Právní posouzení principů GDPR v rámci organizace

Podobné dokumenty
Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR Obecné nařízení o ochraně osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Informace k ochraně osobních údajů - GDPR

GDPR obecně Svaz měst a obcí

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Interní směrnice o zpracování osobních údajů dle GDPR

O B E C H O S T Í N Hostín 56, Byšice

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Stavební bytové družstvo České Budějovice

Politika ochrany osobních údajů GJŠ Zlín

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Informace o zpracování osobních údajů

Oznámení o zpracování Osobních údajů

Informace o zpracování osobních údajů

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Pardubický kraj

Ochrana osobních údajů - GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Nová pravidla ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Poučení zaměstnance o právní úpravě ochrany osobních údajů

G D P R. Základní informace

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Zásady zpracování osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ OBCHODNÍ SPOLEČNOSTI ARC-H HRADEC KRÁLOVÉ S.R.O.

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Politika ochrany osobních údajů

1/ Memorandum o zpracování osobních údajů dle článku 13 a 14 GDPR.

Ochrana osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ (GDPR, eprivacy)

GDPR. Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady(EU) číslo 2016/679. Str. 1

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Základní umělecká škola Iši Krejčího Olomouc, Na Vozovce 32

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

SPISOVÁ SLUŽBA A GDPR

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

Informování veřejnosti o zpracování osobních údajů

INFORMAČNÍ MEMORANDUM O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. SPOLEČNOSTI KREUZIGER project s.r.o.

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

10. Předávání a zpřístupnění osobních údajů subjektu údajů třetí straně

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Subjekt údajů (dále jen zákazník nebo Subjekt údajů ): fyzická osoba, k níž se osobní údaje vztahují.

Ochrana osobních údajů GDPR ŠÁRKA ŠPE CIÁNOVÁ

Informace o ochraně osobních údajů zpracovávaných společností PROFIZOO s.r.o. k jejím zákazníkům.

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Kraj Vysočina

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

OCHRANA OSOBNÍCH ÚDAJŮ SPOLEČNOSTI PAVEL DUŠEK (DÁLE JEN PROHLÁŠENÍ ) ČL. I ÚVODNÍ USTANOVENÍ A DEFINICE POJMŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

PROHLÁŠENÍ SPOLEČNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Směrnice pro nakládání s osobními údaji

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Informování veřejnosti o zpracování osobních údajů

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Informace o správci osobních údajů a pověřenci pro ochranu osobních údajů:

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

Informování veřejnosti o zpracování osobních údajů

Seminář o GDPR

Informace k ochraně osobních údajů

Co všechno je zpracování osobních údajů podle GDPR

tímto podle čl. 12 a násl. GDPR informujeme o zpracování osobních údajů a o právech subjektů údajů.

Výkon práv subjektů údajů

Transkript:

Právní posouzení principů GDPR v rámci organizace P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m Legislativní rámec GDPR Nařízení č. 2016/679 Všeobecné nařízení o ochraně OÚ (GDPR) Směrnice č. 2016/680 (směrnice o ochraně OÚ v trestních věcech) Směrnice č. 2016/681 (směrnice PNRD) Derogace směrnice č. 95/46/ES o ochraně OÚ (Data Protection Directive) Výkladová praxe WP 29 Vodítko k právu na přenositelnost údajů (WP 242) Vodítko k pověřenci pro ochranu osobních údajů (WP 243) Vodítko k určení vedoucího dozorového úřadu (WP 244) Vodítko k provádění DPIA (WP 248) Průběžná aktualizace Zákon č. 101/2000 Sb., o ochraně osobních údajů (ZOOÚ) Zákon č. 181/2014 Sb., o kybernetické bezpečností Výkladová praxe ÚOOÚ 1

Věcná a místní působnost GDPR Čl. 1, 2, 3 a 4 GDPR I Cíle Nařízení Ochrana OÚ fyzických osob v EU Šířeji ochrana základních práv a svobod Vztahuje se i na fyzické osoby podnikající Volný pohyb OÚ v EU v ČR čl. 7 odst. 1, 10 odst. 2 a 13 LZPS Všechny formy zpracování Zcela/částečně automatizované Manuální (neautomatizované), jsou-li anebo mají-li OÚ být součástí evidence GDPR dopadne na všechny případy zpracování OÚ na území EU/EHP, občanů EU a pohybů OÚ v rámci EU/EHP, kdy: Správce / zpracovatel OÚ sídlí v zemích EU Správce / zpracovatel OÚ nesídlí v zemích EU, ale zpracovává data občanů EU za účelem nabídky zboží, služeb anebo za účelem monitoringu jejich chování na území EU Věcná a místní působnost GDPR II Výluky působnosti GDPR Zesnulé fyzické osoby a mrtvě narozené děti Postmortální ochrana osobnostních práv zesnulého Přičitatelnost OÚ třetím osobám (zdravotní dokumentace) Právnické osoby ochrana OÚ zaměstnanců Manuální zpracování neevidovaných OÚ Zpracování fyzickou osobou pro výlučně osobní a domácí činnosti Zpracování OÚ v oblasti ochrany zákonnosti a bezpečnosti Výkon činností mimo působnost práva EU Výkon činností v rámci společné zahraniční a bezpečnostní politiky EU Prevence, vyšetřování, odhalování a stíhání trestné činnosti Anonymní a anonymizované údaje (Neidentifikující) údaje pro statistické a výzkumné účely 2

