https://dataf loq.com/rea d/7-trendsof-internetof-things-in- 2017/2530
One Ring to rule them all, One Ring to bring them all
https://pbs.twimg.com/ media/c7t8tisxuaaehi U.jpg http://www.smartinsights. com/internet-marketing- statistics/happens-online- 60-seconds/
Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti. Máte představu, co obsahují ty ostatní? Mgr. Eva Škorničková https://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/
GDPR se uplatní v případech, kdy je: (bez ohledu na úplatu)
Čl. 4 odst. 1 identifikovaná nebo identifikovatelná fyzickou osobou - fyzická osoba bez ohledu na její státní příslušnost nebo bydliště. - OSVČ - právnická osoba (zejména podniky vytvořené jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby). V14
veškeré osobě Čl. 4 odst. 1 GDPR fyzické Čl. 4 ZOOU a) osobním údajem jakákoliv informace týkající se subjektu zejména odkaz na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,
veškeré (obrazové, písemné, slovní, digitální, genetické, zdravotnické aj.), (obsahem např. jméno, adresa, pracovní zařazení, email aj.), Subjekt může být identifikován: přímo nepřímo (např. výběr vyčleněním aj.)
jméno a příjmení identifikační číslo RČ lokační údaje (geo-) věk a datum narození pohlaví osobní stav občanství IP adresa fotografie prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity pracovní/osobní adresa pracovní/osobní telefonní číslo pracovní/osobní email ověřovací identifikační údaje identifikační čísla vydaná státem V30 https://www.gdpr.cz/gdpr/heslo/osobni-udaje/
rasovém či etnickém původu vyznání politických názorech členství v odborech či jiných organizacích sexuální orientaci spáchání deliktů (trestný čin/přestupek aj.) a potrestání za ně genetické údaje (DNA & RNA) biometrické údaje údaje o zdravotním stavu V34, 35, 38
Ochrana OÚ se nevztahuje na: (informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným) Čl. 4 odst. 1, V 26-27
Zpracování OÚ tak, že Dodatečné informace musí: osobě a na ně technická a organizační identifikované či identifikovatelné fyzické Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Výsledek pseudonymizace: - snížení rizik pro subjekt údajů - pomoc správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů - změkčení některých povinností Výslovné zavedení pseudonymizace v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů. V26, 28, 29
Čl. 4 odst. 2 jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů,, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Ochrana subjektu údajů se vztahuje na pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. V16, 18
- pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž Čl. 5 odst. 1, V39, 58, 60
musí - OÚ musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný), (osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány), (osobní údaje musí být přesné a v případě aktualizované. ), údajů)., pro které jsou zpracovávány), potřeby (technické a organizační zabezpečení osobních Čl. 5 odst. 1, V39, 58, 60
Profilování je jakákoli forma Zejména k: - rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, - ekonomické situace, - zdravotního stavu, - osobních preferencí, - zájmů, - spolehlivosti, - chování, - místa, kde se nachází, nebo - pohybu Čl. 4 odst. 4 Profilování není zakázáno. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet. https://www.uoou.cz/gdpr-v-nbsp-otazkach-a-nbsp-odpovedich/d-23790/p1=4720
Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány nebo s ohledem na Právní základ či legislativní opatření nutně legislativní akt přijatý parlamentem. Právní základ či legislativní opatření musí být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora Evropské unie (dále jen Soudní dvůr ) a Evropského soudu pro lidská práva. Čl. 6, V 40 a 41
Souhlasu subjektu údajů Jiný legitimní základ Vlastní souhlas Smlouva - Vlastní plnění - Provedení opatření před uzavřením smlouvy Splnění právní povinnosti, která se na správce vztahuje Zájem: - ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby - plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce - oprávněný zájem příslušného správce či třetí strany Čl. 6, V40
(pro splnění této podmínky musí měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny). (souhlas je svobodný pouze pokud má subjekt údajů svobodnou volbu nebo může souhlas odmítnout či odvolat, aniž by byl poškozen). Čl. 7, V32
(ne součást smlouvy či EULA) (prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky). (Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, ). V 32 a 42
technického prohlášení či při návštěvě internetové stránky, které v této souvislosti předem zaškrtnuté políčko nečinnost veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely v případě více účelů by měl by být souhlas udělen pro všechny V 32
základ v právní normě Unie nebo členského státu stanovit účel zpracování určit správce, typ osobních údajů, které mají být zpracovány, dotčené subjekty údajů, subjekty, kterým lze osobní údaje sdělit, účelové omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování dotčený subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. V45, 69
Zpracování na základě životně důležitého zájmu jiné fyzické osoby má Jde například o: - humanitární účely, - monitorování epidemií a jejich šíření - případy přírodních a člověkem způsobených katastrof. V46
zohlednit přiměřené očekávání subjektu údajů na základě jeho vztahu se správcem, včetně toho, zda subjekt údajů může v okamžiku shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zpracování pro účely přímého marketingu. předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely (OÚ o zaměstnancích i zákaznících) V47, 48
(kdo, co, kde, kdy, jak dlouho, proč, kam? ) Účely zpracování Kategorie údajů Příjemci Doba uchování Existence práva na výmaz, omezení, námitku či stížnost Informace o zdroji Profilování/automatizované rozhodování (Řešeno již stávající právní úpravou) (Nově řešeno GDPR).
Fyzická osoba by měla mít. zánik účelu odvolání souhlasu ( námitka protiprávní zpracování právní povinnost údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Čl. 17, V65
Pokud je zpracování: má subjekt právo získat osobní údaje, které se ho týkají, a jež poskytl správci, a předat je jinému správci, i bez souhlasu původního správce. - zpracování nezbytné ve veřejném zájmu, nebo - při výkonu veřejné moci Čl. 20, V68
fyzická nebo právnická osoba povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob doložit, že zpracování OÚ je prováděno v souladu s GDPR V74
fyzická nebo právnická osoba Správce by měl zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky (odbornost, znalosti, spolehlivost aj.) = Jedním z prvků, jimiž lze doložit dostatečné záruky: kodex chování (Čl. 40) schválený mechanismus pro vydávání osvědčení (Čl. 42) Čl. 28,V81
(Čl. 30) (Čl. 35) (Čl. 31 a násl.) (Čl. 33) 37) (Čl. 34) (Čl. Čl. 24 a násl., V82
a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk je-li to možné, je-li to možné, obecný uvedených v čl. 32 odst. 1. Výjimky: zpracování není jejich hlavní činností a neexistuje riziko pro práva a svobody subjektu údajů Zpracování není příležitostné Nejsou zpracovány citlivé osobní údaje Čl. 30
vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku s přihlédnutím: Implementace prostředků, jak v době určení, tak při zpracování samotném, aby byly splněny požadavky GDPR (např. pseudonymizace, minimalizace OÚ, transparentnost aj.) Zajištění, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. (množství, rozsah, doba, dostupnost) 15.6.2017 GDPR Čl. 25
nemusí neprodleně v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení. nemusí, pokud zajistil správce nápravu, nebo to není prakticky možné. ( ). V85-87
nichž jež by mohly mít údajů a u (biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních) v případě případě popis zamýšlených operací zpracování posouzení nezbytnosti a přiměřenosti operací z hlediska účelu ( ) Čl. 35, V84, 87, 90-94
poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům monitorování souladu s GDPR poskytování poradenství na požádání spolupráce s dozorovým úřadem zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů působení jako kontaktní místo pro dozorový úřad Čl. 37 a 39
https://www.gdpr.cz/wp-content/uploads/2017/09/metodick%c3%a9-doporu%c4%8den%c3%ad-k- %C4%8Dinnosti-obc%C3%AD.pdf
(Teoreticky největší objem dat majících povahu OÚ. Jejich citlivost ve srovnání s PO?)
provedení auditu, kde všude se pracuje s OÚ ve vztahu k GDPR Stanovení podmínek dle GDPR (jasné srozumitelné atd.) Stanovení účelu pro každé zpracování OÚ Možnost nesouhlasu subjektu údajů
Neexistuje jedno pravidlo, vzor, nástroj, řešení či postup aplikovatelný pro každou společnost a každou situaci či každou organizaci.
https://www.uoou.cz/gdpr/ds-3938/p1=3938 Dokumenty k GDPR https://www.uoou.cz/dokumenty%2dk%2dgdpr/ds-4720/archiv=0&p1=3938 GDPR a role ÚOOÚ https://www.uoou.cz/gdpr%2da%2drole%2duoou/ds-4726/archiv=0&p1=3938 Pracovní skupina WP29 https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemunarizeni-o-ochrane-osobnich-udaju/d-21750 GDPR v otázkách a odpovědích https://www.uoou.cz/gdpr%2dv%2dnbsp%2dotazkach%2da%2dnbsp%2dodpove dich/d-23790/p1=4720 Desatero omylů o GDPR https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=4720 https://www.gdpr.cz
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) http://eur-lex.europa.eu/legalcontent/cs/txt/html/?uri=celex:32016r0679&qid=1488972453767&from=cs SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (JHAD) http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex:32016l0680 SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex:32016l0681 Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích) https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation