Právní posouzení principů GDPR v rámci organizace P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m Legislativní rámec GDPR Nařízení č. 2016/679 Všeobecné nařízení o ochraně OÚ (GDPR) Směrnice č. 2016/680 (směrnice o ochraně OÚ v trestních věcech) Směrnice č. 2016/681 (směrnice PNRD) Derogace směrnice č. 95/46/ES o ochraně OÚ (Data Protection Directive) Výkladová praxe WP 29 Vodítko k právu na přenositelnost údajů (WP 242) Vodítko k pověřenci pro ochranu osobních údajů (WP 243) Vodítko k určení vedoucího dozorového úřadu (WP 244) Vodítko k provádění DPIA (WP 248) Průběžná aktualizace Zákon č. 101/2000 Sb., o ochraně osobních údajů (ZOOÚ) Zákon č. 181/2014 Sb., o kybernetické bezpečností Výkladová praxe ÚOOÚ 1
Věcná a místní působnost GDPR Čl. 1, 2, 3 a 4 GDPR I Cíle Nařízení Ochrana OÚ fyzických osob v EU Šířeji ochrana základních práv a svobod Vztahuje se i na fyzické osoby podnikající Volný pohyb OÚ v EU v ČR čl. 7 odst. 1, 10 odst. 2 a 13 LZPS Všechny formy zpracování Zcela/částečně automatizované Manuální (neautomatizované), jsou-li anebo mají-li OÚ být součástí evidence GDPR dopadne na všechny případy zpracování OÚ na území EU/EHP, občanů EU a pohybů OÚ v rámci EU/EHP, kdy: Správce / zpracovatel OÚ sídlí v zemích EU Správce / zpracovatel OÚ nesídlí v zemích EU, ale zpracovává data občanů EU za účelem nabídky zboží, služeb anebo za účelem monitoringu jejich chování na území EU Věcná a místní působnost GDPR II Výluky působnosti GDPR Zesnulé fyzické osoby a mrtvě narozené děti Postmortální ochrana osobnostních práv zesnulého Přičitatelnost OÚ třetím osobám (zdravotní dokumentace) Právnické osoby ochrana OÚ zaměstnanců Manuální zpracování neevidovaných OÚ Zpracování fyzickou osobou pro výlučně osobní a domácí činnosti Zpracování OÚ v oblasti ochrany zákonnosti a bezpečnosti Výkon činností mimo působnost práva EU Výkon činností v rámci společné zahraniční a bezpečnostní politiky EU Prevence, vyšetřování, odhalování a stíhání trestné činnosti Anonymní a anonymizované údaje (Neidentifikující) údaje pro statistické a výzkumné účely 2
Vybrané definice GDPR I Čl. 2 GDPR Osobní údaje a subjekt údajů Veškeré informace o identifikované nebo identifikovatelné fyzické osobě subjekt údajů Identifikovatelnou fyzickou osobu lze přímo či nepřímo identifikovat (odkazem na určitý identifikátor) Jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity Zpracování Jakákoliv operace nebo soubor operací s OÚ nebo soubory OÚ Shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení Evidence Jakýkoliv strukturovaný soubor OÚ přístupných podle zvláštních kritérií Centralizovaný decentralizovaný Rozdělený podle funkčního / zeměpisného hlediska Vybrané definice GDPR II Správce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Příjemce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty Nikoliv orgány veřejné moci v rámci zvláštního šetření v souladu s právem členského státu 3
Zásady zpracování OÚ dle GDPR I Čl. 5 GDPR Možnost omezení aplikace zásad a práv subjektů OÚ za účelem výslovného veřejného zájmu čl. 23 GDPR Zásada zákonnosti zpracování Zpracování OÚ výlučně zákonným způsobem a ze zákonných důvodů Čl. 6 GPDR Zákonnost zpracování + Čl. 7 GDPR Podmínky udělení souhlasu Čl. 9 GDPR Zpracování zvláštních kategorií OÚ Zásada korektnosti a transparentnosti zpracování Zpracování OÚ korektně Zpracování OÚ transparentním způsobem Čl. 12 14 GDPR Požadavek transparentnosti Informační povinnosti při získání OÚ od/bez subjektů Zásady zpracování OÚ dle GDPR II Zásada účelového omezení shromažďování osobních údajů Určité, výslovně vyjádřené a legitimní účely Zpracování pouze způsoby, které jsou slučitelné s účelem Zpracování pro účely archivace, vědeckého výzkumu či statistické účely Další zpracování (čl. 5 GDPR) Zásada minimalizace zpracovávaných osobních údajů OÚ přiměřené a v relevantním rozsahu OÚ jen v nezbytném rozsahu ve vztahu k účelu Zásada přesnosti osobních údajů Přesné OÚ V případě potřeby aktualizované Veškerá rozumná opatření k vymazání / opravě nepřesných OÚ 4
Zásady zpracování OÚ dle GDPR III Zásada omezeného uložení osobních údajů Ve formě umožňující identifikaci subjektu OÚ jen na dobu nezbytně nutnou pro dané účely zpracování Na delší dobu pro účely archivace ve veřejném zájmu, výzkumu a statistické účely (čl. 89 GDPR) Zásada integrity a důvěrnosti zpracování Požadavek náležitého zabezpečení OÚ Ochrana pomocí vhodných technických nebo organizačních opatření Neoprávněné a protiprávní zpracování Náhodná ztráta Zničení a poškození Čl. 32 GDPR Zásada odpovědnosti Povinnost správce dodržet všechny povinnosti vyplývající ze zásad Povinnost správce dodržení shody prokázat Právní tituly zpracování OÚ Čl. 6 GDPR Průmět zásady zákonnosti Správce musí mít pro zpracování aspoň jeden právní titul časté souběhy Další zpracování Splnění smlouvy Splnění právní povinnosti Ochrana životně důležitých zájmů subjektu údajů anebo jiné fyzické osoby Úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci správcem Oprávněné zájmy příslušného správce anebo třetí strany Možná přednost zájmů, základních práva a svobod subjektu OÚ dítě Souhlas subjektu údajů Vždy zákonné zpracování 5
Dopady GDPR na organizaci Rozšíření informačních povinností správce OÚ vůči subjektu OÚ Zavedení povinnosti vést záznamy o činnostech zpracování Zpřísnění požadavků na poskytovaný souhlas se zpracováním OÚ Zavedení institutu posouzení vlivu na ochranu OÚ (DPIA) Povinnost některých správců a zpracovatelů jmenovat pověřence pro ochranu OÚ (DPO) Explicitní zakotvení práva na výmaz údajů (právo být zapomenut) Zavedení práva na přenos údajů k jinému správci (data portability) Zpřísnění a zpřesnění úpravy obsahu smlouvy o zpracování OÚ Přísná úprava ohlašovací povinnosti v případě porušení zabezpečení OÚ (data breaches) Rozšíření výčtu identifikátorů (OÚ) síťové identifikátory a lokační údaje Významné zvýšení sankcí Zpracování OÚ I Základní kategorie zpracování (podle účelu) a odpovědnosti v rámci organizace Marketing CCO Produkty / Služby Obchodní ředitel Dodavatelé Pověřená osoba HR Personální ředitel Správa a řízení práv subjektů OÚ General Counsel / DPO Archivace, likvidace CIO Ostatní CO 6
Zpracování OÚ II Zpracování OÚ Evidence existujícího zpracování OÚ Příprava nového zpracování osobních údajů Změna schválené přípravy nového zpracování OÚ Změna stávajícího zpracování OÚ včetně ukončení zpracování Práva subjektů OÚ Čl. 13, 15, 17, 21 a 22 GDPR Právo na informace o zpracování OÚ Právo na přístup subjektu k OÚ Právo získat od správce OÚ potvrzení o zpracování OÚ Právo poskytnout kopii zpracovávaných OÚ Právo subjektu na vyžádaný výmaz jeho OÚ ( právo být zapomenut ) Právo subjektu OÚ vznést námitku V případě, že zpracování provádí správce na základě svých oprávněných zájmů Právo subjektu nebýt předmětem automatizovaného rozhodnutí Zpracování OÚ III Povinnosti správců a zpracovatelů Čl. 30 a násl. GDPR Povinnost vést záznamy o činnostech zpracování Písemné záznamy, dostupné na vyžádání dozorovému úřadu Výjimka pro malé a střední podniky do 250 zaměstnanců Povinnost zajistit odpovídající zabezpečení OÚ Povinnost přijmout vnitřní koncepce a opatření pro zabezpečené zpracování OÚ Zásady záměrné a standardní ochrany osobních údajů Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb Pravidelné testování, posuzování a hodnocení bezpečnosti opatření Povinnost ohlašovat bezpečnostní incidenty (data breaches) Bez zbytečného odkladu, nejpozději do 72 hodin dozorovému orgánu Bez zbytečného odkladu v případě závažného úniku i subjektům OÚ Povinnost provést posouzení vlivu na ochranu OÚ (DPIA) a předchozí konzultace Povinnost preemptivně posoudit vliv konkrétních operací při zpracování OÚ, které představují vysoké riziko pro práva a svobody FO Povinnost předběžné konzultace s dozorovým orgánem 7
Zpracování OÚ IV Bezpečnostní incidenty Návrh notifikace o incidentu Odsouhlasení notifikace Podání notifikace Přijatá opatření Další Vztahy s ÚOOÚ Registrace zpracování u ÚOOÚ Stížnosti SÚ u ÚOOÚ Inspekce Hlášení bezpečnostních incidentů Posouzení vlivu Záměrná ochrana OÚ I Záměrná ochrana osobních údajů (Privacy / Data protection by design) Soukromí jako ústavní právo (USA) základní lidské právo (Evropa) Report Privacy-enhancing technologies Teledienstedatenschutzgesetz (Německo, červenec 1997) Principy návrhu systémové / datové architektury organizace Návrh systémové / datové architektury od počátku tak, že data nepotřebují dodatečnou externí ochranu Organizační a technologická opatření Technologie pro podporu ochrany soukromí (privacy enhancing technologies - PETs) 7 pravidel Proaktivní, ne reaktivní ochrana / Prevence před odstraňováním škod Ochrana soukromí jako standardní nastavení Ochrana soukromí součástí návrhu Ochrana údajů přes všechny funkce Zabezpečení end-to-end / Ochrana po celý životní cyklus údaje Transparentnost a otevřenost Respekt a nastavení služby k uživateli 8
Záměrná ochrana OÚ II Čl. 25 odst. 1 GDPR Záměrná ochrana OÚ Vhodná technická opatření a organizační opatření (např. pseudonymizace) k ochraně OÚ S přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu, účelům a rizikům zpracování OÚ V době určení prostředků v době zpracování OÚ Účelem provádět zásady ochrany OÚ a začlenit nezbytné záruky k ochraně práv subjektů Zásada zákonnosti Zásada minimalizace OÚ Zásada přesnosti, integrity a důvěrnosti Záměrná ochrana OÚ III ENISA Osm strategií záměrné ochrany soukromí Minimalizace Skrývání Oddělování Agregace Informování Kontrola Prosazování Prokazování omezení shromáždění pro veřejné účely 9
Záměrná ochrana OÚ IV Čl. 25 odst. 2 GDPR Standardní ochrana OÚ Vhodná technická opatření a organizační opatření k minimalizaci zpracovávaných OÚ Průmět zásady minimalizace Povinnost standardně zpracovávat jen OÚ Nezbytně nutné pro specifikovaný účel V nezbytně nutném rozsahu Uchovávat po nezbytně dlouhou dobu OÚ nelze volně zpřístupňovat neomezenému počtu osob Děkuji za pozornost Mgr. Zbyněk Loebl, LLM zbynek.loebl@prkpartners.com P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m 10
Kontakty PRK Partners Česká republika - Praha Jáchymova 26/2, 110 00 Praha1 tel: +420 221 430 111 e-mail: prague@prkpartners.com Česká republika - Ostrava 28. října 3346/91, 702 00 Ostrava tel: +420 558 889 099 e-mail: ostrava@prkpartners.com Slovensko Hurbanovo námestie 3, 811 06 Bratislava tel: +421 232 333 232 e-mail: bratislava@prkpartners.com www.prkpartners.com 11