Vybrané definice GDPR I Čl. 2 GDPR Osobní údaje a subjekt údajů Veškeré informace o identifikované nebo identifikovatelné fyzické osobě subjekt údajů Identifikovatelnou fyzickou osobu lze přímo či nepřímo identifikovat (odkazem na určitý identifikátor) Jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity Zpracování Jakákoliv operace nebo soubor operací s OÚ nebo soubory OÚ Shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení Evidence Jakýkoliv strukturovaný soubor OÚ přístupných podle zvláštních kritérií Centralizovaný decentralizovaný Rozdělený podle funkčního / zeměpisného hlediska Vybrané definice GDPR II Správce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Příjemce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty Nikoliv orgány veřejné moci v rámci zvláštního šetření v souladu s právem členského státu 3

Zásady zpracování OÚ dle GDPR I Čl. 5 GDPR Možnost omezení aplikace zásad a práv subjektů OÚ za účelem výslovného veřejného zájmu čl. 23 GDPR Zásada zákonnosti zpracování Zpracování OÚ výlučně zákonným způsobem a ze zákonných důvodů Čl. 6 GPDR Zákonnost zpracování + Čl. 7 GDPR Podmínky udělení souhlasu Čl. 9 GDPR Zpracování zvláštních kategorií OÚ Zásada korektnosti a transparentnosti zpracování Zpracování OÚ korektně Zpracování OÚ transparentním způsobem Čl. 12 14 GDPR Požadavek transparentnosti Informační povinnosti při získání OÚ od/bez subjektů Zásady zpracování OÚ dle GDPR II Zásada účelového omezení shromažďování osobních údajů Určité, výslovně vyjádřené a legitimní účely Zpracování pouze způsoby, které jsou slučitelné s účelem Zpracování pro účely archivace, vědeckého výzkumu či statistické účely Další zpracování (čl. 5 GDPR) Zásada minimalizace zpracovávaných osobních údajů OÚ přiměřené a v relevantním rozsahu OÚ jen v nezbytném rozsahu ve vztahu k účelu Zásada přesnosti osobních údajů Přesné OÚ V případě potřeby aktualizované Veškerá rozumná opatření k vymazání / opravě nepřesných OÚ 4

Zásady zpracování OÚ dle GDPR III Zásada omezeného uložení osobních údajů Ve formě umožňující identifikaci subjektu OÚ jen na dobu nezbytně nutnou pro dané účely zpracování Na delší dobu pro účely archivace ve veřejném zájmu, výzkumu a statistické účely (čl. 89 GDPR) Zásada integrity a důvěrnosti zpracování Požadavek náležitého zabezpečení OÚ Ochrana pomocí vhodných technických nebo organizačních opatření Neoprávněné a protiprávní zpracování Náhodná ztráta Zničení a poškození Čl. 32 GDPR Zásada odpovědnosti Povinnost správce dodržet všechny povinnosti vyplývající ze zásad Povinnost správce dodržení shody prokázat Právní tituly zpracování OÚ Čl. 6 GDPR Průmět zásady zákonnosti Správce musí mít pro zpracování aspoň jeden právní titul časté souběhy Další zpracování Splnění smlouvy Splnění právní povinnosti Ochrana životně důležitých zájmů subjektu údajů anebo jiné fyzické osoby Úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci správcem Oprávněné zájmy příslušného správce anebo třetí strany Možná přednost zájmů, základních práva a svobod subjektu OÚ dítě Souhlas subjektu údajů Vždy zákonné zpracování 5

Dopady GDPR na organizaci Rozšíření informačních povinností správce OÚ vůči subjektu OÚ Zavedení povinnosti vést záznamy o činnostech zpracování Zpřísnění požadavků na poskytovaný souhlas se zpracováním OÚ Zavedení institutu posouzení vlivu na ochranu OÚ (DPIA) Povinnost některých správců a zpracovatelů jmenovat pověřence pro ochranu OÚ (DPO) Explicitní zakotvení práva na výmaz údajů (právo být zapomenut) Zavedení práva na přenos údajů k jinému správci (data portability) Zpřísnění a zpřesnění úpravy obsahu smlouvy o zpracování OÚ Přísná úprava ohlašovací povinnosti v případě porušení zabezpečení OÚ (data breaches) Rozšíření výčtu identifikátorů (OÚ) síťové identifikátory a lokační údaje Významné zvýšení sankcí Zpracování OÚ I Základní kategorie zpracování (podle účelu) a odpovědnosti v rámci organizace Marketing CCO Produkty / Služby Obchodní ředitel Dodavatelé Pověřená osoba HR Personální ředitel Správa a řízení práv subjektů OÚ General Counsel / DPO Archivace, likvidace CIO Ostatní CO 6

