Novartis s.r.o. NBS Implementace GDPR JUDr. Klára Novotná, Ph.D. Praha 14. června 2017 Je opravdu GDPR revolucí v ochraně osobních údajů? Evropské právo Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (včetně dodatkového protokolu) Listina základních práv EU Smlouva o fungování Evropské unie Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Směrnice 2000/31/ES o učitých aspektech služeb informařních společností, zejména el. obchodního styku Národní právo Listina základních práv a svobod Zákon č.101/2000 Sb., o ochraně osobních údajů Zákona č. 480/2004 Sb., o některých službách informačních společností Zákon č. 127/2005 Sb., o elektronických komunikacích Zákon č. 262/2006 Sb., zákoník práce 2 1
Co je opravdu nové? Princip odpovědnosti správce (zpracovává podle zásad a toto musí prokázat) Přístup založený na riziku Povinnost vést záznamy Posouzení vlivu na ochranu osobních údajů Předchozí konzultace Oznamování Data Breach dozorujícímu úřadu Oznamování Data Breach subjektu údajů Jmenování pověřence pro ochranu osobních údajů 3 9 kroků k úspěšné aplikaci GDPR Víme, o čem je GDPR? Zpracováváme osobní údaje? Jsme správce nebo zpracovatel? Proč zpracováváme? Musíme jmenovat pověřence pro ochranu osobních údajů? Máme nastavené interní postupy pro komunikaci se subjektem údajů? Máme nastavené interní postupy pro komunikaci s dozorovým úřadem? Kde všude zpracováváme osobní údaje? Sledujete stanoviska ÚOOÚ, WP29? 4 2
Zpracovávám osobní údaje Co je osobní údaj? Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Co je zpracování? Zpracováním je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 5 Jsem správce nebo zpracovatelem? Správce Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob. Zpracovatel Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců). 6 3
Proč zpracovávám? Právní důvody zpracování (legální zpracování) souhlas zpracování je nezbytné pro plnění smlouvy zpracování je nezbytné pro splnění právní povinnosti zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správcebo jiné fyzické osoby zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. 7 Souhlas Revize stávajích souhlasů svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen odlišitelnost forma (prohlášení, jiná forma) odvolatelnost Platnost stávajích souhlasů 8 4
Musím jmenovat pověřence osobních údajů (DPO)? Jmenuje správce nebo zpracovatel, který: hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 Koho jmenovat? Zajistit jeho nezávislost Zajistit zázemí pro řádný výkon Revidovat pracovní smlouvu Uzavřít smlouvu o poskytování služeb Oznámení o jmenování DPO dozorovému úřadu Oznámení o jmenování uvnitř společnosti Pokud nemusíte, nejmenujte!!! 9 Máme dostatečně nastavené interní postupy? Proč další nové postupy? Povinnost vést záznamy o činnostech zpracování Posouzení vlivu na ochranu osobních údajů Předchozí konzultace s ÚOOÚ Ohlašování případu porušení zabezpečení osobních údajů. Vyřizování žádostí či jinak komunikovat se subjektem údajů. Komunikace s dozorovým úřadem. Jak tyto postupy nastavit? Interními předpisy (transparentně zveřejnit, proškolovat) Komunikace mezi vedením správce/zpracovatele a DPO (žádný mezičlánek) Organizačně - propojení oddělení informační bezpečnosti a DPO Osvědčení, kodexy, záznamy o činnostech, podmínky zpracování 10 5
Jak vést záznamy? Forma písemná (šanon/el. forma) čitelnost Podstatné náležitosti rozdílné pro správce nebo zpracovatle (čl. 30) nahrazuje registraci Aktualizovat Role DPO 11 Jak posuzovat vliv? Vždy před zahájením zpracování (součást projektové dokumentace) Identifikovat rozsah osobních údajů Identifikovat účel Označení systému Identifikovat zpracovatele, příjemce Nastavení TOMs Identifikovat transfer dat Retenční doba Evaluace z pohledu lokální úpravy Správce vyžaduje posudek od DPO Následná konzultace s ÚOOÚ 12 6
Komunikace se subjektem údajů Nastavení e-mailové schránky (data.privacy@..., osobni.udaje@... ) Evidence přijetí žádostí (lhůta pro vyřízení). Spis Vytvoření dokumentů obsahující informace podle čl. 13 a 14 (Podmínky zpracování osobních údajů, Prohlášení o zpracování osobních údajů) Vytvoření vzorových dokumentů v případě uplatnění: práva na informace práva na přenositelnost práva na přístup k osobním údajům práva na opravu Nastavení interního postupů pro identifikaci subjektu údajů. 13 Data Breach Definování jednoho informačního kanálu pro hlášení podezření (e-mail, telefonní číslo, kontaktní osoba uvedená ve smlouvě o zpracování osobních údajů). Jmenovat tým lidí (DPO, IT, Security), který bude pověřen kvalifikací případu. Informovat DPO Informovat vedení společnosti Správce oznamuje dozorovému úřadu. Identifikovat rozsah dotčených subjektů údajů. Vést záznamy o každém případu. Vytvořit se vzor oznámení Počítat hodiny!!! Připravit interní i externí komunikaci 14 7
Kde zpracováváme osobní údaje? Identifikovat databáze/úložiště Nastavení přístupových práv Nastavení uživatelských práv Provádí systém nějaké otisky dat Nastavení komunikace mezi úložišti. Identifikace administrátorem Retenční doby 15 Doporučení ÚOOÚ WP 29 EFPIA 16 8
Děkuji za pozornost 9