Ochrana dat ve farmacii aneb připravte se na nové nařízení EU - GDPR

Podobné dokumenty
Ochrana osobních údajů pro personalisty

Pokyny k funkci pověřence pro ochranu osobních údajů (dokument WP 243, ze dne ) Příloha Často kladené otázky

WP243 PŘÍLOHA ČASTO KLADENÉ OTÁZKY

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

MATERIÁL PRO RADU MĚSTA č. 86

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Vodítka k pověřencům pro ochranu osobních údajů. Schváleno dne 13. prosince Revize schválena 5. dubna 2017

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Pokyny k funkci pověřence pro ochranu osobních údajů. Schváleno dne 13. prosince 2016

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

JARNÍ ŠKOLA Zdravých měst

PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

ALIS spol. s r.o., Česká Lípa říjen 2017

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

GDPR A JEHO IMPLEMENTACE DO KRAJSKÉHO ÚŘADU

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Metodické doporučení MV a ÚOOÚ k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

GDPR a veřejná správa

Nová pravidla ochrany osobních údajů

Systémová analýza a opatření v rámci GDPR

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

GDPR obecně Svaz měst a obcí

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SPISOVÁ SLUŽBA A GDPR

JAK SE PŘIPRAVIT NA GDPR?

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Představení služeb Konica Minolta GDPR

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Pověřenci ochrany osobních údajů ve služebních úřadech metodické doporučení

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

DPO jako nový nástroj ochrany osobních údajů

Ochrana osobních údajů Implementace GDPR

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Výsledky dotazníkového průzkumu mezi účastníky seminářů pro pověřence pro ochranu osobních údajů v říjnu 2018 (31. října 2018)

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Sdělení ÚOOÚ k přístupu založenému na riziku

Ochrana osobních údajů aktuálně

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Právní novinky Deloitte Česká republika. listopad 2017

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

MATERIÁL PRO JEDNÁNÍ RADY MĚSTA PÍSKU DNE

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Zásady ochrany osobních údajů společnosti FG Financial Group a.s. poskytované v rámci tzv. informační povinnosti správce osobních údajů

OSOBNÍ ÚDAJE GDPR ROK POTÉ

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

GDPR Obecný metodický pokyn pro školství

Stanovisko č. 2/2018. k návrhu seznamu příslušného dozorového úřadu Belgie, který obsahuje

GDPR evoluce v ochraně osobních údajů.

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

Obecné nařízení o ochraně osobních údajů

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

POZIČNÍ DOKUMENT SPOLKU PRO OCHRANU OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Pověřenec pro ochranu osobních údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Stanovisko č. 4/2018. k návrhu seznamu příslušného dozorového úřadu České republiky, který obsahuje

Pověřenci pro ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Obecné nařízení o ochraně osobních údajů (GDPR) FBMI Kladno Dagmar Brechlerová

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Záznamy o činnostech zpracování

NÁVRH SMLOUVY O POSKYTOVÁNÍ SLUŽEB na zajištění činnosti pověřence pro ochranu osobních údajů

INFORMACE PRO OBCHODNÍ PARTNERY, KONTAKTNÍ OSOBY A NÁVŠTĚVY

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Zásady ochrany osobních údajů

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Všem obchodním partnerům. V Praze dne Věc: informace o zpracování osobních údajů. Vážení obchodní partneři,

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Očekávané dopady GDPR do pojišťovnictví

General Data Protection Regulation (GDPR) Jak na to?

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Stanovisko č. 5/2018. k návrhu seznamu příslušného dozorového úřadu Německa, který obsahuje

Transkript:

Nařízení (EU) 2016/679 Obecné Nařízení o ochraně osobních údajů a o zrušení směrnice 95/46/ES SEMINÁŘ Ochrana dat ve farmacii aneb připravte se na nové nařízení EU - GDPR Karel Neuwirt červen 2017 Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) platí pro všechny, kteří jakkoliv nakládají (zpracovávají) osobní informace o jednotlivcích v EU. Nařízení je platné od května 2016 a nabude účinnosti od 25. května 2018. Aplikovatelnost Nařízení nevyžaduje přijetí jakékoliv další legislativy členského státu. Pokud organizace neprokáže, že při nakládání s osobními údaji zajišťuje náležité úsilí pro docílení souladu s GDPR, pak se vystavuje riziku dozorové činnosti a odpovídajícím sankcím. 1

GDPR - přístup založený na analýze rizik POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ články 37 39 GDPR 2

Jedna z nejvíce diskutovaných a problémových změn - povinné nebo dobrovolné? - jaké kritérium zvolit pro povinnost mít pověřence? Návrh Nařízení (2012): čl. 35 b) - zpracování provádí podnik zaměstnávající 250 či více osob - na jaké subjekty se vztahuje? Jmenování DPO není věc nová čl. 18 odst. 2 směrnice 95/46/ES umožňoval jmenovat pověřence; mají jej všechny unijní instituce a také některé členské státy EU (také Slovensko) Pověřenec (DPO) je jedním z důležitých článků při provádění povinností správce - zásada odpovědnosti - docílení souladu správce s povinnostmi GDPR - poradce organizace ve všech otázkách ochrany údajů - vyjednávač správce s dozorových orgánem Odpovědnost za dodržování povinností GDPR však je vždy správce, nikoliv DPO 3

Správce jmenuje pověřence povinně: a) orgán veřejné moci či veřejný subjekt (s výjimkou soudů); b) hlavní činnosti správce spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; c) hlavní činnosti správce spočívají v rozsáhlém zpracování citlivých údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Nejistota zda jmenovat? - Nutno provést interní analýzu potřeby orgán veřejné moci či veřejný subjekt - měl by být určen národním právem. - veřejné orgány a subjekty představují národní, regionální a místní úřady, avšak podle platného národního práva typicky zahrnuje řadu dalších subjektů - soukromé subjekty, vykonávající veřejná zadání (veřejné služby) 4

hlavní činnosti souvisejí se základními činnostmi správce a nevztahují se na zpracování osobních údajů při pomocných činnostech Hlavní činnosti mohou být chápány jako klíčové operace nezbytné k dosažení cílů správce nebo zpracovatele Hlavní činnosti by neměly být interpretovány způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele - hlavní činnost: klíčové operace směřující k dosažení cílů správce - tj. veškeré aktivity, kde zpracování dat je nedílnou součástí činnosti správce. Například zpracování zdravotních dat, jako jsou zdravotní záznamy pacienta, by mělo být považováno za jednu z hlavních činností a nemocnice tak musí jmenovat pověřence. - rozsáhlé zpracování: koncept není založen pouze na kvantitativních kritériích, ale také na významu, důležitosti, trvání zpracovávání údajů vzhledem k soukromí osob. Nutno posuzovat individuálně (objem zpracovávaných dat a/nebo rozsah datových položek, doba trvání/nepřetržitost zpracování, rozsah zpracovatelské činnosti správce, ) 5

rozsáhlé zpracování WP 29 doporučuje (GDPR nestanoví) vzít při určování rozsáhlosti zpracování v úvahu zejména faktory: - počet dotčených subjektů údajů vyjádřený buď konkrétním číslem, nebo podílem na relevantní populaci, - objem dat a/nebo rozsah různých datových položek, - doba trvání nebo nepřetržitost zpracování, - územní rozsah zpracování. rozsáhlá zpracování (příklady) - o pacientech v rámci běžné činnosti nemocnice, - cestovní data jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím elektronických předplatních kuponů), - aktuální zeměpisná poloha zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost, - zákaznická data v rámci běžné obchodní činnosti pojišťovny nebo banky, - vyhledávače pro potřeby behaviorální reklamy, - zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb. 6

Za rozsáhlá zpracování se nepovažuje zpracování osobních údajů o pacientech jednotlivým lékařem Pravidelné a systematické monitorování zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. sledování není omezeno pouze na prostředí online, přičemž sledování na internetu by mělo být bráno jen jako jeden z příkladů monitorování chování subjektů údajů. 7

Pravidelné a systematické monitorování (WP29) WP29 vykládá slova pravidelný a systematický jako kombinaci jedné či více následujících charakteristik: pravidelný - průběžný nebo v pravidelných intervalech a po určitou dobu se opakující, - stále se opakující nebo opakovaný ve stanoveném čase, - neustále nebo pravidelně se vyskytující. systematický - vyskytující se podle určitého systému, - přednastavený, organizovaný nebo metodický, - uskutečňující se jako součást obecného plánu pro sběr dat, - vykonávaný jako součást strategie. Pravidelné a systematické monitorování (WP29) WP29 vykládá slova pravidelný a systematický jako kombinaci jedné či více následujících charakteristik: systematický - vyskytující se podle určitého systému, - přednastavený, organizovaný nebo metodický, - uskutečňující se jako součást obecného plánu pro sběr dat, - vykonávaný jako součást strategie. sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení; kamerové systémy; IoT; věrnostní programy aj. je považováno za systematické 8

Povinnosti týkající se jmenování a úkolů DPO se vztahují nejen na správce, ale také na zpracovatele (podle toho, zda splňují kritéria pro jeho jmenování) POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ musí být jmenován na základě: - profesních kvalit - odborných znalostí práva - praxe v oblasti ochrany údajů - schopnosti plnit stanovené úkoly 9

Profesní kvalita (GDPR neupřesňuje) - vědomosti z oblasti národní a evropské legislativy - praxe v oboru ochrany osobních údajů - důkladná znalost Obecného nařízení - znalost oboru, aktivit, struktury organizace (správce) - znalost všech informačních systémů a operací s osobními údaji (vč. zabezpečení a ochrany) - u DPO orgánu veřejné moci nebo veřejného subjektu, znalost administrativních pravidel a postupů dané organizace. Úroveň odborných znalostí (GDPR přesně nedefinuje) - musí být úměrná citlivosti, složitosti a množství dat, které organizace zpracovává. Pověřenec by měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany dat, které organizace řeší. 10

Schopnost plnit úkoly souvisí s osobními kvalitami a znalostmi DPO (např. integrita a úroveň profesionální etiky, zájem o soulad s GDPR) postavení DPO v organizaci - klíčová osoba při rozvoji kultury ochrany dat uvnitř organizace, - zásadní pomoc při zavádění základních prvků GDPR: zásady zpracování údajů, práva subjektu údajů, záměrná a standardní ochrana osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování údajů, ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů. Obecné schopnosti a vlastnosti pro plnění úkolů - bezúhonnost a čestnost, - inciativa, organizace, vytrvalost - diskrétnost, schopnost prosadit názor v obtížných situacích - zájem o ochranu údajů a motivace vykonávat funkci DPO - zájem o vzdělávání v oblasti ochrany soukromí - mezilidské vztahy: komunikace, vyjednávání, řešení konfliktů, schopnost vytvářet pracovní vztahy GDPR nevyžaduje pro DPO žádný certifikát nebo speciální prověření!!! Výběr a jmenování DPO je výlučnou pravomocí správce 11

Vztah správce pověřenec (DPO) Interní či externí DPO? DPO může být zaměstnancem správce nebo může úkoly plnit na základě smlouvy o službách (DPO by neměl být zaměstnanec s krátkodobým pracovním poměrem) Skupina podniků může jmenovat jediného pověřence pro ochranu údajů, pokud je snadno dosažitelný z každého podniku Správce zajistí, že jiné profesní povinnosti DPO budou slučitelné s jeho úkoly a povinnostmi a nebudou vyvolávat střet zájmů Vztah správce pověřenec (DPO) Snadná dosažitelnost z každého podniku dosažitelnost - vztahuje se k úkolům DPO pro: subjekty údajů, orgány dozoru, útvary uvnitř organizace (správce a zpracovatele), při poskytování informací a poradenství o právech a povinnostech souvisejících se zpracováním osobních údajů podle GDPR. K zajištění dostupnosti pověřence, ať interního nebo externího, je důležité, aby byly k dispozici jeho kontaktní údaje. 12

Vztah správce pověřenec (DPO) Nezávislost Správce zajistí, aby DPO plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny týkající se výkonu a provádění úkolů. V souvislosti s plněním úkolů není správcem propuštěn ani sankcionován. DPO je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Jakékoliv jiné profesní povinnosti DPO budou slučitelné s jeho úkoly a povinnostmi a že nebudou vyvolávat střet zájmů. Vztah správce pověřenec (DPO) zasahuje do struktury managementu společnosti DPO ovlivňuje ve společnosti procesy politiku technologie kulturu zpracování osobních dat 13

Postavení DPO Správce zajistí, - aby DPO byl náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů; - podporu DPO při výkonu úkolů, - poskytnou zdroje nutné k plnění úkolů, - umožní přístup k osobním údajům a operacím zpracování, - zachování odborných znalostí DPO - aby DPO plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny k výkonu své funkce - aby DPO je přímo podřízen vedení správce nebo zpracovatele DPO plní své povinnosti a úkoly nezávisle a nepřijímá žádné pokyny k výkonu své funkce bez ohledu na to, zda se jedná o zaměstnance správce, by DPO měli být schopni plnit své povinnosti a úkoly nezávislým způsobem (recital 97) DPO nesmí dostávat pokyny, jak jednat v dané oblasti, například jakého výsledku se má dosáhnout, jak prošetřovat stížnost nebo zda konzultovat dozorový úřad. Nesmí jim dále být nařizováno přijímat určité názory v záležitostech týkajících se ochrany dat, například konkrétní výklad práva. 14

Úkoly DPO Správce (zpracovatel) svěří DPO úkoly: a) poskytování informací a poradenství také zaměstnancům, kteří zpracovávají osobní údaje, ohledně jejich povinností v oblasti ochrany údajů; b) monitorování souladu v oblasti ochrany údajů a s politikami správce nebo zpracovatele souvisejícími s ochranou osobních údajů, včetně rozdělení odpovědnosti, zvyšování informovanosti a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů; c) poskytování poradenství na požádání, pokud jde o posouzení dopadu na ochranu údajů, a monitorování jeho uplatňování Úkoly DPO d) spolupráce s orgánem dozoru e) zastávání úlohy kontaktní osoby pro orgán dozoru v záležitostech souvisejících se zpracováním osobních údajů, včetně předchozí konzultace DPO bere při plnění svých úkolů ohled na riziko spojené s operacemi zpracování a přihlíží k povaze, rozsahu, kontextu a účelům zpracování DPO může dostávat od organizace další úkoly, které souvisí s ochranou údajů, ačkoliv nejsou výslovně uvedeny v GDPR 15

DPO pomáhá zavádět v organizaci základní prvky Obecného nařízení: - zásady zpracování dat, - práva subjektu údajů, - záměrná a standardní ochrana osobních údajů, - záznamy o činnostech zpracování, - zabezpečení zpracování, - ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů, - komunikace s dozorovým úřadem. DPO pravidelně zván na schůze vyššího a středního managementu, jeho přítomnost vždy tam, kde se dělají rozhodnutí s dopadem do ochrany osobních údajů. DPO by měl včas obdržet všechny podstatné informace, aby mohl poskytnout odpovídající radu, stanovisku DPO vždy přiznána patřičná závažnost. Pro případ nesouhlasu zadokumentovat důvody, proč názor DPO nebyl akceptován, (doporučuje WP29 jako příklad dobré praxe), případné porušení zabezpečení ochrany osobních údajů nebo jiné události s DPO bezodkladně konzultovat. 16

Spolupráce s orgánem dozoru Dozorový úřad poskytne DPO potřebné konzultace. Ustavení DPO v organizaci bude pro dozorový úřad důležitým signálem, že organizace věnuje ochraně údajů náležitou pozornost. Některé dozorové úřady považují svou úlohu v oblasti vzdělávání DPO za klíčovou. Děkuji za pozornost karel.neuwirt@centrum.cz 17

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář