Informatický pondělek FIT ČVUT Jak pracovat s osobními daty od roku 2018? 30.10.2017 Zdeněk Kučera Vedoucí praxe TMT a litigací, Kinstellar Praha KSI FIT ČVUT
Program Much closer to your business than it seems O čem je GDPR? - What GDPR is about? Co jsou osobní údaje? - What does personal data mean? Vliv na Vaše podnikání - Impact on Ukrainian business - GDPR: a closer look GDPR: bližší pohled - How to get ready? Jak se připravit?
Program O čem je GDPR?
GDPR Komplexní úprava ochrany osobních údajů v EU Přímo účinné od 25.5.2018 Uplatní se rovněž lokální předpisy
Program Co je osobní údaj?
Co je osobní údaj? IP adresa Otisk prstu Tvář E-mailová adresa Rodné číslo Obrázek Cookie ID
Program Vliv na české společnosti
Proč by se měly slovenské společnosti připravit? Odpovědnost podle GDPR Marketing Úspora nákladů Spolupráce s ostatními Sankce
Dopad na subjekty mimo EU GDPR se vztahuje na zpracování osobních údajů subjektů uvnitř EU prostřednictvím mimounijního správce nebo zpracovatele, pokud je předmětem: Nabídka zboží a služeb bez ohledu na jejich zpoplatnění pro daný subjekt v EU; nebo Sledování subjektu v rozsahu jeho jednání a chování uvnitř EU
Program GDPR: bližší pohled
Důležité novinky v GDPR Nový právní rámec pro správu osobních údajů Organizační změny Celkový přístup Změny vyžadující IT řešení Povinnosti plynoucí z nové úpravy
Oprávněný zájem Přenos v rámci skupiny Prevence Direct marketing Zajištění síťové a pro administrativní účely informační bezpečnosti Pokrytí v rámci informační Právo podání námitek povinnosti
Změna souhlasu se zpracováním osobních údajů V řadě případů není vyžadován Pokud je vyžadován - - správce je povinen jej prokázat Udělen dobrovolně, konkrétně, informovaně, jendoznačně Prokazatelný prohlášením nebo jasným souhlasným úkonem Doporučuje se kontrola současných souhlasů
Změna prohlášení o ochraně osobních údajů Rozhodné, výstižné, jasné, srozumitelné a dostupné Popisující zpracovávané osobní údaje, účel zpracování, zamýšlené uchování, práva subjektu, zdroj údajů, podmínky zpracování
Nová práva subjektů údajů Právo na výmaz Přenositelnost údajů Automatizované zpracování
Profilování a direct mailing
Profilování Automatizova né zpracování Zahrnuje osobní údaje Profilování Hodnotí osobní aspekty Může zahrnout lidskou intervenci
Typy profilování Automatizované rozhodování Rozhodnutí o půjčce bez lidské intervence Rozhodnutí o pokutě na základě chování řidiče Blockchain? Profilování: Rozhodnutí o půjčce na základě vyhodnocených podkladů
Automatizované rozhodování Možnost odmítnout Rozhodnutí výhradně založeno na automatizovaném zpracování (včetně profilování) Má na něho právní účinky nebo se ho dotýká (vstup do země, zrušení smlouvy, poskytnutí půjčky) Nezbytné k uzavření smlouvy Povoleno právem EU nebo členského státu Souhlas
On-line marketing Významně se dotýká subjektů: - narušení procesu profilování - týká se očekávání a přání subjektů - způsob, jakým je reklama sdělena - cílí na zranitelnost subjektu - on-line gambling - finanční potíže
Direct mailing Vlastní zákazníci Splnění požadavků GDPR Souhlas Oprávněný zájem Direct mailing spotřebitelům Prodej výrobků nebo služby
Direct mailing OPT - OUT Námitka Při shromáždění i při zaslání každé zprávy Zdarma
Program Další novinky
Pověřenec (Data Protection Officer) musí být jmenován následujícími organizacemi: Veřejný subjekt Data Protection Officer Správci nebo zpracovatelé jejichž hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu Správci nebo zpracovatelé jejichž hlavní činnosti spočívají ve zpracování citlivých osobních údajů ve velkém rozsahu
Porušení zabezpečení osobních údajů Povinnost správce uvědomit příslušné orgány ochrany osobních údajů / uvědomit dotčené subjekty Ne vždy pouze existuje-li riziko, že byla dotčena práva subjektu (např. krádež databáze zaměstnanců) Doporučené interní procesy a školení Lhůta 72 hodin
Záznamy o činnosti zpracování Každý správce, a případně také jeho zástupce, musí vést záznam o činnosti zpracování, za kterou zodpovídá. Záznam musí obsahovat všechny následující informace: jméno a kontaktní údaje správce důvody zpracování popis kategorií subjektů a kategorií jejich osobních údajů kategorie adresátů, kterým údaje byly nebo budou poskytnuty, včetně adresátů ze třetích zemí a mezinárodních v určitých případech i převody osobních údajů do třetích zemí nebo k mezinárodním organizacím pokud je to možné, tak i předpokládano u dobu, po které dojde k výmazu jednotlivých kategorií údajů pokud je to možné, tak i obecný popis technických a organizačních bezpečnostníc h opatření dle Článku 32 odst. 1 GDPR organizací
Sankce 20 000 000 4% Pokuty až 20 mil. Jedná-li se o podnik, až 4% celkového ročního obratu z předešlého účetního roku, dle toho, co je vyšší
Sankce (pokračování) Výše sankcí může být ovlivněna: Povaha a doba porušení Bylo-li porušení úmyslné nebo z nedbalosti Kroky učiněné správcem/ zpracovate lem ke zmírnění škod Všechna podstatná porušení, ke kterým došlo v minulosti Spolupráce s Úřadem pro ochranu osobních údajů
Program Jak se připravit?
Doporučený postup GDPR plánování Audit / seznam (určení činností, při kterých dochází ke správě osobních údajů a příprava data asset inventory ) GAP analysis (přezkum souladu s povinnostmi správce vůči údajům z data asset inventory a určení nedostatků) Přijetí opatření (příprava plánovaných změn na základě nedostatků pojmenovaných v GAP analysis) Podpora během zaváděcí fáze (provádění změn a podpora společnosti během této fáze) Závěrečný audit (přezkum zavedených opatření)
Domácí úkol, který si můžete udělat Data flow chart Audit / seznam Proč Kým Jaké Kdy Kde Jsou zpracováv ány osobní údaje
Dotazy Zdeněk Kučera Direct line : +420 221 622 178 Е-mail: zdenek.kucera@kinstellar.com