Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Podobné dokumenty
OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Obecné nařízení o ochraně osobních údajů

Prohlášení o ochraně osobních údajů

GDPR Obecné nařízení o ochraně osobních údajů

Nová pravidla ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

SPISOVÁ SLUŽBA A GDPR

#gdpr #gastro #hotel. 16. února Janka Brezániová

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Ochrana osobních údajů - GDPR

Zásady ochrany osobních údajů

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Informace k ochraně osobních údajů - GDPR

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o ochraně osobních údajů zpracovávaných společností PROFIZOO s.r.o. k jejím zákazníkům.

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Prohlášení o ochraně osobních údajů

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Prohlášení o ochraně osobních údajů

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

OCHRANA OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

OCHRANA OSOBNÍCH ÚDAJŮ SPOLEČNOSTI PAVEL DUŠEK (DÁLE JEN PROHLÁŠENÍ ) ČL. I ÚVODNÍ USTANOVENÍ A DEFINICE POJMŮ

Zásady ochrany osobních údajů

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Prohlášení o zpracování osobních údajů

Informace o zpracování osobních údajů

Podmínky ochrany osobních údajů

Ochrana osobních údajů

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Právní posouzení principů GDPR v rámci organizace

INFORMAČNÍ POVINNOST SPRÁVCE

GDPR. Požadavky na dokumentaci. Luděk Nezmar

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

GDPR ochrana osobních údajů

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Informace k ochraně osobních údajů

Farmakovigilance z pohledu ochrany osobních údajů

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

Registr vozidel a evidence stanic měření emisí. fyzická osoba, podnikající fyzická osoba, statutární orgán právnické osoby

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

Ochrana osobních údajů a AML obsah

Zpracování lze provádět s pomocí i bez pomoci automatizovaných (počítačově - strojově řízených) postupů.

Praktické důsledky GDPR v e-learningu IS MU. Mgr. Veronika Smítková Právní odbor RMU 1

A. OBECNÁ ČÁST ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ FYZICKÝCH OSOB

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

fyzická osoba, podnikající fyzická osoba

1/ Memorandum o zpracování osobních údajů dle článku 13 a 14 GDPR.

fyzická osoba, podnikající fyzická osoba

fyzická osoba, podnikající fyzická osoba, statutární orgán právnické osoby

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

G D P R. Základní informace

Politika ochrany osobních údajů

GDPR obecně Svaz měst a obcí

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

Poskytování osobních údajů je povinností subjektu údajů klienta (dále jen "klient"), která vyplývá z výše zmíněné smlouvy.

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Přijatá opatření při zpracovávání osobních údajů. (Informace OÚ Hudlice)

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

Nakládání s osobními údaji

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Pozemní komunikace a silniční správní úřady. fyzická osoba, podnikající fyzická osoba

MĚSTYS HVĚZDLICE. Nové Hvězdlice Bohdalice, okres Vyškov ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ MĚSTYSE HVĚZDLICE

PŘÍRUČKA GDPR. General Data Protection Regulation Obecné nařízení o ochraně osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

Transkript:

Obsah prezentace Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR Jan Slanina Praha, 12. září 2017 1. Pověřenec ochrany údajů v SOLUS 2. Analýza činnosti společnosti s ohledem na nařízení GDPR a ochranu osobních údajů v rámci společnosti 3. Právní analýza dopadů nařízení GDPR na činnost společnosti 4. Volba právního titulu zpracování osobních údajů 5. Úprava politiky ochrany osobních údajů 6. Úprava interních procesů, směrnic, vzorových formulářů 7. Zavedení postupů pro případy úniku osobních údajů 8. Úprava smluv s dodavateli 9. IT systémy v souladu s nařízením GDPR 1

SOLUS Sdružení založeno v roce 1999 Registr FO vznikl jako první registr klientských informací v České republice) 1. Pověřenec ochrany údajů v SOLUS 56 členských společností 1,756 milionu negativních záznamů o 750 tisících spotřebitelích 85 tisíc negativních záznamů o 62 tisících podnikatelských subjektech 4 2

Pověřenec ochrany údajů SOLUS Funkce zřízena přímo stanovami Pověřence ochrany údajů volí nejvyšší orgán sdružení (členská schůze) Poprvé jmenován 2015 2. Analýza činnosti společnosti s ohledem na nařízení GDPR a ochranu osobních údajů v rámci společnosti 5 3

Identifikace probíhajících zpracování Kde všude zpracováváme osobní údaje? Jak je zpracováváme? Od koho je získáváme a komu je předáváme? Kde je zpracováváme, kam je předáváme? Zpracováváme zvláštní kategorie osobních údajů? Nezapomenout na neobvyklá zpracování! Co všechno je osobním údajem? Čl. 4 odst. 1 GDPR: osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; 7 8 4

Co všechno je osobním údajem? SDEU C-582/14 Breyer: dynamická adresa internetového protokolu, kterou poskytovatel online mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu tohoto ustanovení, pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu; Co všechno je osobním údajem? NSS 9 As 34/2008: Plná identita fyzické osoby ( ) ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat ( ). Proto se výklad pojmu osobní údaj nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu (viz shora). 9 10 5

Zvláštní kategorie osobních údajů Čl. 9 odst. 1 GDPR: Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby 3. Právní analýza dopadů nařízení GDPR na činnost společnosti 11 6

Právní analýza zpracování K jakému účelu zpracováváme osobní údaje? Jaký právní titul nebo právní tituly nám svědčí? Jak informujeme subjekt údajů? Jak chráníme práva subjektu údajů? Opakované použití osobních údajů Používáme osobní údaje k jinému účelu než k jakému byly shromážděny? Svědčí nám pro toto další zpracování právní titul? Kompatibilní účely podle čl. 6 odst. 4 GDPR 13 14 7

Předávání osobních údajů K jakému účelu bude zpracovávat osobní údaje ten, komu je předáváme? Jaký máme právní titul k tomuto předání? 4. Volba právního titulu zpracování osobních údajů 15 8

Právní tituly bez nutnosti vyvažování zájmů Plnění smlouvy se subjektem údajů nebo kroky před uzavřením smlouvy Plnění právní povinnost správce (ale pouze takové, kterou stanoví právo EU nebo členského státu) Ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby Legitimní zájem Recitál 47 GDPR uvádí příklady: Předcházení podvodnému jednání Přímý marketing Ve skutečnosti zřejmě nejčastější právní titul Nutnost vyvažování zájmů obrovská právní nejistota Plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci (ale opět na základě práva EU nebo členského státu) 17 18 9

Souhlas V minulosti upřednostňovaný právní titul Podle GDPR jen jeden z možných právních titulů Použitelnost souhlasu podle GDPR je výrazně omezena (možnost kdykoli odvolat!) Požadavky na souhlas Svobodný Konkrétní Jednoznačný (ale nikoli nutně výslovný kromě zvláštních kategorií údajů) příklad: vědomé poskytnutí údaje se znalostí účelu Lze sbírat souhlas, pokud svědčí jiný právní titul? 19 20 10

Principy Korektnost, zákonnost a transparentnost Účelové omezení (vyjádření a legitimita účelu) Minimalizace údajů (nezbytnost) 5. Úprava politiky ochrany osobních údajů Přesnost (s přihlédnutím k účelu) Časové omezení (omezení uložení) Ochrana (integrita a důvěrnost) 22 11

Procesy a směrnice Minimalizace zpracování údajů nezpracováváme údaje, které nejsou nezbytné (souhlas subjektu nemůže překonat absenci legitimity!) Omezení přístupu pracovníků (need-to-know) 6. Úprava interních procesů, směrnic, vzorových formulářů Poskytování informací při sběru údajů Záměrná a standardní ochrana 24 12

Zvláštní procesy Přístup subjektu údajů (zdarma!) Oprava údajů Právo na námitku, právo být zapomenut Formuláře Srozumitelnost Odlišení souhlasu se zpracováním od jiných skutečností Odlišení jednotlivých účelů/zpracování v rámci souhlasu Přenositelnost údajů 25 26 13

Obecná reakce na porušení zabezpečení Mechanismus interního hlášení 7. Zavedení postupů pro případy úniku osobních údajů Posouzení rizik porušení Porušení, u kterého je nepravděpodobné riziko pro práva a svobody fyzických osob není nutno hlásit ÚOOÚ Porušení, u kterého je pravděpodobné vysoké riziko pro práva a svobody subjektu údajů je nutné hlásit i subjektu údajů, ledaže jsou přijata dostatečná předběžná (šifrování) nebo následná opatření Dokumentace Dokumentují se všechna porušení (i ta, která není nutno hlásit) 28 14

Oznamování Úřadu pro ochranu osobních údajů Popis incidentu Popis důsledků Popis opatření Kontaktní údaje DPO nebo jiné kontaktní osoby Lhůta 72 hodin od okamžiku, kdy se správce o úniku dozvěděl Oznamování subjektu údajů Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob Jednoduché a jasné jazykové prostředky Důsledky Přijatá opatření Kontaktní údaje DPO nebo jiné kontaktní osoby Veřejné oznámení, pokud by kontaktování subjektu vyžadovalo nepřiměřené úsilí 29 30 15

Úprava smluv s dodavateli Je dodavatel zpracovatelem? 8. Úprava smluv s dodavateli Smlouva o zpracování povinné náležitosti Zpracování na základě pokynů správce nebo podle požadavků právních předpisů Mlčenlivost oprávněných osob Zabezpečení osobních údajů Podmínky řetězení zpracovatelů Výmaz nebo vrácení při ukončení Umožnění auditu a poskytování informací pro doložení povinností správce Povinná písemná forma (vč. elektronické) 32 16

Požadavky na IT systém Mazání údajů (při uplynutí lhůty zpracování nebo z podnětu subjektu) Evidence zpracování a přístupů Zabezpečení údajů 9. IT systémy v souladu s nařízením GDPR Podle rizik Šifrování či pseudonymizace Ochrana integrity údajů Schopnost obnovy Pravidelné testování zabezpečení 34 17

Automatizované rozhodování Subjekt má právo nebýt předmětem automatizovaného rozhodnutí V případě rozhodnutí nezbytného k uzavření nebo plnění smlouvy (např. credit scoring) nebo se souhlasem subjektu údajů musí být zavedena ochranná opatření, zejm. právo požadovat lidský zásah, vyjádřit svůj názor a napadnout rozhodnutí Zásadně nesmějí být používány zvláštní kategorie údajů (ledaže subjekt výslovně souhlasí) Děkuji Vám za pozornost! Mgr. Jan Slanina, pověřenec ochrany údajů SOLUS, zájmové sdružení právnických osob Antala Staška 510/38 140 00 Praha 4 - Krč poverenec@solus.cz 35 36 18

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář