraně osobních údajů

Zásady ochrany osobních údajů

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

GDPR Obecné nařízení o ochraně osobních údajů

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů aktuálně

Co všechno je zpracování osobních údajů podle GDPR

GDPR Mgr. Tomáš Černý, LL.M., MBA. Mgr. Gabriela Jiráková

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Seminář o GDPR

Informace k ochraně osobních údajů - GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Informace o zpracování osobních údajů

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

Právní posouzení principů GDPR v rámci organizace

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

SPISOVÁ SLUŽBA A GDPR

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Obecné nařízení o ochraně osobních údajů

OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

#gdpr #gastro #hotel. 16. února Janka Brezániová

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Informace o zpracování osobních údajů

Seznam vzorů, které naleznete v publikaci:

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Co nového do ochrany osobních údajů přináší nařízení 2016/679

Zásady ochrany osobních údajů

A. OBECNÁ ČÁST ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ FYZICKÝCH OSOB

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Sdělení ÚOOÚ k přístupu založenému na riziku

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Ochrana osobních údajů a AML obsah

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Záznam o zpracování osobních údajů

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

Oznámení o zpracování Osobních údajů

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

ORGANIZAČNÍ ŘÁD ŠKOLY

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Ochrana osobních údajů - GDPR

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Copyright Gaudens s.r.o.

O B E C H O S T Í N Hostín 56, Byšice

Zabezpečení osobních údajů

Prohlášení o ochraně osobních údajů

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

OCHRANA OSOBNÍCH ÚDAJŮ SPOLEČNOSTI PAVEL DUŠEK (DÁLE JEN PROHLÁŠENÍ ) ČL. I ÚVODNÍ USTANOVENÍ A DEFINICE POJMŮ

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

KEO-X GDPR ALIS spol. s r.o.

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

Ochrana osobních údajů GDPR ŠÁRKA ŠPE CIÁNOVÁ

Informace o ochraně osobních údajů zpracovávaných společností PROFIZOO s.r.o. k jejím zákazníkům.

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Praktické důsledky GDPR v e-learningu IS MU. Mgr. Veronika Smítková Právní odbor RMU 1

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Poučení o ochraně osobních údajů

*UOOUX00D1JMU* PŘÍKAZ. ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ Pplk. Sochora 27, Praha 7 tel.: , fax:

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Právní ohledy využití dat o návštěvnících a zákaznících. JUDr. Pavel Pešek Legal Department Director

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

Ochrana osobních údajů v oblasti. klinického hodnocení. Osnova přednášky. Šárka Špeciánová

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o správci osobních údajů a pověřenci pro ochranu osobních údajů:

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

GDPR evoluce v ochraně osobních údajů.

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Transkript:

Obecné nařízení o ochraně osobních údajů - GDPR David Burian Praha, 6.6. 2017 dosud Směrnice 95/46/ES s účinností nařízení zrušena 34 článků a 72 recitálů + národní právní úprava (zákon č. 101/2000 Sb.) od 25.5. 2018 Obecné nařízení 216/679 99 článků a 173 recitálů!!! Stručné informace formou letáků o Obecném nařízení na webstr. Evropské komise http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=52404 1

Obecné nařízení základní informace 4 roky legislativní práce, v platnosti od 24. května 2016, v účinnosti od 25. květena 2018 s účinností nařízení se ruší směrnice 95/46/ES, Zákon č. 101/2000 Sb., bude novelizován, probíhající zpracování musí být do dvou let ode dne vstupu nařízení v platnost uvedena do souladu s Obecným nařízením, přijatá rozhodnutí Komise a schválení dozorových úřadů zůstávají v platnosti, dokud nebudou změněna, nahrazena nebo zrušena. Deklarované důvody změny právního rámce ochrany osobních údajů přímý účinek,větší harmonizace pravidel, větší právní jistota a transparentnost, rozvoj digitální ekonomiky, posílení práv subjektů údajů, snížení administrativní zátěže?? 2

Být Evropanem přináší právo mít své osobní údaje chráněny silnými evropskými zákony. Protože Evropané nechtějí, aby jim nad hlavami létaly drony, které zaznamenávají každý jejich krok, nebo aby firmy uchovávaly každé kliknutí myši. Proto se Parlament, Rada a Komise letos v květnu dohodly na společném evropském nařízení o ochraně osobních údajů. Jedná se o silný evropský předpis, který se vztahuje na všechny společnosti, které zpracovávají vaše údaje, bez ohledu na to, kde mají sídlo. Protože v Evropě nám na soukromí záleží. Je to otázka lidské důstojnosti. Citace ze zprávy o stavu EU ze dne 14. září 2016 Nařízení je natolik obecné a přichází v každé členské zemi EU do již nějakým způsobem stabilizovaného prostředí, že výsledkem může být jak dosažení nečekaně vysoké úrovně ochrany osobních údajů, tak naprostý rozklad ochrany osobních údajů. Marit Hansen ředitelka Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, ULD Schleswig-Holstein 3

Příprava na Obecné nařízení V roce 2012 získala gesci pro vyjednání o GDPR v Radě EU za ČR ministerstvo vnitro, gestorem nařízení je MV, ÚOOÚ je spolugestor, implementace bude provedena formou novelizace zákona č. 101/2000 Sb., novelizovaný zákon bude primárně zákonem o postavení Úřadu, národní zákony nemají opakovat ustanovení již jednou uvedená v nařízení (hlavní poselství Komise), do legislativního procesu na vládu by měl být návrh předložen do srpna 2017- předpoklad, Úřad vlády zřídil na žádost soukromého sektoru pracovní skupinu k ochraně osobních údajů. Dosud vydaná stanoviska WP 29 k výkladu GDPR Vodítka k pověřencům pro ochranu osobních údajů (schváleno 13.12. 2016, revidováno 5.4.2017), vodítka k určování vedoucího dozorového úřadu pro správce nebi zpracovatele (schváleno 13.12. 2016, revidováno 5.4. 2017), vodítka týkající se práva na přenositelnost údajů (schváleno 13.12.2016, revidováno 5.4. 2017), vodítka k posouzení vlivu na ochranu osobních údajů a návod pro hodnocení úrovně rizika zpracování (k veřejné diskuzi do 23.5. 2017), SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ Výměna a ochrana osobních údajů v globalizovaném světě (ze dne 10.1. 2017). 4

Harmonogram prací WP 29 na rok 2017 Nedokončené úkoly z plánu 2016 (DPIA, certifikace, struktura a sekretariát EDPB, vybudování informační infrastruktury), standardizované ikony podle čl. 12 jako výraz transparentnosti při ochraně osobních údajů (poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování), ohlašování případů porušení zabezpečení osobních údajů, nástroje pro předávání osobních údajů do třetích zemí, souhlas a princip transparentnosti, profilování. Sbor pro ochranu osobních údajů Nahrazuje WP 29, nezávislý subjekt EU, Úkoly: - poskytovat Komisi poradenství, - řešit spory dozorových úřadů, - přispívat k jednotnému uplatňování nařízení. Za tím účelem vydávat pokyny, doporučení, osvědčené postupy. 5

Evropská komise Komise přijímá prováděcí akty v souladu s čl. 290 Smlouvy o fungování EU zejména pokud jde o: - standardní smluvní doložky, - technické normy a mechanismy pro vydávání osvědčení, - kodexy chování, - odpovídající úroveň ochrany poskytovanou určitou třetí zemí, - informace, které mají být poskytovány pomocí standardizovaných ikon. Princip vedoucího dozorového úřadu ( one-stop-shop ) Aplikace principu pouze v okamžiku, kdy je zpracování vyhodnoceno jako zpracování přeshraniční (ve smyslu čl. 4 odst. 23 GDPR), rozhodující je charakter příslušného zpracování, tj. objektivní okolnosti, které se k posuzovanému zpracování vztahují. Posouzení těchto okolností a závěr, zda se jedná o přeshraniční zpracování či nikoli, je plně v kompetenci Úřadu, obdobně jako indikace toho, kdo je v dané věci vedoucím dozorovým úřadem, v situaci, kdy bude předmětné zpracování osobních údajů regulováno právními předpisy ČR, bude příslušnost Úřadu dána v souladu s čl. 55 odst. 2 GDPR vždy, a to bez ohledu na charakter správce či zpracovatele (tj. jeho případné začlenění do nadnárodních struktur, korporací). 6

Správní pokuty Současný stav dle zákona č. 101/2000 Sb. max. do výše 10 mil Kč, podle GDPR až do 20 mil EUR nebo 4% celosvětového ročního obratu (cokoliv je vyšší), čl. 83 obecné podmínky pro ukládání správních pokut. Povinnost zohlednit povahu, závažnost a dobu trvání porušení, zda došlo k porušení úmyslně nebo z nedbalosti, učiněné kroky ke zmírnění způsobené škody, způsob, jakým se dozorový úřad dozvěděl o porušení, dodržování kodexu chování apod., dozorový orgán by měl při rozhodování o výši pokuty zohlednit obecnou úroveň příjmů v daném členské zemi, jakož i ekonomickou situaci dané osoby. Základní omyly o GDPR - vydal ÚOOÚ Zaměňování nařízení se směrnicí, přijetí obecného nařízení znamená revoluci v oblasti ochrany osobních údajů, definice osobního údaje se rozšiřuje, pověřence musí jmenovat každý, šifrování je povinné, plnit povinnosti podle GDPR neplatí pro organizace s méně než 250 zaměstnanci, souhlas se zpracováním vyřeší vše. 7

GDPR ve zkratce Kontinuita - se směrnicí 95/46 Principy ochr. údajů zpřesněny, rozšířeny Práva subjektů údajů posílena, podrobnější Základní pojmy bez zásadních změn Povinnosti správců/zpracovatelů rozšířené Nové nástroje ochrany osobních údajů Celoevropský dozor Na koho se bude GDPR vztahovat správce, zpracovatele na území EU, správce, zpracovatele mimo EU, pokud zpracování souvisí s nabídkou zboží nebo služeb nebo s monitorováním chování subjektů údajů. Výjimky: pro činnost týkající se národní bezpečnosti, prevence, vyšetřování, odhalování, stíhán trestných činů (Směrnice 216/680), osobní potřebu. 8

Subjekty odpovědné za zpracování Správce (čl. 4 odst. 7) Společný správce (čl. 26) Zástupci správců nebo zpracovatelů (čl. 4 odst. 17, čl. 27) Zpracovatel (čl. 4 odst. 8, čl. 28) Dílčí zpracovatel (čl. 28 odst. 2, Rozhodnutí Komise 2010/87/EU) Stanovisko WP 29 č. 1/2010 k pojmu správce a zpracovatel Základní zásady zpracování Základní zásady zpracování zůstávají totožné se směrnicí: - Zákonnost, koreknost, transparentnost, - omezení účelu, - minimalizace zpracovávaných údajů, - přesnost zpracovávaných údajů, - omezení uložení, - integrita, důvěrnost, - odpovědnost (Accountability). 9

Osobní údaje podle GDPR Co je osobní údaj? veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Osobní údaje podle GDPR Příklady, kdy se jedná o osobní údaj? síťové identifikátory, aplikace, nástroje a protokoly přiřazeny FO mohou být zanechány stopy, které zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získají, mohou být použity k profilování a identifikaci (IP adresy, cookies), Rozsudek ESD Patrick Breyer vs. Bundesrepublik Deutschland, C 582/14 (dynamická IP adresa), 19. 10. 2016 Zpracování osobních údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 10

Údaje podle míry identifikovatelnosti Anonymní - data, která nejsou spojena se subjektem, pseudonymní - Data, která mohou být jednoznačně spojena se subjektem na základě odděleně držených identifikátorů, identifikující data přímo spojená se subjektem. Pseudonymizace Osobní údaje, na něž byla uplatněna pseudonymizace jsou považovány za informace o identifikovatelné fyzické osobě a podléhají tudíž GDPR, výsledkem zůstávají osobní údaje, protože jednotlivci jsou nepřímo identifikovatelní, identita není zjevná, ale lze se jím nějakým způsobem dobrat, doplňkové informace pro přiřazení os. úd. konkrétnímu subjektu údajů by měly být uchovávány samostatně, důležitý prostředek k zajištění ochrany údajů viz čl. 4/5, čl. 6/4/e, čl. 25/1, čl. 32/1/a, čl. 89/1. Recitál 26, 28,29. 11

Zvláštní kategorie osobních údajů (dnes označované za citlivé údaje) Nařízení uvádí taxativní výčet zvláštních kategorií osobních údajů vypovídající o: - rasovém nebo etnickém původu, - politických názorech, náboženském vyznání či filozofickém přesvědčení, - členství v odborech, - zdravotním stavu a sexuálním životě nebo sexuální orientaci, - genetický údaj a biometrický údaj, který umožňuje přímou identifikaci subjektu údajů. Základní pilíře koncepce zabezpečení osobních údajů 1. Zásada odpovědnosti (accountability) (čl. 5/2). 2. Přístup založený na riziku (Risk-Based Approach - RBA). 3. Zásada ochrany údajů již od návrhu (privacy by design) a standardní nastavení ochrany údajů (privacy by default) (čl. 25). 12

Princip odpovědnosti (accountability) Explicitně vyjádřen v čl. 5 zásady zpracování osobních údajů Článek 24 odpovědnost správce - S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. WP29 - Stanovisko č. 3/2010k zásadě odpovědnosti Přístup založený na riziku (Risk-Based Approach - RBA) Přijmout přiměřená bezpečnostní opatření odpovídající míře rizika prováděných zpracovatelských operací a tato opatření dle potřeby revidovat a aktualizovat, rozlišení na dvě úrovně rizikovosti zpracování (risk, high risk). nařízení poskytuje několik vodítek k určení úrovně vysokého rizika (čl. 35, recitál 91), WP 29 připravila dokument týkající se povinnosti zpracovat posouzení vlivu na ochranu osobních údajů a stanovila kritéria pro hodnocení rizikovosti zpracování. 13

Výsledné určení rizikovosti zpracování se uplatní při plnění některých povinností: 1. zpracování posouzení vlivu (čl. 35), týká se jen správců, a 2. vedení záznamů o činnostech zpracování (čl. 30), týká se správců i zpracovatelů, v těchto případech je určení úrovně rizikovosti zpracování odvozeno od charakteru zpracování (úroveň rizika nevyplývá z analýzy rizik ale předchází všem krokům včetně analýzy rizik, která je součástí posouzení vlivu), 3. ohlašování případů porušení zabezpečení osobních údajů (čl. 33 a 34), týká se jen správců, a 4. předchozí konzultace (čl. 36), týká se jen správců, v těchto případech úroveň rizika může být snížena technickými a organizačními opatřeními přijatými správcem a uplatněnými na zasažené osobní údaje. Návrh stanoviska WP 29 K DPIA Výkladové pokyny WP 29 uvádí konkrétnější kritéria pro vyhodnocování, zda jejich operace s daty představují vysoké riziko: vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů); zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců; systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů; zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity); 14

zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy); zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu; zpracování osobních údajů o zranitelných osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.); zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu); předání osobních údajů mimo Evropskou unii; zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv). Záměrná a standardní ochrana osobních údajů Záměrná ochrana správce zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření (pseudonymizace), jejichž úkolem je provádět zásady ochrany údajů účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby byl v souladu s požadavky nařízení a ochránil práva subjektů údajů. Standardní ochrana - správce zavede vhodná technická a organizační opatření, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Povinnost se týká množství osobních údajů, rozsahu zpracování, doby uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. 15

Publikace o GDPR autorů: Zuzana Radičová & David Burian: Profilování ve světle nového obecného nařízení o ochraně osobních údajů (GDPR) epravo.cz Nová regulace ochrany osobních údajů aneb na jaké změny se připravit (epravo.cz) Ohlašování případů porušení zabezpečení osobních údajů (tzv. Data breaches) podle Obecného nařízení o ochraně osobních údajů (epravo.cz) Posuzování rizik dle nového evropského nařízení o ochraně osobních údajů (Bankovnictví) K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR) právní prostor.cz Mezinárodní předávání osobních údajů z pohledu nové regulace ochrany osobních údajů, právní prostor.cz Děkuji Vám za pozornost! Kontakt: David Burian (david.burian@uoou.cz) 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář