Ochrana osobních údajů Implementace GDPR

Podobné dokumenty
GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ STRÁVNÍKŮ A TŘETÍCH OSOB

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Politika ochrany osobních údajů

GDPR Obecný metodický pokyn pro školství

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Podmínky ochrany osobních údajů Obsah

GDPR Obecné nařízení o ochraně osobních údajů

Podmínky ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ STRÁVNÍKŮ A DALŠÍCH OSOB

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH STRÁVNÍKŮ A TŘETÍCH OSOB

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MT LEGAL

Směrnice č. 13/2018. Ochrana osobních údajů

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

GDPR informace podle čl. 13 uvedeného nařízení

GDPR informace podle čl. 13 uvedeného nařízení

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

Název: SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Zpracovala: Kateřina Popelková, Lucie Berná Datum: Počet stran: 1 Počet přílohy: 6

Informace o zpracování osobních údajů společností ČESKÁ VČELA s r.o.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Zásady zpracování osobních údajů.

Nová pravidla ochrany osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

GDPR informace podle čl. 13 uvedeného nařízení

ZÁZNAMY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SDRUŽENÍ ADVOKÁTŮ Tobiášek & Závada, advokátní kancelář

GDPR informace podle čl. 13 uvedeného nařízení

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

1/ Memorandum o zpracování osobních údajů dle článku 13 a 14 GDPR.

Představení služeb Konica Minolta GDPR

INFORMAČNÍ MEMORANDUM SPOLEČNOSTI SURFIN TECHNOLOGY S.R. O.

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Ochrana osobních údajů a AML obsah

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

1. Kdo je správcem Vašich osobních údajů

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace o zpracování a ochraně osobních údajů

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Očekávané dopady GDPR do pojišťovnictví

Záznamy o činnostech zpracování osobních údajů

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Podmínky ochrany osobních údajů

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

VNITŘNÍ SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ (GDPR)

Systémová analýza a opatření v rámci GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PŘI PODNIKATELSKÉ ČINNOSTI dle Nařízení Evropského parlamentu a Rady EU 2016/679

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Zásady zpracování osobních údajů

Směrnice o ochraně osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

SPORTCENTRUM dům dětí a mládeže PROSTĚJOV

Ochrana dat v pojišťovnictví

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

Zásady ochrany osobních údajů společnosti FG Financial Group a.s. poskytované v rámci tzv. informační povinnosti správce osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů ve škole

GDPR. Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady(EU) číslo 2016/679. Str. 1

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů

Kontaktní údaje na Správce: - telefon:

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Chráněné bydlení Pastelky o.p.s Vilémov 39 IČO: Tel.:

INFORMACE PRO OBCHODNÍ PARTNERY, KONTAKTNÍ OSOBY A NÁVŠTĚVY

SLEZAN HOLDING a.s., sídlem Václavská 316/12, Nové Město, Praha 2

Směrnice pro ochranu osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MĚSTSKÉ KNIHOVNĚ NERATOVICE

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů

INFORMAČNÍ MEMORANDUM OCHRANA OSOBNÍCH ÚDAJŮ V DRUŽSTVU DRUCHEMA

Záznamy o činnostech zpracování

Zásady ochrany osobních údajů

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

Informace o správci osobních údajů:

GDPR a veřejná správa

Záznamy o činnostech zpracování osobních údajů

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů ve společnosti ZPS MECHANIKA, a. s.

Ochrana osobních údajů

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Politika ochrany osobních údajů GJŠ Zlín

Transkript:

Ochrana osobních údajů Implementace GDPR, advokátka AK Smetanova 8 602 00 Brno

OSNOVA PREZENTACE 1) Úvod do GDPR a) Zásady zpracování OÚ v praxi b) Základní povinnosti správce při zpracování OÚ 2) Proces implementace GDPR a) Analýza zpracování b) Analýza procesů c) Analýza smluv d) Ustanovení pověřence pro ochranu osobních údajů 3) Nejčastější problémy při implementaci GDPR 4) Dotazy

1) Úvod do GDPR

Úvod do GDPR Nařízení Evropského parlamentu a rady 2016/679, obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) navazuje na dosavadní právní úpravu - směrnici 95/46/ES, zákon č. 101/2000 Sb., o ochraně osobních údajů norma s přímou aplikací, společná pro všechny členské státy EU platnost od 24. 5. 2016, účinnost od 25. 5. 2018 Věcná působnost zpracování OÚ žijících osobních osob orgány a institucemi EU i podnikatelskými, profesními či zájmovými subjekty Místní působnost subjekty se sídlem či provozovnou na území EU subjekty poskytující zboží a služby občanům EU

Důvody vydání nové legislativy Cíle GDPR Důvody pro vydání GDPR: Vývoj moderních technologií Existence otevřeného evropského trhu Cíle GDPR: Zajištění jednotné ochrany osobních údajů Zvýšení ochrany osobních údajů Odstranění překážek bránících volnému pohybu osobních údajů v EU

Zásady zpracování OÚ Zásada zákonnosti, korektnosti a transparentnosti zpracování na základě právního důvodu zpracování v souladu s GDPR zpracování transparentní pro subjekt OÚ Zásada účelového omezení přesné vymezení účelu zpracování OÚ před zahájením zpracování zákaz rozšiřování účelu zpracování

Zásady zpracování OÚ Zásada minimalizace OÚ zpracování pouze v rozsahu nezbytném pro daný účel zákaz neúčelného hromadění OÚ Zásada přesnosti OÚ povinnost zpracovávat přesné a aktualizované údaje Zásada omezení uložení OÚ zpracování OÚ pouze po dobu nezbytně nutnou stanovení doby zpracování a uložení OÚ

Soulad se zásadami zpracování osobních údajů Zásada integrity a důvěrnosti zabezpečení osobních údajů před poškozením, zničením, zneužitím, zcizením omezení přístupu k osobním údajům Zásada odpovědnosti správce odpovědnost správce za dodržování GDPR přenesení důkazního břemene na správce

Základní povinnosti při zpracování OÚ 1) Informační povinnost 2) Zabezpečení osobních údajů 3) Vedení záznamů o činnostech zpracování 4) Úprava smluv o zpracování OÚ dle GDPR 5) Pověřenec pro ochranu osobních údajů

Informační povinnost projev zásady transparentnosti zpracování OÚ základní právo každého subjektu osobních údajů Obsah informačního sdělení: totožnost správce, pověřence pro ochranu osobních údajů, kontaktní údaje účel, doba, právní důvod zpracování kategorie OÚ práva subjektu OÚ okruh příjemců OÚ informace o automatizovaném rozhodování a profilování zdroj OÚ, pokud jsou získány od třetí osoby

Informační povinnost Splnění informační povinnosti před zahájením zpracování OÚ, pokud jsou osobní údaje získány od subjektu OÚ do 1 měsíce od získání OÚ, pokud jsou osobní údaje získány od třetí osoby v průběhu zpracování OÚ na žádost subjektu osobních údajů Způsob předání informací: prostřednictvím vhodných opatření osobním předáním, vyvěšením, zveřejněním na webových stránkách stručně, přehledně, srozumitelně, jednoduše

Zabezpečení osobních údajů Přijetí přiměřených opatření organizační opatření interní směrnice technická opatření mechanická zámky technologická hesla, šifrování, antivirové programy Vedení dokumentace o přijatých opatřeních projev zásady odpovědnosti např. protokol o seznámení s interní směrnicí, záznamy o přístupu k osobním údajům Hodnocení zavedených opatření vyhodnocení efektivity a aktuálnosti opatření

Vedení záznamů o činnostech zpracování písemný dokument (v listinné podobě nebo elektronicky) obsah záznamů o činnostech zpracování informace o správci osobních údajů, pověřenci, kontaktní údaje informace o zpracování osobních údajů popis technických a organizačních bezpečnostních opatření výjimka z povinnosti malý podnik zaměstnávající méně než 250 osob, pokud o zpracování není rizikové o zpracování je příležitostné o správce nezpracovává citlivé osobní údaje

Úprava smluv o zpracování osobních údajů smlouva o zpracování OÚ každá smlouva o dodávce služeb, jejíž součástí je práce s osobními údaji, např. smlouva o správě IT sítě, smlouva o servisu software, smlouva o poskytování cloudových služeb, smlouva o vedení mzdového účetnictví apod. povinnost písemné formy předmět a doba trvání zpracování povaha a účel zpracování typ osobních údajů kategorie subjektů osobních údajů povinnosti a práva správce poskytnutí záruk ochrany OÚ

Pověřenec na ochranu osobních údajů Jmenování pověřence Dobrovolné Povinné Orgány veřejné moci a veřejné subjekty Subjekty provádějící monitoring nebo profesionálně zpracovávající osobní údaje Subjekty provádějící rozsáhlé zpracování citlivých osobních údajů

Pověřenec na ochranu osobních údajů Hlavní povinnosti pověřence: poradenství subjektům OÚ v souvislosti s GDPR poradenství správcům a zpracovatelům OÚ v souvislosti s GDPR monitorování a kontrola činnosti správce OÚ kontrola dodržování GDP spolupráce s dozorovým orgánem a kontaktní místo

2) Proces implementace GDPR

Proces implementace GDPR 1) Analýza zpracování 2) Analýza procesů 3) Analýza smluv 4) Ustanovení pověřence pro ochranu osobních údajů

Analýza zpracování osobních údajů Analýza činností, při kterých dochází ke zpracování OÚ definování účelu a subjektů osobních údajů Analýza rozsahu zpracovávaných OÚ výmaz nadbytečných OÚ Posouzení právního důvodu zpracování Posouzení délky zpracování OÚ Posouzení předávání a zveřejňování OÚ

Analýza zpracování osobních údajů Výsledky analýzy Informace o činnostech zpracování podklady pro splnění zákonné informační povinnosti Záznamy o činnostech zpracování podklady pro zajištění povinné interní dokumentace správce

Analýza procesů osobních údajů Vyhodnocení získávání osobních údajů Vyhodnocení ukládání OÚ v listinné podobě Vyhodnocení ukládání OÚ v elektronické podobě Vyhodnocení likvidace OÚ V listinné podobě skartace V elektronické podobě přepis dat, likvidace disku

Analýza procesů osobních údajů Výsledek analýzy podklady pro přijetí vhodných organizačních opatření interní směrnice o ochraně osobních údajů, směrnice o informačních technologiích, organizační řád, archivační a skartační řád podklady pro vyhodnocení rizik zpracování osobních údajů

Analýza smluvních vztahů Posouzení, zda v rámci smluvního vztahu dochází ke zpracování osobních údajů Posouzení, zda smlouva obsahuje dohodu o zpracování osobních údajů dle GDPR V případě rozporu smlouvy s GDPR uzavření dodatku ke smlouvě nebo samostatné smlouvy o zpracování OÚ vypovězení smlouvy

Analýza smluvních vztahů Doporučený obsah dohody o zpracování OÚ předmět a doba trvání zpracování jaké OÚ bude zpracovatel zpracovávat a jak dlouho povaha a účel zpracování jaké činnosti bude správce s osobními údaji provádět a za jakým účelem typ osobních údajů a kategorie subjektů OÚ kategorie OÚ, se kterými bude zpracovatel pracovat (především upozornit na citlivé OÚ) a označení subjektů OÚ (důraz na chráněné skupiny - nezletilé) práva a povinnosti správce právo správce na součinnost v případě kontroly dozorového orgánu, právo správce provádět audit či inspekci u zpracovatele záruky zpracovatele k ochraně OÚ závazek dodržovat GDPR, sjednání úrovně zabezpečení, poskytnutí informací o zabezpečení osobních údajů (obzvlášť u služeb IT) odpovědnost zpracovatele za porušení povinností povinnost zpracovatele uhradit vzniklou škodu

Ustanovení pověřence na ochranu osobních údajů Předpoklady pro výkon funkce profesní kvality odborná znalost práva předchozí praxe v oblasti ochrany osobních údajů Výkon funkce na základě smlouvy smlouva o poskytování služeb pracovní smlouva Zákaz výkonu činnosti vedoucí ke střetu zájmů Subjekt bez rozhodovacích pravomocí a bez odpovědnosti dle GDPR odpovědnost vůči správci za porušení smluvních povinností zachována Povinnost mlčenlivosti

Ustanovení pověřence na ochranu osobních údajů Interní zaměstnanec správce OÚ klady - znalost organizační struktury správce zápory - odpovědnost správce OÚ za kvalifikaci pověřence, riziko střetu zájmů, limitace náhrady školy Externí podnikatel poskytující službu klady - větší flexibilita, odpovědnost poskytovatele za kvalifikaci pracovníků, vysoká odborná úroveň, neomezená náhrada škody zápory - nutnost seznámit se s organizační strukturou správce Poskytovatelé služeb: komerční subjekty, advokátní kanceláře, neziskové organizace

3) Nejčastější problémy při implementaci GDPR

Nedostatky při implementaci GDPR Obvyklé nedostatky u školských zařízení a jiných příspěvkových organizací: nesprávné zjištění právního důvodu zpracování nadužívání souhlasu se zpracováním OÚ x absence právního důvodu zpracování neznalost účelů, pro které osobní údaje zpracovávají hromadění nepotřebných údajů (např. emaily, číslo OP, rodné číslo v rámci doplňkové činnosti) zpracování OÚ, které nejsou povinné ani nutné pro poskytování služeb nebo výkon činnosti absence stanovení doby zpracování osobních údajů, opožděná likvidace osobních údajů nejasnosti v délce zpracování OÚ, pozdní likvidace OÚ nesprávné nastavení přístupových oprávnění k osobním údajům nedostatečná ochrana přístupových hesel k elektronickým databázím užívání jednoho hesla, zapisování hesel na dostupná místa nedostatečná nebo chybějící dokumentace upravující nakládání s osobními údaji absence směrnic, interní dokumentace

4) Dotazy

Dotaz: Jak je to s ochranou osobních údajů při pořizování fotek účastníků (dětí i dospělých) v rámci vzdělávacích akcí, jak tuto problematiku ošetřit, jaké by měly být náležitosti souhlasu, jaké jsou podmínky užívání pořízených fotek apod.? Právní úprava pořizování obrazových záznamů ust. 84 an. zákona č. 89/2012 Sb., občanského zákoníku, právní úprava osobnostních práv zákon č. 101/2000 Sb., o ochraně osobních údajů, GDPR, právní úprava zpracování OÚ Způsob nakládání s fotografiemi zveřejnění fotografií bez dalších osobních údajů OZ souhlas s pořízením a šířením fotografie dle OZ zveřejnění fotografií včetně dalších osobních údajů OOÚ souhlas se zpracováním OÚ, informační povinnost správce

Dotaz: Spolek s celostátní působností (právní subjektivita) eviduje zákl. údaje o členech pro vlastní potřebu a dále pro žádosti a následné vyúčtování dotací a grantů. Spolek má pobočné spolky s právní subjektivitou (jiné IČO) a ty navíc shromažďují a využívají další OÚ. Už nyní máme souhlasy členů či jejich zákonných zástupců k evidence OÚ. Kdo je ale správcem a zpracovatelem? Pobočný spolek nebo hlavní spolek? Oba subjekty jsou řádně zapsány u přísl. soudu. právní subjektivita pobočného spolku se odvozuje od právní osobnosti hlavního spolku rozsah práv a povinností, která může nabývat spolek, je stanoven stanovami hlavního spolku identifikace záleží na individuální organizaci daného spolku pro posouzení vzájemných vztahů je významné text stanov, úprava členství (ve vztahu k OÚ členů), právo uzavírat pracovně-právní smlouvy (ve vztahu k zaměstnancům), vstupovat do civilních kontraktů (správa OÚ obchodních partnerů)

Děkujeme Vám za Vaši pozornost!, advokátka

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář