Ochrana osobních údajů Implementace GDPR, advokátka AK Smetanova 8 602 00 Brno
OSNOVA PREZENTACE 1) Úvod do GDPR a) Zásady zpracování OÚ v praxi b) Základní povinnosti správce při zpracování OÚ 2) Proces implementace GDPR a) Analýza zpracování b) Analýza procesů c) Analýza smluv d) Ustanovení pověřence pro ochranu osobních údajů 3) Nejčastější problémy při implementaci GDPR 4) Dotazy
1) Úvod do GDPR
Úvod do GDPR Nařízení Evropského parlamentu a rady 2016/679, obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) navazuje na dosavadní právní úpravu - směrnici 95/46/ES, zákon č. 101/2000 Sb., o ochraně osobních údajů norma s přímou aplikací, společná pro všechny členské státy EU platnost od 24. 5. 2016, účinnost od 25. 5. 2018 Věcná působnost zpracování OÚ žijících osobních osob orgány a institucemi EU i podnikatelskými, profesními či zájmovými subjekty Místní působnost subjekty se sídlem či provozovnou na území EU subjekty poskytující zboží a služby občanům EU
Důvody vydání nové legislativy Cíle GDPR Důvody pro vydání GDPR: Vývoj moderních technologií Existence otevřeného evropského trhu Cíle GDPR: Zajištění jednotné ochrany osobních údajů Zvýšení ochrany osobních údajů Odstranění překážek bránících volnému pohybu osobních údajů v EU
Zásady zpracování OÚ Zásada zákonnosti, korektnosti a transparentnosti zpracování na základě právního důvodu zpracování v souladu s GDPR zpracování transparentní pro subjekt OÚ Zásada účelového omezení přesné vymezení účelu zpracování OÚ před zahájením zpracování zákaz rozšiřování účelu zpracování
Zásady zpracování OÚ Zásada minimalizace OÚ zpracování pouze v rozsahu nezbytném pro daný účel zákaz neúčelného hromadění OÚ Zásada přesnosti OÚ povinnost zpracovávat přesné a aktualizované údaje Zásada omezení uložení OÚ zpracování OÚ pouze po dobu nezbytně nutnou stanovení doby zpracování a uložení OÚ
Soulad se zásadami zpracování osobních údajů Zásada integrity a důvěrnosti zabezpečení osobních údajů před poškozením, zničením, zneužitím, zcizením omezení přístupu k osobním údajům Zásada odpovědnosti správce odpovědnost správce za dodržování GDPR přenesení důkazního břemene na správce
Základní povinnosti při zpracování OÚ 1) Informační povinnost 2) Zabezpečení osobních údajů 3) Vedení záznamů o činnostech zpracování 4) Úprava smluv o zpracování OÚ dle GDPR 5) Pověřenec pro ochranu osobních údajů
Informační povinnost projev zásady transparentnosti zpracování OÚ základní právo každého subjektu osobních údajů Obsah informačního sdělení: totožnost správce, pověřence pro ochranu osobních údajů, kontaktní údaje účel, doba, právní důvod zpracování kategorie OÚ práva subjektu OÚ okruh příjemců OÚ informace o automatizovaném rozhodování a profilování zdroj OÚ, pokud jsou získány od třetí osoby
Informační povinnost Splnění informační povinnosti před zahájením zpracování OÚ, pokud jsou osobní údaje získány od subjektu OÚ do 1 měsíce od získání OÚ, pokud jsou osobní údaje získány od třetí osoby v průběhu zpracování OÚ na žádost subjektu osobních údajů Způsob předání informací: prostřednictvím vhodných opatření osobním předáním, vyvěšením, zveřejněním na webových stránkách stručně, přehledně, srozumitelně, jednoduše
Zabezpečení osobních údajů Přijetí přiměřených opatření organizační opatření interní směrnice technická opatření mechanická zámky technologická hesla, šifrování, antivirové programy Vedení dokumentace o přijatých opatřeních projev zásady odpovědnosti např. protokol o seznámení s interní směrnicí, záznamy o přístupu k osobním údajům Hodnocení zavedených opatření vyhodnocení efektivity a aktuálnosti opatření
Vedení záznamů o činnostech zpracování písemný dokument (v listinné podobě nebo elektronicky) obsah záznamů o činnostech zpracování informace o správci osobních údajů, pověřenci, kontaktní údaje informace o zpracování osobních údajů popis technických a organizačních bezpečnostních opatření výjimka z povinnosti malý podnik zaměstnávající méně než 250 osob, pokud o zpracování není rizikové o zpracování je příležitostné o správce nezpracovává citlivé osobní údaje
Úprava smluv o zpracování osobních údajů smlouva o zpracování OÚ každá smlouva o dodávce služeb, jejíž součástí je práce s osobními údaji, např. smlouva o správě IT sítě, smlouva o servisu software, smlouva o poskytování cloudových služeb, smlouva o vedení mzdového účetnictví apod. povinnost písemné formy předmět a doba trvání zpracování povaha a účel zpracování typ osobních údajů kategorie subjektů osobních údajů povinnosti a práva správce poskytnutí záruk ochrany OÚ
Pověřenec na ochranu osobních údajů Jmenování pověřence Dobrovolné Povinné Orgány veřejné moci a veřejné subjekty Subjekty provádějící monitoring nebo profesionálně zpracovávající osobní údaje Subjekty provádějící rozsáhlé zpracování citlivých osobních údajů
Pověřenec na ochranu osobních údajů Hlavní povinnosti pověřence: poradenství subjektům OÚ v souvislosti s GDPR poradenství správcům a zpracovatelům OÚ v souvislosti s GDPR monitorování a kontrola činnosti správce OÚ kontrola dodržování GDP spolupráce s dozorovým orgánem a kontaktní místo
2) Proces implementace GDPR
Proces implementace GDPR 1) Analýza zpracování 2) Analýza procesů 3) Analýza smluv 4) Ustanovení pověřence pro ochranu osobních údajů
Analýza zpracování osobních údajů Analýza činností, při kterých dochází ke zpracování OÚ definování účelu a subjektů osobních údajů Analýza rozsahu zpracovávaných OÚ výmaz nadbytečných OÚ Posouzení právního důvodu zpracování Posouzení délky zpracování OÚ Posouzení předávání a zveřejňování OÚ
Analýza zpracování osobních údajů Výsledky analýzy Informace o činnostech zpracování podklady pro splnění zákonné informační povinnosti Záznamy o činnostech zpracování podklady pro zajištění povinné interní dokumentace správce
Analýza procesů osobních údajů Vyhodnocení získávání osobních údajů Vyhodnocení ukládání OÚ v listinné podobě Vyhodnocení ukládání OÚ v elektronické podobě Vyhodnocení likvidace OÚ V listinné podobě skartace V elektronické podobě přepis dat, likvidace disku
Analýza procesů osobních údajů Výsledek analýzy podklady pro přijetí vhodných organizačních opatření interní směrnice o ochraně osobních údajů, směrnice o informačních technologiích, organizační řád, archivační a skartační řád podklady pro vyhodnocení rizik zpracování osobních údajů
Analýza smluvních vztahů Posouzení, zda v rámci smluvního vztahu dochází ke zpracování osobních údajů Posouzení, zda smlouva obsahuje dohodu o zpracování osobních údajů dle GDPR V případě rozporu smlouvy s GDPR uzavření dodatku ke smlouvě nebo samostatné smlouvy o zpracování OÚ vypovězení smlouvy
Analýza smluvních vztahů Doporučený obsah dohody o zpracování OÚ předmět a doba trvání zpracování jaké OÚ bude zpracovatel zpracovávat a jak dlouho povaha a účel zpracování jaké činnosti bude správce s osobními údaji provádět a za jakým účelem typ osobních údajů a kategorie subjektů OÚ kategorie OÚ, se kterými bude zpracovatel pracovat (především upozornit na citlivé OÚ) a označení subjektů OÚ (důraz na chráněné skupiny - nezletilé) práva a povinnosti správce právo správce na součinnost v případě kontroly dozorového orgánu, právo správce provádět audit či inspekci u zpracovatele záruky zpracovatele k ochraně OÚ závazek dodržovat GDPR, sjednání úrovně zabezpečení, poskytnutí informací o zabezpečení osobních údajů (obzvlášť u služeb IT) odpovědnost zpracovatele za porušení povinností povinnost zpracovatele uhradit vzniklou škodu
Ustanovení pověřence na ochranu osobních údajů Předpoklady pro výkon funkce profesní kvality odborná znalost práva předchozí praxe v oblasti ochrany osobních údajů Výkon funkce na základě smlouvy smlouva o poskytování služeb pracovní smlouva Zákaz výkonu činnosti vedoucí ke střetu zájmů Subjekt bez rozhodovacích pravomocí a bez odpovědnosti dle GDPR odpovědnost vůči správci za porušení smluvních povinností zachována Povinnost mlčenlivosti
Ustanovení pověřence na ochranu osobních údajů Interní zaměstnanec správce OÚ klady - znalost organizační struktury správce zápory - odpovědnost správce OÚ za kvalifikaci pověřence, riziko střetu zájmů, limitace náhrady školy Externí podnikatel poskytující službu klady - větší flexibilita, odpovědnost poskytovatele za kvalifikaci pracovníků, vysoká odborná úroveň, neomezená náhrada škody zápory - nutnost seznámit se s organizační strukturou správce Poskytovatelé služeb: komerční subjekty, advokátní kanceláře, neziskové organizace
3) Nejčastější problémy při implementaci GDPR
Nedostatky při implementaci GDPR Obvyklé nedostatky u školských zařízení a jiných příspěvkových organizací: nesprávné zjištění právního důvodu zpracování nadužívání souhlasu se zpracováním OÚ x absence právního důvodu zpracování neznalost účelů, pro které osobní údaje zpracovávají hromadění nepotřebných údajů (např. emaily, číslo OP, rodné číslo v rámci doplňkové činnosti) zpracování OÚ, které nejsou povinné ani nutné pro poskytování služeb nebo výkon činnosti absence stanovení doby zpracování osobních údajů, opožděná likvidace osobních údajů nejasnosti v délce zpracování OÚ, pozdní likvidace OÚ nesprávné nastavení přístupových oprávnění k osobním údajům nedostatečná ochrana přístupových hesel k elektronickým databázím užívání jednoho hesla, zapisování hesel na dostupná místa nedostatečná nebo chybějící dokumentace upravující nakládání s osobními údaji absence směrnic, interní dokumentace
4) Dotazy
Dotaz: Jak je to s ochranou osobních údajů při pořizování fotek účastníků (dětí i dospělých) v rámci vzdělávacích akcí, jak tuto problematiku ošetřit, jaké by měly být náležitosti souhlasu, jaké jsou podmínky užívání pořízených fotek apod.? Právní úprava pořizování obrazových záznamů ust. 84 an. zákona č. 89/2012 Sb., občanského zákoníku, právní úprava osobnostních práv zákon č. 101/2000 Sb., o ochraně osobních údajů, GDPR, právní úprava zpracování OÚ Způsob nakládání s fotografiemi zveřejnění fotografií bez dalších osobních údajů OZ souhlas s pořízením a šířením fotografie dle OZ zveřejnění fotografií včetně dalších osobních údajů OOÚ souhlas se zpracováním OÚ, informační povinnost správce
Dotaz: Spolek s celostátní působností (právní subjektivita) eviduje zákl. údaje o členech pro vlastní potřebu a dále pro žádosti a následné vyúčtování dotací a grantů. Spolek má pobočné spolky s právní subjektivitou (jiné IČO) a ty navíc shromažďují a využívají další OÚ. Už nyní máme souhlasy členů či jejich zákonných zástupců k evidence OÚ. Kdo je ale správcem a zpracovatelem? Pobočný spolek nebo hlavní spolek? Oba subjekty jsou řádně zapsány u přísl. soudu. právní subjektivita pobočného spolku se odvozuje od právní osobnosti hlavního spolku rozsah práv a povinností, která může nabývat spolek, je stanoven stanovami hlavního spolku identifikace záleží na individuální organizaci daného spolku pro posouzení vzájemných vztahů je významné text stanov, úprava členství (ve vztahu k OÚ členů), právo uzavírat pracovně-právní smlouvy (ve vztahu k zaměstnancům), vstupovat do civilních kontraktů (správa OÚ obchodních partnerů)
Děkujeme Vám za Vaši pozornost!, advokátka