Ochrana osobních údajů pro personalisty

Podobné dokumenty
Ochrana dat ve farmacii aneb připravte se na nové nařízení EU - GDPR

Pokyny k funkci pověřence pro ochranu osobních údajů (dokument WP 243, ze dne ) Příloha Často kladené otázky

WP243 PŘÍLOHA ČASTO KLADENÉ OTÁZKY

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

MATERIÁL PRO RADU MĚSTA č. 86

Vodítka k pověřencům pro ochranu osobních údajů. Schváleno dne 13. prosince Revize schválena 5. dubna 2017

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Pokyny k funkci pověřence pro ochranu osobních údajů. Schváleno dne 13. prosince 2016

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

JARNÍ ŠKOLA Zdravých měst

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

ALIS spol. s r.o., Česká Lípa říjen 2017

PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29

GDPR A JEHO IMPLEMENTACE DO KRAJSKÉHO ÚŘADU

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Nová pravidla ochrany osobních údajů

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

GDPR a veřejná správa

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Systémová analýza a opatření v rámci GDPR

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Metodické doporučení MV a ÚOOÚ k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

GDPR obecně Svaz měst a obcí

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

Představení služeb Konica Minolta GDPR

Elektrotechnická asociace ČR

SPISOVÁ SLUŽBA A GDPR

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

JAK SE PŘIPRAVIT NA GDPR?

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Ochrana osobních údajů Implementace GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Výsledky dotazníkového průzkumu mezi účastníky seminářů pro pověřence pro ochranu osobních údajů v říjnu 2018 (31. října 2018)

Pověřenci ochrany osobních údajů ve služebních úřadech metodické doporučení

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů aktuálně

DPO jako nový nástroj ochrany osobních údajů

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

OSOBNÍ ÚDAJE GDPR ROK POTÉ

Zásady ochrany osobních údajů společnosti FG Financial Group a.s. poskytované v rámci tzv. informační povinnosti správce osobních údajů

MATERIÁL PRO JEDNÁNÍ RADY MĚSTA PÍSKU DNE

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Sdělení ÚOOÚ k přístupu založenému na riziku

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Právní novinky Deloitte Česká republika. listopad 2017

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

POZIČNÍ DOKUMENT SPOLKU PRO OCHRANU OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Obecné nařízení o ochraně osobních údajů

GDPR Obecný metodický pokyn pro školství

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

GDPR evoluce v ochraně osobních údajů.

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

Obecné nařízení o ochraně osobních údajů (GDPR) FBMI Kladno Dagmar Brechlerová

Stanovisko č. 2/2018. k návrhu seznamu příslušného dozorového úřadu Belgie, který obsahuje

Pověřenci pro ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Příloha Nezávislý pracovník

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Pověřenec pro ochranu osobních údajů

NÁVRH SMLOUVY O POSKYTOVÁNÍ SLUŽEB na zajištění činnosti pověřence pro ochranu osobních údajů

Očekávané dopady GDPR do pojišťovnictví

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Záznamy o činnostech zpracování

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

Informace o zpracování osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

INFORMACE PRO OBCHODNÍ PARTNERY, KONTAKTNÍ OSOBY A NÁVŠTĚVY

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Stanovisko č. 4/2018. k návrhu seznamu příslušného dozorového úřadu České republiky, který obsahuje

Zásady ochrany osobních údajů

Farmakovigilance z pohledu ochrany osobních údajů

Všem obchodním partnerům. V Praze dne Věc: informace o zpracování osobních údajů. Vážení obchodní partneři,

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Škola ochrany osobních údajů

Transkript:

Nařízení (EU) 2016/679 Obecné Nařízení o ochraně osobních údajů a o zrušení směrnice 95/46/ES SEMINÁŘ Ochrana osobních údajů pro personalisty Pověřenec pro ochranu údajů (DPO) RNDr. Karel Neuwirt 23. listopadu 2017 Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) platí pro všechny, kteří jakkoliv nakládají (zpracovávají) osobní informace o jednotlivcích v EU. Nařízení je platné od května 2016 a nabude účinnosti od 25. května 2018. Aplikovatelnost Nařízení nevyžaduje přijetí jakékoliv další legislativy členského státu. Pokud organizace neprokáže, že při nakládání s osobními údaji zajišťuje náležité úsilí pro docílení souladu s GDPR, pak se vystavuje riziku dozorové činnosti a odpovídajícím sankcím. 1

GDPR - přístup založený na analýze rizik POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ články 37 39 GDPR 2

Povinnosti týkající se Pověřence pro ochranu osobních údajů se vztahují nejen na správce, ale také na zpracovatele (podle toho, zda splňují kritéria pro jeho jmenování) DPO - jedna z nejvíce diskutovaných a problémových změn - povinné nebo dobrovolné? - jaké kritérium zvolit pro povinnost mít Pověřence? Původní Návrh Nařízení (2012): čl. 35 b) - zpracování provádí podnik zaměstnávající 250 či více osob - na jaké subjekty se vztahuje? Jmenování DPO není věc nová čl. 18 odst. 2 směrnice 95/46/ES umožňoval jmenovat DPO; převzato z německého modelu: mají jej všechny unijní instituce a také některé členské státy EU 3

Studie International Association Privacy Professionals (IAPP) o potřebě DPO ve světě (podle podílu míry globálního obchodu s EU bude ve světě potřeba 75 000 DPO) USA 9,000 (míra obchodu 17,1 %) Čína 7,568 Švýcarsko 3,682 Rusko 3,068 Turecko 2,045 Norsko 1,790 Japonsko 1,688 Pověřenec (DPO) je jedním z důležitých článků při provádění povinností správce - zásada odpovědnosti - docílení souladu správce s povinnostmi GDPR - poradce organizace ve všech otázkách ochrany údajů - vyjednávač správce s dozorových orgánem Odpovědný za dodržování povinností GDPR však je vždy správce, nikoliv DPO 4

Kritéria pro ustavení Pověřence (DPO) Pověřence jmenuje povinně: a) orgán veřejné moci či veřejný subjekt (s výjimkou soudů); b) správce, jehož hlavní činnosti spočívají v operacích zpracování, které kvůli povaze rozsahu účelům vyžadují rozsáhlé pravidelné a systematické monitorování s.ú.; c) správce, jehož hlavní činnosti spočívají v rozsáhlém zpracování citlivých údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Nejistota zda jmenovat? - Nutno provést interní analýzu potřeby 5

orgán veřejné moci; veřejný subjekt - měl by být určen národním právem. - veřejné orgány a subjekty představují národní, regionální a místní úřady, avšak podle platného národního práva typicky zahrnuje řadu dalších subjektů - soukromé subjekty, vykonávající veřejná zadání (veřejné služby) hlavní činnosti souvisejí se základními činnostmi správce a nevztahují se na zpracování osobních údajů při pomocných činnostech Hlavní činnosti - klíčové operace nezbytné k dosažení cílů správce nebo zpracovatele Hlavní činnosti - nelze interpretovat způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele 6

- hlavní činnost: klíčové operace směřující k dosažení cílů správce - tj. veškeré aktivity, kde zpracování dat je nedílnou součástí činnosti správce. Například zpracování zdravotních dat, jako jsou zdravotní záznamy pacienta, by mělo být považováno za jednu z hlavních činností a nemocnice tak musí jmenovat pověřence. Obdobně banky, pojišťovny apod. - rozsáhlé zpracování: koncept není založen pouze na kvantitativních kritériích, ale také na významu, důležitosti, trvání zpracovávání údajů vzhledem k soukromí osob. Nutno posuzovat individuálně (objem zpracovávaných dat a/nebo rozsah datových položek, doba trvání/nepřetržitost zpracování, rozsah zpracovatelské činnosti správce, ) rozsáhlé zpracování (GDPR nedefinuje) WP 29 doporučuje vzít při určování rozsáhlosti zpracování v úvahu zejména faktory: - počet dotčených subjektů údajů vyjádřený buď konkrétním číslem, nebo podílem na relevantní populaci, - objem dat a/nebo rozsah různých datových položek, - doba trvání nebo nepřetržitost zpracování, - územní rozsah zpracování. 7

rozsáhlá zpracování (příklady) - o pacientech v rámci běžné činnosti nemocnice, - zákaznická data v rámci běžné obchodní činnosti pojišťovny nebo banky, - cestovní data jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím elektronických předplatních kuponů), - aktuální zeměpisná poloha zákazníků mezinárodních řetězců rychlého občerstvení (např. zpracovávané zpracovatelem pro statistické účely), - vyhledávače pro potřeby behaviorální reklamy, - zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb. Za rozsáhlá zpracování se nepovažuje zpracování osobních údajů o pacientech jednotlivým lékařem zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů individuálním právníkem 8

Pravidelné a systematické monitorování zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. sledování není omezeno pouze na prostředí online, sledování na internetu je považováno jen za jeden z příkladů monitorování chování subjektů údajů. Pravidelné a systematické monitorování (WP29) WP29 vykládá slova pravidelný a systematický jako kombinaci jedné či více následujících charakteristik: pravidelný - průběžný nebo v pravidelných intervalech a po určitou dobu se opakující, - stále se opakující nebo opakovaný ve stanoveném čase, - neustále nebo pravidelně se vyskytující. 9

Pravidelné a systematické monitorování (WP29) systematický - vyskytující se podle určitého systému, - přednastavený, organizovaný nebo metodický, - uskutečňující se jako součást obecného plánu pro sběr dat, - vykonávaný jako součást strategie. sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení; kamerové systémy; IoT; věrnostní programy aj. je považováno za systematické OSOBNOSTNÍ KRITÉRIA POVĚŘENCE PRO OCHRANU OSOBNÍCH ÚDAJŮ 10

POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ musí být jmenován na základě: - profesních kvalit - odborných znalostí práva - praxe v oblasti ochrany údajů - schopnosti plnit stanovené úkoly Profesní kvalita (GDPR neupřesňuje) - vědomosti z oblasti národní a evropské legislativy - praxe v oboru ochrany osobních údajů - důkladná znalost Obecného nařízení - znalost oboru, aktivit, struktury organizace (správce) - znalost všech informačních systémů a operací s osobními údaji (vč. zabezpečení a ochrany) - u DPO orgánu veřejné moci nebo veřejného subjektu, znalost administrativních pravidel a postupů dané organizace. 11

Úroveň odborných znalostí (GDPR přesně nedefinuje) - musí být úměrná citlivosti, složitosti a množství dat, které organizace zpracovává. Pověřenec by měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany dat, které organizace řeší. Schopnost plnit úkoly souvisí s osobními kvalitami a znalostmi DPO (např. integrita a úroveň profesionální etiky, zájem o soulad s GDPR) postavení DPO v organizaci - klíčová osoba při rozvoji kultury ochrany dat uvnitř organizace, - zásadní pomoc při zavádění základních prvků GDPR: zásady zpracování údajů, práva subjektu údajů, záměrná a standardní ochrana osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování údajů, ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů. 12

Obecné schopnosti a vlastnosti pro plnění úkolů - bezúhonnost a čestnost, - inciativa, organizace, vytrvalost - diskrétnost, schopnost prosadit názor v obtížných situacích - zájem o ochranu údajů a motivace vykonávat funkci DPO - zájem o vzdělávání v oblasti ochrany soukromí - mezilidské vztahy: komunikace, vyjednávání, řešení konfliktů, schopnost vytvářet pracovní vztahy GDPR nevyžaduje pro DPO žádný certifikát nebo speciální prověření!!! Výběr a jmenování DPO je výlučnou pravomocí správce VZTAHY SPRÁVCE POVĚŘENEC 13

Vztah správce pověřenec (DPO) Interní či externí DPO? DPO může být zaměstnancem správce nebo může úkoly plnit na základě smlouvy o službách (DPO by neměl být zaměstnanec s krátkodobým pracovním poměrem) Skupina podniků může jmenovat jediného pověřence pro ochranu údajů, pokud je snadno dosažitelný z každého podniku Správce zajistí, že jiné profesní povinnosti DPO budou slučitelné s jeho úkoly a povinnostmi a nebudou vyvolávat střet zájmů Vztah správce pověřenec (DPO) Snadná dosažitelnost z každého podniku dosažitelnost - vztahuje se k úkolům DPO pro: subjekty údajů, orgány dozoru, útvary uvnitř organizace (správce a zpracovatele), při poskytování informací a poradenství o právech a povinnostech souvisejících se zpracováním osobních údajů podle GDPR. K zajištění dostupnosti pověřence (interního nebo externího) je důležité, aby byly k dispozici jeho kontaktní údaje. 14

Vztah správce pověřenec (DPO) Nezávislost Správce zajistí, aby DPO plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny týkající se výkonu a provádění úkolů. V souvislosti s plněním úkolů není správcem propuštěn ani sankcionován. DPO je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Vztah správce pověřenec (DPO) zasahuje do struktury managementu společnosti DPO ovlivňuje ve společnosti procesy politiku technologie kulturu zpracování osobních dat 15

Postavení DPO Správce zajistí, - DPO je náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů; - podporu DPO při výkonu úkolů, - poskytnou zdroje nutné k plnění úkolů, - umožní přístup k osobním údajům a operacím zpracování, - zachování odborných znalostí DPO - DPO plní své povinnosti a úkoly nezávisle a nepřijímá žádné pokyny k výkonu své funkce - DPO je přímo podřízen vedení správce nebo zpracovatele ČINNOSTI A ÚKOLY POVĚŘENCE 16

DPO plní své povinnosti a úkoly nezávisle a nepřijímá žádné pokyny k výkonu své funkce bez ohledu na to, zda se jedná o zaměstnance správce, by DPO měli být schopni plnit své povinnosti a úkoly nezávislým způsobem (recital 97) DPO nesmí dostávat pokyny, jak jednat v dané oblasti (např. jakého výsledku se má dosáhnout, jak prošetřovat stížnost nebo zda konzultovat dozorový úřad). Nesmí mu být nařizováno přijímat určité názory v záležitostech týkajících se ochrany dat (např. konkrétní výklad práva). Úkoly DPO Správce (zpracovatel) svěří DPO úkoly: a) poskytování informací a poradenství také zaměstnancům, kteří zpracovávají osobní údaje, ohledně jejich povinností v oblasti ochrany údajů; b) monitorování souladu v oblasti ochrany údajů a s politikami správce nebo zpracovatele souvisejícími s ochranou osobních údajů, včetně rozdělení odpovědnosti, zvyšování informovanosti a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů; c) poskytování poradenství na požádání, pokud jde o posouzení dopadu na ochranu údajů, a monitorování jeho uplatňování 17

Úkoly DPO d) spolupráce s orgánem dozoru e) zastávání úlohy kontaktní osoby pro orgán dozoru v záležitostech souvisejících se zpracováním osobních údajů, včetně předchozí konzultace DPO bere při plnění svých úkolů ohled na riziko spojené s operacemi zpracování a přihlíží k povaze, rozsahu, kontextu a účelům zpracování DPO může dostávat od organizace další úkoly, které souvisí s ochranou údajů, ačkoliv nejsou výslovně uvedeny v GDPR DPO pomáhá zavádět v organizaci základní prvky Obecného nařízení: - zásady zpracování dat, - práva subjektu údajů, - záměrná a standardní ochrana osobních údajů, - záznamy o činnostech zpracování, - zabezpečení zpracování, - ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů, - komunikace s dozorovým úřadem. 18

DPO pravidelně zván na schůze vyššího a středního managementu, jeho přítomnost vždy tam, kde se dělají rozhodnutí s dopadem do ochrany osobních údajů. DPO by měl včas obdržet všechny podstatné informace, aby mohl poskytnout odpovídající radu, stanovisku DPO vždy přiznána patřičná závažnost. Pro případ nesouhlasu zadokumentovat důvody, proč názor DPO nebyl akceptován, (doporučuje WP29 jako příklad dobré praxe), případné porušení zabezpečení ochrany osobních údajů nebo jiné události s DPO bezodkladně konzultovat. Spolupráce s orgánem dozoru Dozorový úřad poskytne DPO potřebné konzultace. Ustavení DPO v organizaci bude pro dozorový úřad důležitým signálem, že organizace věnuje ochraně údajů náležitou pozornost. Některé dozorové úřady považují svou úlohu v oblasti vzdělávání DPO za klíčovou. 19

Děkuji za pozornost karel.neuwirt@centrum.cz 20

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář