Povinnosti obce nebo města jako správce podle GDPR Jarní celostátní odborný seminář STMOÚ Valeč 22.5.2017 Přednášející JUDr. Alena Kučerová
Povinnosti které známe již dnes: Dodržovat zásady pro zpracování ( 5/1 ZOOU/ čl. 5 Nařízení) Dodržovat zákonnost zpracování ( 5/2 a 9 ZOOU/ čl. 6-10 Nařízení) Mít smlouvu se zpracovatelem ( 6 ZOOU/ čl. 28 Nařízení) Plnit informační povinnosti vůči subjektu údajů ( 11 a 12 ZOOU/ čl. 12 14 Nařízení) Zajistit subjektu údajů právo na přístup k jeho datům ( 21 ZOOU/ čl. 15 Nařízení) Zabezpečit data při jejich zpracování ( 13 ZOOU/ čl. 32 Nařízení) Mít povolení pro přenos dat do třetích zemí ( 27 ZOOU/ čl. 44-50 Nařízení)
Povinnosti, které odpadají Oznamovací povinnost a Registrace zpracování podle 16 ZOOU Povinnost podle 18 odst. 2 ZOOU zajistit, zpřístupnění informací, které by byly přístupné prostřednictvím registru, a to i dálkovým přístupem nebo jinou vhodnou formou.
Povinnosti, které přibydou: Vedení dokumentace Jmenování pověřence pro ochranu osobních údajů Provádění posouzení vlivu na ochranu osobních údajů Ohlašování případů porušení zabezpečen í osobních údajů Vedení záznamů o činnostech zpracování
Článek 30 Záznamy o činnostech zpracování Každý správce nebo jeho zástupce vede záznamy o činnostech zpracování, za něž odpovídá (obdobně platí i pro zpracovatele). Dle čl. 30/2 vyjmenován taxativní výčet informací, které záznamy obsahují. Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu. Výjimka pro malé organizace!!! Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže: zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, zpracování zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Články 33 a 34 Ohlašování případů porušení zabezpečení osobních údajů Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud je pravděpodobné, že určitý případ bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
Článek 35 Posouzení vlivu na ochranu osobních údajů Pokud je pravděpodobné, že: zpracování, které využívá nové technologie, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, Provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení. Posouzení vlivu je nutné zejména v těchto případech: systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů rozsáhlé systematické monitorování veřejně přístupných prostorů REC 91: zejména při použití optických elektronických přístrojů.
Posouzení vlivu a jeho dopady pro obce včetně Předchozí konzultace podle Čl. 36 Podle článku 35 odst. 10 nemusí být posouzení vlivu provedeno za této situace: zpracování prováděné podle čl. 6 odst. 1 písm. c) pro splnění právní povinnosti nebo e) pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; musí mít právní základ v právu Unie nebo členského státu, které se na správce vztahuje, toto právo upravuje konkrétní operaci nebo soubor operací zpracování pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.
Článek 37 Jmenování pověřence pro ochranu osobních údajů Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli povaze, rozsahu nebo účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.
Článek 39 Úkoly pověřence pro ochranu osobních údajů Pověřenec vykonává alespoň tyto úkoly: poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech v oblasti ochrany údajů; monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů; poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování; spolupráce s dozorovým úřadem a působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace, a případně vedení konzultací v jakékoli jiné věci.
F.S.C Bezpečnostní poradenství, a.s. Na křivce 1328/64,101 00 Praha 10 Děkuji za pozornost kucerovaa@fsc-ov.cz