Je GDPR a eprivacy pro nás hrozbou nebo příležitostí? Cui bono

Podobné dokumenty
General Data Protection Regulation (GDPR) Jak na to?

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Legislativní rada vlády Čj. 806/18 V Praze dne 16. ledna 2019 Výtisk č.: S t a n o v i s k o. předsedy Legislativní rady vlády

IAF - Mezinárodní akreditační fórum Informativní dokument IAF

Ing. František Hýbner, ekonomický a organizační poradce, (soudní) znalec. IČ , frantisek@hybner.cz

ze dne 7. prosince 2009

Zkušenosti z auditů CSR. III. Ročník konference Společenská odpovědnost ve všech oblastech lidské činnosti

Certifikačním orgánům pro certifikaci systémů managementu. Věc: posuzování certifikačních orgánů pro výkon certifikace podle normy ISO 9001:2008

MPO poř. č. 5. Název legislativního úkolu

Drážní úřad Rail Authority

EVROPSKÁ KOMISE GENERÁLNÍ ŘEDITELSTVÍ PRO MOBILITU A DOPRAVU

INFORMACE k posuzování autorizovaných osob a žadatelů o autorizaci

ODŮVODNĚNÍ I. OBECNÁ ČÁST. Závěrečná zpráva z hodnocení dopadů regulace (RIA)

PARAGRAFY A DALŠÍ VZDĚLÁVÁNÍ. Setkání se zástupci krajů * Velké Meziříčí 2005

PARLAMENT ČESKÉ REPUBLIKY POSLANECKÁ SNĚMOVNA. VII. volební období 28/0

ZÁKON. ze dne , kterým se mění zákon č. 191/2012 Sb., o evropské občanské iniciativě. Parlament se usnesl na tomto zákoně České republiky:

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO AKCIONÁŘE KOMERČNÍ BANKY, A. S.

Praktická aplikace nařízení o CSM v českém železničním systému

METODICKÉ POKYNY PRO AKREDITACI

II. N á v r h VYHLÁŠKA, ze dne 2017,


STANOVISKO č. 01/2006 EVROPSKÉ AGENTURY PRO BEZPEČNOST LETECTVÍ

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů

NEKALÉ OBCHODNÍ PRAKTIKY V RÁMCI DODAVATELSKO-ODBĚRATELSKÝCH VZTAHŮ Z POHLEDU EVROPSKÉ REGULACE

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

- 1 - ODŮVODNĚNÍ. OBECNÁ ČÁST A) Závěrečná zpráva o hodnocení dopadů regulace podle obecných zásad - RIA 1. Důvod předložení

Zákony pro lidi - Monitor změn ( IV. ODŮVODNĚNÍ

METODICKÉ POKYNY PRO AKREDITACI

GDPR Obecný metodický pokyn pro školství

Metodický pokyn pro akreditaci

Hlavní rysy y směrnice o energetické účinnosti

GDPR A JEHO IMPLEMENTACE DO KRAJSKÉHO ÚŘADU

Územní plán jako základní nástroj rozvoje obce v současných podmínkách

Návrh VYHLÁŠKA. ze dne ,

Co přináší novela zákona o léčivech? PharmDr. Alena Tomášková odbor farmacie

JARNÍ ŠKOLA Zdravých měst

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Důvodová zpráva. I. Obecná část A. ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE

Statut. Rady kvality ČR

Rada Evropské unie Brusel 1. června 2017 (OR. en)

Proč potřebujete certifikaci v oblasti eidas? Ing. Jarmil Mikulík, náměstek pro zkušebnictví, vedoucí projektu eidas

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Stanovení nákladů procesu akreditace

Zápis ze schůzky pracovních skupin pro přípravu strategie a programového výboru MAS

WEB portál justice ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

V l á d n í n á v r h. ZÁKON ze dne , kterým se mění zákon č. 20/1987 Sb., o státní památkové péči, ve znění pozdějších předpisů

Program podpory certifikace a účasti ve výběrových řízeních CERTIFIKACE

Akreditace ověřovatelů environmentálního prohlášení o produktu. Veronika Sochorová

Uznávání odborné kvalifikace pro oblast živnostenského podnikání

Novinky v legislativě

Návrh ROZHODNUTÍ RADY

Nová pravidla ochrany osobních údajů

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster


Interpretace určená výrobcům pro prokázání shody s EWF certifikačním schématem pro EN 729. Doc.EWF Česká verze

Zákony pro lidi - Monitor změn (zdroj:

GDPR adaptační zákon. JUDr. Kateřina Jamborová OBP MVČR

Příručka pro klienty ITC

Metodický pokyn Systém jakosti v oboru pozemních komunikací. Revize Technických kvalitativních

METODICKÉ POKYNY PRO AKREDITACI

Akreditace klinických laboratoří. Ing. Martina Bednářová

9. Zhodnocení dopadů na bezpečnost nebo obranu státu Navrhovaná právní úprava nemá žádný dopad na bezpečnost nebo obranu státu.

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Doporučení Rady pro výzkum, vývoj a inovace k certifikaci metodik

ZADÁVACÍ DOKUMENTACE

ODŮVODNĚNÍ A. OBECNÁ ČÁST. a) Závěrečná zpráva z hodnocení dopadů regulace (malá RIA)

Organizační struktura

Obecné nařízení (GDPR)

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ KRAJSKÉHO SOUDU V ÚSTÍ NAD LABEM

Přerov. říjen 2013 schváleno ve správní radě obecně prospěšné společnosti VŠLG

Organizační řád Svazu podnikatelů ve stavebnictví

EUROPASS PaedDr. Miroslava Salavcová

Alternativa B. I. Kontrola plnění usnesení z předchozích jednání RVKPP

Návrh U S N E S E N Í. Senátu Parlamentu České republiky

Okresní soud v Ústí nad Labem

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

GDPR. Požadavky na dokumentaci. Luděk Nezmar

EIA PO NOVELE Pro stavební úřady

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Právní forma a postavení právnických osob oprávněných k archeologickému výzkumu a stručný výklad nejfrekventovanějších právních pojmů

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MŽP poř. č. 2. Název legislativního úkolu

VLÁDA ČESKÉ REPUBLIKY

č. 22/2008 Ustanovení: 10, 12, 35, 123 test čtyř kroků, pravomoc obce, působnost obce

ODŮVODNĚNÍ. vyhlášky č. 418/2012 Sb. o ochraně zvířat při usmrcování.

Rušení Směrnice rady 89/106/EHS o stavebních výrobcích (CPD)

PRAVIDLA TÝKAJÍCÍ SE STOA

Legislativní rada vlády Čj. 647/18 V Praze dne 16. srpna 2018 Výtisk č.: S t a n o v i s k o

GDPR Modelová Situace z pohledu IT

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Právo Evropské unie 2. Prezentace

S T A N O V Y ASOCIACE VÝZKUMNÝCH ORGANIZACÍ

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Kybernetická bezpečnost

Transkript:

Je GDPR a eprivacy pro nás hrozbou nebo příležitostí? Cui bono

GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. Evropská komise zveřejnila v lednu 2017 první oficiální návrh nového Nařízení o soukromí a elektronických komunikacích, zkráceně označovaného jako eprivacy Regulation, či eprivacy, což je doplnění a speciální právní norma k Obecnému nařízení o ochraně osobních údajů (tzv. GDPR), přičemž se plánuje jednotná účinnost obou nařízení od 25. května 2018.

USNESENÍ valné hromady Elektrotechnické asociace ČR přijaté dne 19. května 2017 v Přerově uložilo v II. 2. vedení asociace prověřit nutnost zřízení pověřence pro GDPR v členských organizacích asociace. K plnění tohoto bodu: - je připraven program dnešní valné hromady, - zapojili jsme se do řešení výzkumného úkolu v rámci projektu BETA, TAČR, - připravili jsme přehled možných služeb asociace v oblasti GDPR, které jsou podmíněné zřízením Certifikačního orgánu pro certifikaci osob DPO. Poznámka: DPO je obecná zkratka pro pověřence pro ochranu osobních údajů (anglicky Data Protection Officer).

Pověřence pro ochranu osobních údajů (DPO - Data Protection Officer) je pro řadu MSP nepovinnou funkcí, legislativně se dosud nevyžaduje prokázání znalostí DPO, DPO lze využívat i službami externích osob, není dosud definován vztah DPO k živnostenskému zákonu, zda se bude jednat o organizační a ekonomické poradce či o novou vázanou živnost, trend úpravy legislativy GDPR vede k rozšíření aktivit DPO. Pracovní skupina pro ochranu osobních údajů (angl. The Article 29 Data Protection Working Party (WP29)vydala 13. prosince minulého roku první výkladová stanoviska k některým významným otázkám nařízení GDPR; jedno z nich se podrobněji zabývá právě pověřencem pro ochranu osobních údajů. Lze očekávat, že se rozšíří povinnost zajistit si službu DPO, viz Pokyn WP 243 Generálního ředitelství pro spravedlnost EK ze dne 13. 12. 2016.

Pověřence pro ochranu osobních údajů (DPO - Data Protection Officer) dosud nemusí prokazovat své znalosti. DPO dosud nemůže získat osvědčení či jiný certifikát dle české legislativy, který prokáže jeho kompetenci. K certifikaci v oblasti GDPR web Úřadu pro ochranu osobních údajů uvádí: Kdo může osvědčení vydávat? Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. Návrh zákona o zpracování osobních údajů aktuálně počítá s variantou, že akreditaci subjektů pro vydávání osvědčení bude provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o.p.s., se kterým již nyní Úřad úzce spolupracuje. Kdo akredituje subjekty pro vydávání osvědčení? Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka).

ElA byla na základě výběrového řízení řešitelem výzkumného úkolu a v jeho řešení obstála

Výsledkem řešení byla studie, která analyzuje návrh Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích, dále jen nařízení o eprivacy ) ve znění návrhu Evropské komise z 10. 1. 2017 a návrhu Estonského předsednictví v Radě EU z 8. 9. 2017. Ve svém obsahu se zaměřuje zejména na hodnocení portfolia povinností poskytovatelů služeb elektronických komunikací se zřetelem k povinnostem vyplývajícím z provozování strojové (M2M) komunikace nebo komunikace v rámci internetu věcí jako zcela nových součástí evropské regulace ochrany soukromí v odvětví elektronických komunikací.

Nejdůležitějším bodem pro hodnocení dopadů GDPR a eprivacy dle této studie je oblast věcné působnosti návrhu navrhované rozšíření působnosti i na oblast OTT služeb a M2M komunikací totiž způsobí výrazný přesah dopadů návrhu do celé řady ekonomických činností (při užším vymezení, resp. při omezení M2M komunikace, jejíž realizace se rozumí poskytnutím služby elektronických komunikací), resp. dopady na veškeré myslitelné ekonomické činnosti (a to za předpokladu, že zahrnutý rozsah M2M komunikace či výčet subjektů, které se rozumí poskytovateli služby elektronických komunikací, nebude blíže vymezen, resp. bude ponechán tak, jak vyplývá z návrhu Evropské komise z ledna 2017 i Estonského předsednictví ze září 2017). Kapitola naší studie obsahuje celou řadu praktických příkladů, na nichž lze demonstrovat aktuálně panující výkladovou nejasnost i míru dopadů, které by způsobilo úplné zahrnutí M2M komunikace do věcné působnosti nařízení o eprivacy. Možné dopady lze škálovat od velmi měkkých (náhrada osobní komunikace M2H nebo M2M komunikací v oblasti poskytování tradičních služeb elektronických komunikací) až po velmi tvrdé až absurdní (při využívání M2M komunikace v oborech ekonomických činností, které s oborem elektronických komunikací vůbec nesouvisejí). Dosud se nám nepodařilo, ani v této studii, podat návrh k publikování pozitivních příkladů implementace GDPR, např. v oblasti kamerových systémů, kde je nejvíce soudních sporů.

Vytvořeni certifikačního orgánu pro certifikaci osob (DPO)

SWOT analýza /S SILNÁ STRÁNKA (ElA): ElA je připravena personálně a organizačně vytvořit Certifikační orgán certifikující osoby, již má připravené certifikační schéma respektující platnou legislativu a pokyny k funkci DPO (WP 243, Generální ředitelství pro spravedlnost EK), asociace má dostatečný počet členů, které mohou využívat služeb certifikačního orgánu a návazných služeb v oblasti GDPR, členské společnosti ElA mají zájem, aby služby DPO byly prováděny kvalifikovaně a s náležitou odpovědností, ElA prokázala odbornou úroveň v oblasti GDPR a eprivacy, schopnost zpracovávat případové studie, ELA má možnost zapojit se do procesu Posouzení vlivu na ochranu údajů formou poskytováním služeb DPO a zpracováním Risk analýz, ElA má dlouhodobý partnerský vztah se společnostmi, které mají know-how v oblasti akreditace a certifikace výrobků, služeb, managementu a osob.

SWOT analýza /W SLABÁ STRÁNKA (ElA): ElA nemá v rozpočtu finanční prostředky na vytvoření certifikačního orgánu, proto podnikatelský plán musí respektovat krátkou ekonomickou návratnost, což prodražuje služby členům asociace, nelze odhadnout, kolik vznikne dalších certifikačních orgánů a jak toto ovlivní ceny za služby certifikace, je pro členy asociace dobrovolné, zda využijí služby certifikačního orgánu ElA a dosavadní praxe ukázala, že podnikatelské aktivity členů asociace jsou svázané též s velkými poradenskými domy a jinými subjekty a členové ElA upřednostňují služby od nich.

SWOT analýza /O PŘÍLEŽITOSTI (vnější vliv): GDPR a eprivacy začne platit od 25. května 2018, podniky musí do tohoto termínu analyzovat své datové struktury z pohledu GDPR a rozhodnou, zda budou mít DPO, musí zpracovat řadu analytických materiálů, dosud není vytvořen žádný certifikační orgán v oblasti GDPR, řada pojmů v GDPR a eprivacy je nejasná a členové ElA mají potřebu využívat specializované služby, není jasné, jaký trend vyvolá doporučení Evropského inspektora ochrany údajů, obecně se jedná o rozšíření aktivit v oblasti GDPR a eprivacy, společnosti (nejenom MSP a členové ElA) potřebují služby DPO pro posouzení vlivu na ochranu údajů.

SWOT analýza /T HROZBY (vnější vliv): NA VŠE JE POZDĚ, legislativa je vydávána s malým předstihem, eprivacy je doposud v návrhu, je malá ochota měnit stávající systém řízení, Úřad pro ochranu osobních údajů a Český institut pro akreditaci dosud nemají odsouhlaseny certifikační pravidla, není jasné, jak bude na DPO reagovat živnostenský zákon. Bude to živnost vázaná?, není jasné, jak dalece eprivacy změní aktivity v GDPR a omezí podnikání, není dostatek pilotních projektů, programů či státem garantovaných kurzů. Které připraví podnikatelskou sféru na GDPR.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář