Obecné nařízení o ochraně osobních údajů - GDPR David Burian Praha, 6.6. 2017 dosud Směrnice 95/46/ES s účinností nařízení zrušena 34 článků a 72 recitálů + národní právní úprava (zákon č. 101/2000 Sb.) od 25.5. 2018 Obecné nařízení 216/679 99 článků a 173 recitálů!!! Stručné informace formou letáků o Obecném nařízení na webstr. Evropské komise http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=52404 1
Obecné nařízení základní informace 4 roky legislativní práce, v platnosti od 24. května 2016, v účinnosti od 25. květena 2018 s účinností nařízení se ruší směrnice 95/46/ES, Zákon č. 101/2000 Sb., bude novelizován, probíhající zpracování musí být do dvou let ode dne vstupu nařízení v platnost uvedena do souladu s Obecným nařízením, přijatá rozhodnutí Komise a schválení dozorových úřadů zůstávají v platnosti, dokud nebudou změněna, nahrazena nebo zrušena. Deklarované důvody změny právního rámce ochrany osobních údajů přímý účinek,větší harmonizace pravidel, větší právní jistota a transparentnost, rozvoj digitální ekonomiky, posílení práv subjektů údajů, snížení administrativní zátěže?? 2
Být Evropanem přináší právo mít své osobní údaje chráněny silnými evropskými zákony. Protože Evropané nechtějí, aby jim nad hlavami létaly drony, které zaznamenávají každý jejich krok, nebo aby firmy uchovávaly každé kliknutí myši. Proto se Parlament, Rada a Komise letos v květnu dohodly na společném evropském nařízení o ochraně osobních údajů. Jedná se o silný evropský předpis, který se vztahuje na všechny společnosti, které zpracovávají vaše údaje, bez ohledu na to, kde mají sídlo. Protože v Evropě nám na soukromí záleží. Je to otázka lidské důstojnosti. Citace ze zprávy o stavu EU ze dne 14. září 2016 Nařízení je natolik obecné a přichází v každé členské zemi EU do již nějakým způsobem stabilizovaného prostředí, že výsledkem může být jak dosažení nečekaně vysoké úrovně ochrany osobních údajů, tak naprostý rozklad ochrany osobních údajů. Marit Hansen ředitelka Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, ULD Schleswig-Holstein 3
Příprava na Obecné nařízení V roce 2012 získala gesci pro vyjednání o GDPR v Radě EU za ČR ministerstvo vnitro, gestorem nařízení je MV, ÚOOÚ je spolugestor, implementace bude provedena formou novelizace zákona č. 101/2000 Sb., novelizovaný zákon bude primárně zákonem o postavení Úřadu, národní zákony nemají opakovat ustanovení již jednou uvedená v nařízení (hlavní poselství Komise), do legislativního procesu na vládu by měl být návrh předložen do srpna 2017- předpoklad, Úřad vlády zřídil na žádost soukromého sektoru pracovní skupinu k ochraně osobních údajů. Dosud vydaná stanoviska WP 29 k výkladu GDPR Vodítka k pověřencům pro ochranu osobních údajů (schváleno 13.12. 2016, revidováno 5.4.2017), vodítka k určování vedoucího dozorového úřadu pro správce nebi zpracovatele (schváleno 13.12. 2016, revidováno 5.4. 2017), vodítka týkající se práva na přenositelnost údajů (schváleno 13.12.2016, revidováno 5.4. 2017), vodítka k posouzení vlivu na ochranu osobních údajů a návod pro hodnocení úrovně rizika zpracování (k veřejné diskuzi do 23.5. 2017), SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ Výměna a ochrana osobních údajů v globalizovaném světě (ze dne 10.1. 2017). 4
Harmonogram prací WP 29 na rok 2017 Nedokončené úkoly z plánu 2016 (DPIA, certifikace, struktura a sekretariát EDPB, vybudování informační infrastruktury), standardizované ikony podle čl. 12 jako výraz transparentnosti při ochraně osobních údajů (poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování), ohlašování případů porušení zabezpečení osobních údajů, nástroje pro předávání osobních údajů do třetích zemí, souhlas a princip transparentnosti, profilování. Sbor pro ochranu osobních údajů Nahrazuje WP 29, nezávislý subjekt EU, Úkoly: - poskytovat Komisi poradenství, - řešit spory dozorových úřadů, - přispívat k jednotnému uplatňování nařízení. Za tím účelem vydávat pokyny, doporučení, osvědčené postupy. 5
Evropská komise Komise přijímá prováděcí akty v souladu s čl. 290 Smlouvy o fungování EU zejména pokud jde o: - standardní smluvní doložky, - technické normy a mechanismy pro vydávání osvědčení, - kodexy chování, - odpovídající úroveň ochrany poskytovanou určitou třetí zemí, - informace, které mají být poskytovány pomocí standardizovaných ikon. Princip vedoucího dozorového úřadu ( one-stop-shop ) Aplikace principu pouze v okamžiku, kdy je zpracování vyhodnoceno jako zpracování přeshraniční (ve smyslu čl. 4 odst. 23 GDPR), rozhodující je charakter příslušného zpracování, tj. objektivní okolnosti, které se k posuzovanému zpracování vztahují. Posouzení těchto okolností a závěr, zda se jedná o přeshraniční zpracování či nikoli, je plně v kompetenci Úřadu, obdobně jako indikace toho, kdo je v dané věci vedoucím dozorovým úřadem, v situaci, kdy bude předmětné zpracování osobních údajů regulováno právními předpisy ČR, bude příslušnost Úřadu dána v souladu s čl. 55 odst. 2 GDPR vždy, a to bez ohledu na charakter správce či zpracovatele (tj. jeho případné začlenění do nadnárodních struktur, korporací). 6
Správní pokuty Současný stav dle zákona č. 101/2000 Sb. max. do výše 10 mil Kč, podle GDPR až do 20 mil EUR nebo 4% celosvětového ročního obratu (cokoliv je vyšší), čl. 83 obecné podmínky pro ukládání správních pokut. Povinnost zohlednit povahu, závažnost a dobu trvání porušení, zda došlo k porušení úmyslně nebo z nedbalosti, učiněné kroky ke zmírnění způsobené škody, způsob, jakým se dozorový úřad dozvěděl o porušení, dodržování kodexu chování apod., dozorový orgán by měl při rozhodování o výši pokuty zohlednit obecnou úroveň příjmů v daném členské zemi, jakož i ekonomickou situaci dané osoby. Základní omyly o GDPR - vydal ÚOOÚ Zaměňování nařízení se směrnicí, přijetí obecného nařízení znamená revoluci v oblasti ochrany osobních údajů, definice osobního údaje se rozšiřuje, pověřence musí jmenovat každý, šifrování je povinné, plnit povinnosti podle GDPR neplatí pro organizace s méně než 250 zaměstnanci, souhlas se zpracováním vyřeší vše. 7
GDPR ve zkratce Kontinuita - se směrnicí 95/46 Principy ochr. údajů zpřesněny, rozšířeny Práva subjektů údajů posílena, podrobnější Základní pojmy bez zásadních změn Povinnosti správců/zpracovatelů rozšířené Nové nástroje ochrany osobních údajů Celoevropský dozor Na koho se bude GDPR vztahovat správce, zpracovatele na území EU, správce, zpracovatele mimo EU, pokud zpracování souvisí s nabídkou zboží nebo služeb nebo s monitorováním chování subjektů údajů. Výjimky: pro činnost týkající se národní bezpečnosti, prevence, vyšetřování, odhalování, stíhán trestných činů (Směrnice 216/680), osobní potřebu. 8
Subjekty odpovědné za zpracování Správce (čl. 4 odst. 7) Společný správce (čl. 26) Zástupci správců nebo zpracovatelů (čl. 4 odst. 17, čl. 27) Zpracovatel (čl. 4 odst. 8, čl. 28) Dílčí zpracovatel (čl. 28 odst. 2, Rozhodnutí Komise 2010/87/EU) Stanovisko WP 29 č. 1/2010 k pojmu správce a zpracovatel Základní zásady zpracování Základní zásady zpracování zůstávají totožné se směrnicí: - Zákonnost, koreknost, transparentnost, - omezení účelu, - minimalizace zpracovávaných údajů, - přesnost zpracovávaných údajů, - omezení uložení, - integrita, důvěrnost, - odpovědnost (Accountability). 9
Osobní údaje podle GDPR Co je osobní údaj? veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Osobní údaje podle GDPR Příklady, kdy se jedná o osobní údaj? síťové identifikátory, aplikace, nástroje a protokoly přiřazeny FO mohou být zanechány stopy, které zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získají, mohou být použity k profilování a identifikaci (IP adresy, cookies), Rozsudek ESD Patrick Breyer vs. Bundesrepublik Deutschland, C 582/14 (dynamická IP adresa), 19. 10. 2016 Zpracování osobních údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 10
Údaje podle míry identifikovatelnosti Anonymní - data, která nejsou spojena se subjektem, pseudonymní - Data, která mohou být jednoznačně spojena se subjektem na základě odděleně držených identifikátorů, identifikující data přímo spojená se subjektem. Pseudonymizace Osobní údaje, na něž byla uplatněna pseudonymizace jsou považovány za informace o identifikovatelné fyzické osobě a podléhají tudíž GDPR, výsledkem zůstávají osobní údaje, protože jednotlivci jsou nepřímo identifikovatelní, identita není zjevná, ale lze se jím nějakým způsobem dobrat, doplňkové informace pro přiřazení os. úd. konkrétnímu subjektu údajů by měly být uchovávány samostatně, důležitý prostředek k zajištění ochrany údajů viz čl. 4/5, čl. 6/4/e, čl. 25/1, čl. 32/1/a, čl. 89/1. Recitál 26, 28,29. 11
Zvláštní kategorie osobních údajů (dnes označované za citlivé údaje) Nařízení uvádí taxativní výčet zvláštních kategorií osobních údajů vypovídající o: - rasovém nebo etnickém původu, - politických názorech, náboženském vyznání či filozofickém přesvědčení, - členství v odborech, - zdravotním stavu a sexuálním životě nebo sexuální orientaci, - genetický údaj a biometrický údaj, který umožňuje přímou identifikaci subjektu údajů. Základní pilíře koncepce zabezpečení osobních údajů 1. Zásada odpovědnosti (accountability) (čl. 5/2). 2. Přístup založený na riziku (Risk-Based Approach - RBA). 3. Zásada ochrany údajů již od návrhu (privacy by design) a standardní nastavení ochrany údajů (privacy by default) (čl. 25). 12
Princip odpovědnosti (accountability) Explicitně vyjádřen v čl. 5 zásady zpracování osobních údajů Článek 24 odpovědnost správce - S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. WP29 - Stanovisko č. 3/2010k zásadě odpovědnosti Přístup založený na riziku (Risk-Based Approach - RBA) Přijmout přiměřená bezpečnostní opatření odpovídající míře rizika prováděných zpracovatelských operací a tato opatření dle potřeby revidovat a aktualizovat, rozlišení na dvě úrovně rizikovosti zpracování (risk, high risk). nařízení poskytuje několik vodítek k určení úrovně vysokého rizika (čl. 35, recitál 91), WP 29 připravila dokument týkající se povinnosti zpracovat posouzení vlivu na ochranu osobních údajů a stanovila kritéria pro hodnocení rizikovosti zpracování. 13
Výsledné určení rizikovosti zpracování se uplatní při plnění některých povinností: 1. zpracování posouzení vlivu (čl. 35), týká se jen správců, a 2. vedení záznamů o činnostech zpracování (čl. 30), týká se správců i zpracovatelů, v těchto případech je určení úrovně rizikovosti zpracování odvozeno od charakteru zpracování (úroveň rizika nevyplývá z analýzy rizik ale předchází všem krokům včetně analýzy rizik, která je součástí posouzení vlivu), 3. ohlašování případů porušení zabezpečení osobních údajů (čl. 33 a 34), týká se jen správců, a 4. předchozí konzultace (čl. 36), týká se jen správců, v těchto případech úroveň rizika může být snížena technickými a organizačními opatřeními přijatými správcem a uplatněnými na zasažené osobní údaje. Návrh stanoviska WP 29 K DPIA Výkladové pokyny WP 29 uvádí konkrétnější kritéria pro vyhodnocování, zda jejich operace s daty představují vysoké riziko: vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů); zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců; systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů; zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity); 14
zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy); zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu; zpracování osobních údajů o zranitelných osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.); zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu); předání osobních údajů mimo Evropskou unii; zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv). Záměrná a standardní ochrana osobních údajů Záměrná ochrana správce zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření (pseudonymizace), jejichž úkolem je provádět zásady ochrany údajů účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby byl v souladu s požadavky nařízení a ochránil práva subjektů údajů. Standardní ochrana - správce zavede vhodná technická a organizační opatření, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Povinnost se týká množství osobních údajů, rozsahu zpracování, doby uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. 15
Publikace o GDPR autorů: Zuzana Radičová & David Burian: Profilování ve světle nového obecného nařízení o ochraně osobních údajů (GDPR) epravo.cz Nová regulace ochrany osobních údajů aneb na jaké změny se připravit (epravo.cz) Ohlašování případů porušení zabezpečení osobních údajů (tzv. Data breaches) podle Obecného nařízení o ochraně osobních údajů (epravo.cz) Posuzování rizik dle nového evropského nařízení o ochraně osobních údajů (Bankovnictví) K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR) právní prostor.cz Mezinárodní předávání osobních údajů z pohledu nové regulace ochrany osobních údajů, právní prostor.cz Děkuji Vám za pozornost! Kontakt: David Burian (david.burian@uoou.cz) 16