Zpracování OÚ II Zpracování OÚ Evidence existujícího zpracování OÚ Příprava nového zpracování osobních údajů Změna schválené přípravy nového zpracování OÚ Změna stávajícího zpracování OÚ včetně ukončení zpracování Práva subjektů OÚ Čl. 13, 15, 17, 21 a 22 GDPR Právo na informace o zpracování OÚ Právo na přístup subjektu k OÚ Právo získat od správce OÚ potvrzení o zpracování OÚ Právo poskytnout kopii zpracovávaných OÚ Právo subjektu na vyžádaný výmaz jeho OÚ ( právo být zapomenut ) Právo subjektu OÚ vznést námitku V případě, že zpracování provádí správce na základě svých oprávněných zájmů Právo subjektu nebýt předmětem automatizovaného rozhodnutí Zpracování OÚ III Povinnosti správců a zpracovatelů Čl. 30 a násl. GDPR Povinnost vést záznamy o činnostech zpracování Písemné záznamy, dostupné na vyžádání dozorovému úřadu Výjimka pro malé a střední podniky do 250 zaměstnanců Povinnost zajistit odpovídající zabezpečení OÚ Povinnost přijmout vnitřní koncepce a opatření pro zabezpečené zpracování OÚ Zásady záměrné a standardní ochrany osobních údajů Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb Pravidelné testování, posuzování a hodnocení bezpečnosti opatření Povinnost ohlašovat bezpečnostní incidenty (data breaches) Bez zbytečného odkladu, nejpozději do 72 hodin dozorovému orgánu Bez zbytečného odkladu v případě závažného úniku i subjektům OÚ Povinnost provést posouzení vlivu na ochranu OÚ (DPIA) a předchozí konzultace Povinnost preemptivně posoudit vliv konkrétních operací při zpracování OÚ, které představují vysoké riziko pro práva a svobody FO Povinnost předběžné konzultace s dozorovým orgánem 7

Zpracování OÚ IV Bezpečnostní incidenty Návrh notifikace o incidentu Odsouhlasení notifikace Podání notifikace Přijatá opatření Další Vztahy s ÚOOÚ Registrace zpracování u ÚOOÚ Stížnosti SÚ u ÚOOÚ Inspekce Hlášení bezpečnostních incidentů Posouzení vlivu Záměrná ochrana OÚ I Záměrná ochrana osobních údajů (Privacy / Data protection by design) Soukromí jako ústavní právo (USA) základní lidské právo (Evropa) Report Privacy-enhancing technologies Teledienstedatenschutzgesetz (Německo, červenec 1997) Principy návrhu systémové / datové architektury organizace Návrh systémové / datové architektury od počátku tak, že data nepotřebují dodatečnou externí ochranu Organizační a technologická opatření Technologie pro podporu ochrany soukromí (privacy enhancing technologies - PETs) 7 pravidel Proaktivní, ne reaktivní ochrana / Prevence před odstraňováním škod Ochrana soukromí jako standardní nastavení Ochrana soukromí součástí návrhu Ochrana údajů přes všechny funkce Zabezpečení end-to-end / Ochrana po celý životní cyklus údaje Transparentnost a otevřenost Respekt a nastavení služby k uživateli 8

Záměrná ochrana OÚ II Čl. 25 odst. 1 GDPR Záměrná ochrana OÚ Vhodná technická opatření a organizační opatření (např. pseudonymizace) k ochraně OÚ S přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu, účelům a rizikům zpracování OÚ V době určení prostředků v době zpracování OÚ Účelem provádět zásady ochrany OÚ a začlenit nezbytné záruky k ochraně práv subjektů Zásada zákonnosti Zásada minimalizace OÚ Zásada přesnosti, integrity a důvěrnosti Záměrná ochrana OÚ III ENISA Osm strategií záměrné ochrany soukromí Minimalizace Skrývání Oddělování Agregace Informování Kontrola Prosazování Prokazování omezení shromáždění pro veřejné účely 9

Záměrná ochrana OÚ IV Čl. 25 odst. 2 GDPR Standardní ochrana OÚ Vhodná technická opatření a organizační opatření k minimalizaci zpracovávaných OÚ Průmět zásady minimalizace Povinnost standardně zpracovávat jen OÚ Nezbytně nutné pro specifikovaný účel V nezbytně nutném rozsahu Uchovávat po nezbytně dlouhou dobu OÚ nelze volně zpřístupňovat neomezenému počtu osob Děkuji za pozornost Mgr. Zbyněk Loebl, LLM zbynek.loebl@prkpartners.com P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m 10

Kontakty PRK Partners Česká republika - Praha Jáchymova 26/2, 110 00 Praha1 tel: +420 221 430 111 e-mail: prague@prkpartners.com Česká republika - Ostrava 28. října 3346/91, 702 00 Ostrava tel: +420 558 889 099 e-mail: ostrava@prkpartners.com Slovensko Hurbanovo námestie 3, 811 06 Bratislava tel: +421 232 333 232 e-mail: bratislava@prkpartners.com www.prkpartners.com 11

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář