Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Podobné dokumenty
Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Nová pravidla ochrany osobních údajů

GDPR & CLOUD. Mgr. Jana Pattynová, LL.M

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

GDPR Obecné nařízení o ochraně osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů

Zásady ochrany osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Obecné nařízení o ochraně osobních údajů

Ochrana osobních údajů aktuálně

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Zabezpečení osobních údajů

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace k ochraně osobních údajů - GDPR

SPISOVÁ SLUŽBA A GDPR

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

GDPR obecně Svaz měst a obcí

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Právní posouzení principů GDPR v rámci organizace

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Informace o zpracování osobních údajů

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Sdělení ÚOOÚ k přístupu založenému na riziku

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

ORGANIZAČNÍ ŘÁD ŠKOLY

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

GDPR evoluce v ochraně osobních údajů.

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Ochrana osobních údajů - GDPR

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Subjekt údajů (dále jen zákazník nebo Subjekt údajů ): fyzická osoba, k níž se osobní údaje vztahují.

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Informace o zpracování osobních údajů

Oznámení o zpracování Osobních údajů

Ochrana osobních údajů nové nařízení EU. Mgr. Klára Valentová

Informace o zpracování osobních údajů

ALIS spol. s r.o., Česká Lípa říjen 2017

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Seminář o GDPR

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Zásady zpracování osobních údajů pro zákazníky Daktela s.r.o. dle GDPR

SROVNÁNÍ PRÁVNÍ ÚPRAVY DLE ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ A NAŘÍZENÍ GDPR

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

Poučení o ochraně osobních údajů

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Informace o zpracování osobních údajů

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Transkript:

Ochrana osobních údajů a bezpečnost dat novinky v GDPR

PRÁVNÍ Právní úprava dat ÚVOD K OCHRANĚ ÚDAJŮ PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X El. tržiště X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X

ÚVOD K OCHRANĚ ÚDAJŮ Právní úprava dat Zákon o ochraně osobních údajů (101/2000 Sb.) = ZOOÚ Směrnice o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES) Zákon o kybernetické bezpečnosti (181/ 2014 Sb.) Zákon o některých aspektech informační společnosti (480/2004 Sb.) Zákon o elektronických komunikacích (127/2005 Sb.) Nařízení o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (2016/679/EU) = GDPR Účinné od 25. 5. 2018 pro celou EU Mezinárodní úprava Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108) Dohoda mezi EU a USA Privacy Shield (namísto původní dohody o Safe Harbor) Rozhodnutí Evropské Komise o předávání údajů

ÚVOD K OCHRANĚ ÚDAJŮ GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány

ÚVOD K OCHRANĚ ÚDAJŮ Rozšířený dopad GDPR Dopad na podnik ve významu čl. 101 a čl. 102 SFEU tj. může dopadat např. na celý koncern (podnikatelská seskupení interpretace dle soutěžního práva, sankce založeny na obratu skupiny) Místní příslušnost pro aplikaci GDPR Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD) Jakákoliv skutečná a provozovaná aktivita alespoň v jednom čl. státě

ZÁKLADNÍ POJMY Osobní údaje Informace o identifikované nebo identifikovatelné fyzické osobě Přímá či nepřímá identifikace odkazující na určitý identifikátor Identifikační číslo, lokační údaje, síťový identifikátor Fyzická, fyziologická, genetická, psychická, ekonomická, kulturní nebo společenská identita

ZÁKLADNÍ POJMY Citlivé údaje Rasový, národnostní či etnický původ Genetické a biometrické údaje pro účely jedinečné identifikace fyzické osoby Ke zpracování je potřeba výslovný souhlas nebo jiný nezbytný zákonem určený účel Politické názory, náboženské vyznání, filosofické přesvědčení, členství v odborech Údaje o zdravotním stavu nebo údaje o sexuálním životě či sexuální orientaci fyzické osoby

ZÁKLADNÍ POJMY Co je tedy regulováno jako osobní údaje? údaje identifikující fyzickou osobu Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího chování při užívání služby, fotografie

ZÁKLADNÍ POJMY Zpracování osobních údajů Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

ZÁKLADNÍ POJMY Subjekty Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Zpracovatel Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

ZÁKLADNÍ PRINCIPY Hlavní zásady ochrany osobních údajů Zpracovávány zákonným, transparentním a korektním způsobem Shromažďování pro určité, výslovně vyjádřené a legitimní účely Přiměřené, relevantní a omezené na nezbytný rozsah pro daný účel (minimalizace) Přesné a v případě potřeby aktualizované Uchovávání ve formě umožňující identifikaci subjektů údajů pouze po dobu nezbytnou pro účely zpracování Zpracování pouze takovým způsobem, který zajistí náležité zabezpečení Ochrana pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním, před náhodnou ztrátou, zničením nebo poškozením Správce odpovídá za dodržení zásad a musí být schopen soulad doložit (accountability) Záměrná a standardní ochrana osobních údajů (privacy by design and by default)

ZÁKLADNÍ PRINCIPY Novinky v GDPR Povinnost oznámit neoprávněný přístup k osobním údajům Širší teritoriální a věcný dopad Vyšší pokuty (až 4% celosvětového obratu celého podniku) Pověřenec pro ochranu osobních údajů Privacy by design and by default Vedoucí dozorový úřad jako onestop-shop Zrušení systému registrací u ÚOOÚ Povinnost správce provést posouzení vlivu na ochranu osobních údajů

ZÁKLADNÍ PRINCIPY Novinky v GDPR Posílení práv subjektů údajů Jednoznačnost souhlasu pro všechna zpracování (opt in) Širší informační povinnost Pseudonymizace dat Nové náležitosti zpracovatelské smlouvy (vč. řetězení) Kodexy a certifikáty Evropský sbor pro ochranu osobních údajů Odpovědnost zpracovatele za způsobenou újmu

PRÁVNÍ TITULY Souhlas a jeho náležitosti Pro konkrétní účel, nikoliv paušální pro jakékoli zpracování Informovaný Odlišný od jiných záležitostí Jednoznačný/vý slovný (vždy opt-in) Jasný, svobodný Udělený na určitou dobu Již udělené souhlasy musí být harmonizovány

PRÁVNÍ TITULY Souhlas nezletilých < 13 Pouze se souhlasem rodiče 13 15 Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče

Jak může být souhlas prokázán? Správci údajů musí být kdykoliv schopni dokázat, že: PRÁVNÍ TITULY Souhlas souvisí s konkrétním údajem Souhlas byl udělen příslušnou osobou Osoba udělující souhlas byla informována o účelu zpracování Souhlas byl udělen na příslušnou dobu a pokrývá dobu, v rámci níž jsou údaje zpracovávány

PRÁVNÍ TITULY Povinnost vymazat údaje Údaje o příslušné osoby musí být nezvratně a kompletně vymazány při odvolání souhlasu pokud již nejsou potřebné pro účely zpracování pokud subjekt údajů vznese námitky (a nepřevažují oprávněné důvody pro zpracování) Potvrzení osobě, že její údaje byly vymazány Zajištění pro celý ekosystém zpracovatele objektivní meze (přiměřené kroky, náklady, dostupná technologie) Výjimky: údaje nezbytné pro určení výkon nebo obhajobu právních nároků nezbytnost pro plnění právní povinnosti splnění úkolu provedeného ve veřejném zájmu výkon veřejné moci

PRÁVNÍ TITULY Zákonné výjimky GDPR Zpracování bez souhlasu subjektu osobních údajů = zákonné výjimky Úprava v čl. 6 GDPR Rozsah úpravy v nařízení může být rozšířena právem členských států (vč. zachování dosavadního rozsahu) Plnění smlouvy nebo jednání o jejím uzavření Splnění právní povinnosti správce Ochrana životně důležitých zájmů subjektu údajů Ochrana práv chráněných zájmů správce či jiné dotčené osoby Splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci

PRÁVNÍ TITULY Oprávněný zájem dle GDPR Nedopadá na případy: Subjektem údajů je dítě Zpracování údajů provádí orgán veřejné moci při plnění svých úkolů Správce má povinnost uchovávat záznamy o posouzení vlivu na ochranu osobních údajů Povinnost správce informovat subjekt údajů Přenosy do zahraničí na základě oprávněného zájmu Příklady oprávněného zájmu: Přímý marketing nebo ochrana před podvodem Přenos dat v rámci jedné skupiny (holdingu) vč. zaměstnaneckých údajů Zpracování pro účely zajištění síťové bezpečnosti nebo zamezení neoprávněným přístupům Oznamování trestných činů

PSEUDONYMIZACE A ANONYMIZACE

PSEUDONYMIZACE AANONYMIZACE Anonymizované vs pseudonymizované údaje Anonymizované údaje (nevratně oddělené od osoby) Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Pseudonymizované údaje (dočasně oddělené od osoby) Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci

Výhody pseudonymizovaných údajů Mohou být zpracovány nad rámec původně definovaného účelu Mírnější regulace: výjimky z notifikace, dalších povinností Pseudonymizace splňuje požadavek privacy by design H ÚDAJŮ Pseudonymizace jako bezpečnostní opatření

SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (subzpracovateli) na základě písemného povolení správce Povinná písemná forma (i Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce

Smlouva o zpracování údajů dle GDPR Povinnosti zpracovatele ve smlouvě o zpracování: Přijme veškerá nezbytná bezpečnostní opatření Dodržuje podmínky pro zapojení dalšího zpracovatele Zohledňuje povahu zpracování Povinen zajisti správci součinnost Na základě pokynů správce vymaže nebo předá zpět správci veškeré údaje Poskytuje správci veškeré informace Umožní vykonávat audity, vč. inspekcí Zpracovatel povinen poskytovat dostatečné záruky technických a organizačních zabezpečení Lze doložit schváleným kodexem chování nebo mechanismem pro vydávání osvědčení ZABEZPEČENÍ ÚDAJŮ

BEZPEČNOST ÚDAJŮ Technické zabezpečení dle GDPR správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů Čl. 32 GDPR obsahuje demonstrativní výčet možných opatření Pravidelné testování, posuzování a hodnocení Pseudonymizace a šifrování Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování

BEZPEČNOST ÚDAJŮ Technická a organiz. opatření dle GDPR Kodexy chování Kodexy schvaluje ÚOOÚ nebo EDPB Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy Certifikace Ustanovení orgánů, které budou udílet podnikům akreditace Certifikáty budou platné vždy po dobu 3 let Privacy by design/by default Záměrná a standardní ochrana osobních údajů Organizace musí implementovat technické a organizační prostředky Zahrnuje rovněž zaměstnanecké směrnice Privacy impact assesment Posouzení vlivu na ochranu osobních údajů Slouží k identifikaci a minimalizaci rizik při zpracování údajů

NOVÉ POVINNOSTI SPRÁVCŮ Nové povinnosti správců Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: systematické a rozsáhlé vyhodnocování osobních aspektů / profiling rozsáhlé zpracování citlivých údajů / trestních rozsudků rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti) Seznamy zpracovatelských operací

Nové povinnosti správců NOVÉ POVINNOSTI SPRÁVCŮ Postup správce při provádění posouzení vlivu na ochranu: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Předchozí konzultace s dozor. Úřadem pokud hrozí vysoké riziko? Výstupu a závaznosti konzultace; doba 8 + 6 týdnů Při zpracování necitlivých údajů ve veřejném zájmu postačí provést jednorázově před účinností GDPR Další nové povinnosti: Institut pověřence pro ochranu osobních údajů Ohlašování případů porušení zabezpečení osobních údajů

Institut pověřence DATABREACHES Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence?

DATABREACHES Hlášení dle stávající úpravy Obecná povinnost přijmout opatření proti neoprávněnému a nahodilému přístupu k osobním údajům Notifikace data breaches povinná jen pro poskytovatele veřejně dostupných služeb elektronických komunikací Oznámení narušení bezpečnosti osobních údajů ÚOOÚ 24 hodin Lhůta může být prodloužena Formulář Informování subjektu údajů, jehož osobní údaje byly narušením bezpečnosti zasaženy, pokud bezpečnost narušena zvlášť závažným způsobem a: Citlivé údaje / krádež identity / škoda > 500 000/ fyzická či morální újma Provedení opatření k nápravě Vedení přehledu data breaches včetně posouzení dopadu a nápravných opatření

DATABREACHES Hlášení dle GDPR Bude dopadat na všechny správce Povinnost zpracovatelů ohlašovat správci Oznámení porušení zabezpečení osobních údajů ÚOOÚ Bez zbytečného odkladu, pokud možno do 72 hodin Důvody případného zpoždění Předepsaný min. obsah Výjimka: je-li nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Povinnost informovat subjekt údajů, pokud je pravděpodobné, že porušení zabezpečení = vysoké riziko pro jeho práva a svobody Bezodkladně Výjimky: údaje učiněny nesrozumitelnými (např. šifrováním) následná opatření eliminující riziko nepřiměřené úsilí à veřejné oznámení

DATABREACHES Hlášení dle zákona o kybernetické bezpečnosti Omezená relevance pro soukromý sektor pouze povinné subjekty Povinnost monitorovat bezpečnost a detekovat kybernetické incidenty Povinnost hlásit bezpečnostní incidenty Národnímu CERTu /CSIRT (orgán nebo osoba zajišťující významnou síť) Vládnímu CERTu (ostatní povinné osoby)

Sankce za nesplnění notifikační povinnosti Právní předpis Porušená povinnost Výše sankce ZEK Zákon o ochraně osobních údajů Nařízení o ochraně osobních údajů Oznámení data breaches ÚOOÚ/subjektu údajů Přijetí a provedení opatření pro zajištění bezpečnosti zpracování osobních údajů; Vedení přehledu případů porušení ochrany osobních údajů podle ZEK Oznámení data breaches ÚOOÚ/subjektu údajů 20 mil. Kč (ČTÚ) 5 mil. Kč / 10 mil. Až 2 % ročního světového obratu Kybernetický zákon Ohlášení kyberincidentu CERT 100 000 Kč

PRÁVA SUBJEKTŮ ÚDAJŮ Práva subjektů údajů Subjekty mají právo především být informování o zpracování svých osobních údajů Další práva dovozována judikaturou např. právo být zapomenut V GDPR dochází k posílení individuálních práv s cílem zajistit větší transparentnost a lepší přístup; důraz na srozumitelnost jazyka

Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo na zasílání informací o zpracování (1 měsíc, ochrana proti kverulantům) Komplexní a transparentní informace o zpracování (výjimky: spec. zákon, služební tajemství) Právní titul zpracování a informace o pří jemcích úda jů, době, předávání, dobrovolnosti, profilování, právech Přístup, oprava a přenos údajů Na žádost subjektu údajů vznikají správci povinnosti Potvrzení o zpracování údajů, poskytnutí jejich kopie,

Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo vznést námitky proti zpracování Specifická práva ohledně využití pro účely marketingu Online služby - automatizovaná metoda k podání námitek Právo být zapomenut a právo na vymazání Právo být zapomenut je v legislativě novinkou v GDPR (dosud jen soudní výklad) Právo dožadovat se omezení zpracování údajů

PRÁVA SUBJEKTŮ ÚDAJŮ Omezení práv subjektů údajů vůči veřejným subjektům Práva subjektů a údajů a povinnosti správců mohou být zákonem omezeny čl.23 (např. z důvodu veřejného zdraví či jiného veř. zájmu) Právo na výmaz (být zapomenut) (výjimka pro výkon veř. moci, veř. zájem, oblast veřejného zdraví čl. 17(3) b, c) Práva na omezení zpracování a vznést námitku čl.18, 21 (výjimky pro zpracování ve veřejném zájmu) Právo na přenositelnost (vyloučeno u zpracování nezbytné pro plnění úkolu veřejného zájmu čl. 20 (3))

Předávání mimo státy EHP PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Rozhodnutí Komise o standardních smluvních doložkách Úmluva 108 Rozhodnutí Komise (adequacy decision) Regulovaný smluvní obsah s ohledem na údaje, které mohoubýt předávány mimo státy EHP EU + Uruguay, Mar oko, Kanada, Švýcarsko, Izrael, (https://goo.gl/bqm4fs) Závazná podniková pravidla (BCR) Jednotlivě udělený souhlas Privacy Shield

PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Rozhodnutí o přiměřenosti (adequacy decisions) Poměrně malá relevance; novinka přezkum každé 4 roky Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 Řetězení zpracovatelů, povinnost auditu Typy standardních smluvních doložek: Správce (EU) à Správce (mimo EHP) 2 sety doložek Správce (EU) à Zpracovatel (mimo EHP) Závazná podniková pravidla (BCR) Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU Náročný proces schvalování konzultace a schvalování ÚOOÚ GDPR podrobně popisuje a zjednodušuje schvalování

PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Nové samoregulační nástroje: Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky akreditace) Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -? Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany Důležitý důvod veřejného zájmu Nově: legitimní zájem správce omezené využití (převažuje zájem subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci Cloudu, nadnárodních personálních databází)

Předávání údajů do USA PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Platné znění již zohledňuje kritické připomínky pracovní skupiny čl. 29 ze 13. dubna 2016 komplikovanost ochranných mechanismů, nedostatečná úprava uchovávání osobních údajů, nedostatečné zohlednění GDPR Stejně jako Safe Harbor: Self-certification Není třeba schválení ÚOOÚ Prvky nad rámec Safe Harbor: Závazky amer. ministerstva obchodu ve vztahu ke kontrolám, vedení seznamu, každoročním obnovám certifikace atp. Každoroční společný audit (Komise, FTC, Department of Commerce) Výslovné uvedení odpovědnosti za předávání údajů dalším stranám (onward transfer) Proces řešení stížností arbitrážní řízení Institut nezávislého ombudsmana (stížnosti na amer. zpravodajské služby)

Dozorové orgány dle GDPR Vnitrostátní dozorové úřady Vnitrostátní dozorový úřad pro každý podnik v rámci jednotlivého členského státu DOZOR ASANKCE Vedoucí dozorový úřad Evropský sbor pro ochranu osobních údajů (EDPB) Dozorový úřad hlavní afilace Jedno správní místo (výlučná kompetence) pro přeshraniční zpracování Poradní orgán pro celou EU Doporučení, výkladová pravidla, kodexy jednání a best practices Vnitrostátní dozorové úřady zůstávají příslušné pro vnitrostátní zpracování údajů Rozhoduje kompetenční spory mezi národními dozorovými orgány Spolupráce mezi vedoucím a dotčenými vnitrostátními dozorovými úřady

DOZOR ASANKCE Správně právní odpovědnost ZOOÚ + směrnice GDPR Pokuty stanovuje každý členský dle své diskrece Oprávněným orgánem ÚOOÚ Max. výše ukládaných pokut 10.000.000 Kč Pokuty stanoveny fixně v nařízení pro celou EU Každý členský stát pokuty samostatně (zůstane ÚOOÚ) Až 20.000.000 (resp. 4 % z ročního obratu) Veřejné subjekty mohou být vyňaty/upraveny pr. předpisem

Srovnání správních sankcí DOZOR ASANKCE GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Národní bezpečnostní úřad (NBÚ) Národní bezpečnostní úřad (NBÚ) Maximální výše pokut Vedoucí dozorový úřad 20.000.000 EUR nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018

DOZOR ASANKCE Trestněprávní odpovědnost Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Porušení tajemství dopravovaných zpráv (sazba až 2 roky / 5 let u kvalif. skutkové podstaty) Nebezpečné pronásledování (sazba až 3 roky) Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí (sazba až 8 let) Trestní odpovědnost právnických osob Trestný čin spáchaný statutárním orgánem, zaměstnancem atd. Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO

Shrnutí specifik zpracování ve veřejném zájmu Uplatnění některých povinností v omezené míře Omezení účelem a další zpracování Slučitelnost účelů může být stanovena právním předpisem Právní tituly pro zpracování Zákonné výjimky, nespoléhat se na souhlas, nemožnost užití oprávněného zájmu Omezení práv subjektů Omezení v GDPR pro veřejný zájem; další omezení právním předpisem Posouzení vlivu na ochranu osobních údajů Souhrnné posouzení při zavádění zákona Pověřenec pro ochranu osobních údajů Stačí jeden pro více subjektů; povinně jmenovaný Sankce Pr. předpisem mohou být organizace veřejné moci a veřejné subjekty vyňaty, sankce jinak upraveny One-stop-shop Obvykle se neaplikuje (pokud zpracovávají z titulu splnění úkolu veř. zájmu; čl.55 (2))

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář