JAK SE PŘIPRAVIT NA GDPR?

Podobné dokumenty
INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

General Data Protection Regulation (GDPR) Jak na to?

Představení služeb Konica Minolta GDPR

GDPR - příklad z praxe

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Dopady GDPR a jejich vazby

Seznam vzorů, které naleznete v publikaci:

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Nová pravidla ochrany osobních údajů

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Systémová analýza a opatření v rámci GDPR

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

GDPR Modelová Situace z pohledu IT

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Ochrana dat v pojišťovnictví

Očekávané dopady GDPR do pojišťovnictví

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Copyright Gaudens s.r.o.

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Implementace GDPR. Prioritní okruhy

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

V Praze 4. dubna 2018

Ochrana osobních údajů Implementace GDPR

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

JARNÍ ŠKOLA Zdravých měst

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR - příklad z praxe

Podmínky ochrany osobních údajů. Základní ustanovení

GDPR obecně Svaz měst a obcí

#gdpr #gastro #hotel. 16. února Janka Brezániová

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

GDPR ochrana osobních údajů

ALIS spol. s r.o., Česká Lípa říjen 2017

GDPR a veřejná správa

GORDIC a GDPR? Připraveno!

Obecné nařízení o ochraně osobních údajů

Podmínky ochrany osobních údajů

GDPR Obecný metodický pokyn pro školství

INTERKOV CZ spol. s r.o.

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

OCHRANA OSOBNÍCH ÚDAJŮ V PROSTŘEDÍ KNIHOVNY 13. SETKÁNÍ STAROSTŮ OBCÍ A KNIHOVNÍKŮ OKRESU ZLÍN

GDPR compliance v Cloudu. Jiří Černý CELA

PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ. I. Základní ustanovení

Aktuálně o stavu příprav na účinnost GDPR v resortu Ministerstva vnitra. Konference samospráv Olomouckého kraje 14. března 2018

Informace o zpracování a ochraně osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

SEMINÁŘ: GDPR - NOVÉ NAŘÍZENÍ EU O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO SPORTOVNÍ SVAZY A FOTBALOVÉ KLUBY

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Podmínky ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

GDPR evoluce v ochraně osobních údajů.

Směrnice společností ATEsystem s.r.o. a ATEsystem Jablonec s.r.o.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ A UCHAZEČŮ O ZAMĚSTNÁNÍ

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Podmínky ochrany osobních údajů Obsah

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Školení GDPR pro Cosmetics Atok International

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Informační povinnost správce osobních údajů vůči subjektu údajů

GDPR v sociálních službách

1. Kdo je správcem Vašich osobních údajů

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Moravský rybářský svaz, z.s. pobočný spolek. spolek zapsaný ve spolkovém rejstříku vedeným Krajským soudem v Brně, oddíl L, vložka Sídlo:. IČ:.

GDPR Ochrana osobních údajů. Informace o zpracování osobních údajů. Subjekty údajů mají právo

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Informace o zpracování osobních údajů

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

OCHRANA OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Harmonogram implementace GDPR

Farmakovigilance z pohledu ochrany osobních údajů

Transkript:

JAK SE PŘIPRAVIT NA GDPR? Jan Sůra a Nikola Antlová Reálné zkušenosti z implementace legislativních požadavků GDPR Praha, 17. ledna 2018

CO JE TO GDPR? GDPR = General Data Protection Regulation Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 Přímo použitelné (není třeba dalšího vnitrostátního předpisu) Adaptační zákon v ČR Sjednocení úpravy ochrany osobních údajů pro celou Evropu Účinné ode dne 25. května 2018 2

GDPR V POROVNÁNÍ SE STÁVAJÍCÍ ÚPRAVOU Zvyšuje rozsah ochrany osobních údajů Stanovuje (nová) práva subjektům údajů Rozšiřuje stávající a zakotvuje nové povinnosti pro správce Zvyšuje sankce za porušení povinností až 20 milionů euro nebo 4 % z celosvětového obratu skupiny TČ neoprávněné nakládání s osobními údaji (souvisí s trestní odpovědností právnických osob) Sjednocuje dozor nad zpracováním v EU 3

JAKÝCH OBLASTÍ SE GDPR DOTKNE? Právní Interní předpisy Pracovní vztahy Další smluvní vztahy Souhlasy a další související dokumentace Organizační Organizační struktura Vnitřní procesy Školení Vyřizování žádostí Komunikace Technická Fyzické zabezpečení Ochrana elektronických dat IT systémy a databáze Automatizované procesy 4

CO UDĚLAT ZE VŠEHO NEJDŘÍVE? Naučit se s GDPR pracovat Organizačně se na GDPR připravit Stanovit pevný plán postupu Oslovit odborníka (?) 5

Jak prakticky postupovat? 1. Analýza stávajícího stavu 2. Posouzení souladu s GDPR 3. Implementace opatření 6

1. ANALÝZA Analýza prostředí a procesů V jakých oblastech přichází společnost do styku s osobními údaji? Co všechno společnost dělá? Inventarizace osobních údajů (datová analýza) S jakými osobními údaji nakládám? Od koho a jak jsem osobní údaje získal? Kde tyto osobní údaje najdu? Jaký je účel a právní základ jejich zpracování? Kudy osobní údaje putují dovnitř / ven? Jaký je životní cyklus osobních údajů? 7

1. ANALÝZA Inventarizace stavu zavedených opatření (zejména ve vnitřních předpisech) Máme zavedena všechna nutná opatření, aby nedošlo k porušení OÚ? Jsou tato opatření pouze na papíře nebo fungují v praxi? Kontroluji a testuji účinnost efektivity opatření? Informuji subjekty o zpracování jejich OÚ? Vím, jaká jsou práva subjektů údajů a jak a kdy na ně reagovat? Jsem schopen plnit lhůty stanovené GDPR? Ví každý, co má dělat, jaká je jeho role? Analýza dokumentů Analýza smluv (se zpracovateli, zaměstnanci, dodavateli apod.) Analýza stávajících souhlasů se zpracováním OÚ Analýza plnění informační povinnosti Analýza compliance programu a dalších vnitřních předpisů Metodika posouzení a řízení rizik, existuje-li 8

ANALÝZA POSOUZENÍ RIZIK Sestavení metodiky analýzy rizik (nebo její revize) Provedení analýzy rizik Každé zpracování posoudit z pohledu dopadu na subjekt údajů Provést kategorizaci rizik: Nízké riziko Riziko Vysoké (kritické) riziko (např. ztráta identity subjektu) ČINNOST Zaměstnavatel Správa vodohospodářského majetku Projektová činnost ve výstavbě Činnost účetních poradců, vedení účetnictví, vedení daňové evidence Provádění staveb, jejich změn a odstraňování Stanoviska k projektovým dokumentacím aj. Další činnosti (výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona) RIZIKO Střední Střední Nízké Vysoké Nízké Nízké Střední Obchodní rozhodnutí ohledně akceptace / neakceptace rizik 9

2. POSOUZENÍ SOULADU Srovnání souladu stávajícího stavu proti požadavků GDPR Návrh opatření (právních organizačních technických) a jejich prioritizace Časový harmonogram implementace Souhrnná zpráva výsledky analýzy Významný dokument pro případnou kontrolu z UOOU! 10

Právně organizační opatření 3. IMPLEMENTACE Příprava, revize či doplnění vnitřních předpisů Odstranění přebytečných souhlasů a jejich změna Úprava zpracovatelských smluv Úprava dalších smluv (zákazníci / zaměstnanci / dodavatelé aj.) Úprava vnitřních procesů zpracovávání osobních údajů Příprava vzorových dokumentů Školení Provedení posouzení vlivu Technická opatření Implementace nových funkcí IS (aktualizace, výmaz, omezení využívání, kopie dat apod.) Pseudonymizace / anonymizace / šifrování Testování a zálohování dat Bezpečnostní opatření 11

PRAKTICKÉ POSTŘEHY K VYBRANÝM OBLASTEM I. Vnitřní předpisy Zmapování stávajících vnitřních předpisů z oblasti ochrany osobních údajů Odhalení rozporů s GDPR Zrušení problematických (částí) předpisů Doplnění vnitřních předpisů dle požadavků GDPR Vytvoření nové struktury vnitřních předpisů: ústřední předpis + další specifické předpisy (DPO, školení, informační systémy, řízení a výběr dodavatelů, uplatňování práv subjektů) Právní tituly a účely Vytvoření metodiky k určování právních titulů a účelů Nastavení procesů kontroly existence právního titulu/účelu Provedení balančního testu v případě využití právního titulu oprávněný zájem Posouzení slučitelnosti účelů (při zpracování pro jiný než původní účel) Minimalizace rozsahu OÚ zpracovávaných pro daný účel Omezení přístupu k osobním údajům Stanovení doby zpracování údajů pro daný účel Souhlasy Pokud možno nahrazení souhlasu jiným právním titulem Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný Členění souhlasu dle operací zpracování Souhlas vždy pro konkrétní účely Oddělení souhlasu od obchodních podmínek a jiných dokumentů Snadné odvolání souhlasu Odstranění formálních nedostatků souhlasu (např. odkazy na starou právní úpravu) 12

PRAKTICKÉ POSTŘEHY K VYBRANÝM OBLASTEM II. Informační povinnost Vytvoření zaměstnanecké i zákaznické politiky ochrany osobních údajů, prostřednictvím které budou subjekty údajů informovány dle GDPR Vytvoření vrstvených online podmínek ochrany osobních údajů Vytvoření samostatné politiky ochrany osobních údajů pro tištěné formuláře, smlouvy Uchování důkazů splnění informační povinnosti Vytvoření systému informování příjemců dle čl. 19 GDPR Zpracovatelské smlouvy Revize stávajících zpracovatelských smluv Smlouvy s blížícím se koncem účinnosti nechat doběhnout x ostatní smlouvy upravit pomocí dodatku Přijetí vnitřního předpisu pro výběr a řízení dodavatelů Příprava vzorové smluvní dokumentace (rámcová smlouva + dodatky ke smlouvám) DPO Posouzení, zda je dána povinnost jmenovat DPO Zvážení dobrovolného jmenování DPO nad rámec povinnosti Výběr vhodné osoby na pozici DPO Volba mezi interním a externím DPO Ověření úrovně odborných znalostí, profesních kvalit a schopnosti plnit úkoly DPO Začlenění DPO v organizační struktuře Předcházení střetu zájmů - DPO se nesmí podílet na určování účelů a prostředků zpracování! 13

DĚKUJEME ZA POZORNOST Mgr. Jan Sůra sura@akccs.cz & Mgr. Nikola Antlová antlova@akccs.cz 14

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář