Obsah prezentace Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR Jan Slanina Praha, 12. září 2017 1. Pověřenec ochrany údajů v SOLUS 2. Analýza činnosti společnosti s ohledem na nařízení GDPR a ochranu osobních údajů v rámci společnosti 3. Právní analýza dopadů nařízení GDPR na činnost společnosti 4. Volba právního titulu zpracování osobních údajů 5. Úprava politiky ochrany osobních údajů 6. Úprava interních procesů, směrnic, vzorových formulářů 7. Zavedení postupů pro případy úniku osobních údajů 8. Úprava smluv s dodavateli 9. IT systémy v souladu s nařízením GDPR 1
SOLUS Sdružení založeno v roce 1999 Registr FO vznikl jako první registr klientských informací v České republice) 1. Pověřenec ochrany údajů v SOLUS 56 členských společností 1,756 milionu negativních záznamů o 750 tisících spotřebitelích 85 tisíc negativních záznamů o 62 tisících podnikatelských subjektech 4 2
Pověřenec ochrany údajů SOLUS Funkce zřízena přímo stanovami Pověřence ochrany údajů volí nejvyšší orgán sdružení (členská schůze) Poprvé jmenován 2015 2. Analýza činnosti společnosti s ohledem na nařízení GDPR a ochranu osobních údajů v rámci společnosti 5 3
Identifikace probíhajících zpracování Kde všude zpracováváme osobní údaje? Jak je zpracováváme? Od koho je získáváme a komu je předáváme? Kde je zpracováváme, kam je předáváme? Zpracováváme zvláštní kategorie osobních údajů? Nezapomenout na neobvyklá zpracování! Co všechno je osobním údajem? Čl. 4 odst. 1 GDPR: osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; 7 8 4
Co všechno je osobním údajem? SDEU C-582/14 Breyer: dynamická adresa internetového protokolu, kterou poskytovatel online mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu tohoto ustanovení, pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu; Co všechno je osobním údajem? NSS 9 As 34/2008: Plná identita fyzické osoby ( ) ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat ( ). Proto se výklad pojmu osobní údaj nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu (viz shora). 9 10 5
Zvláštní kategorie osobních údajů Čl. 9 odst. 1 GDPR: Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby 3. Právní analýza dopadů nařízení GDPR na činnost společnosti 11 6
Právní analýza zpracování K jakému účelu zpracováváme osobní údaje? Jaký právní titul nebo právní tituly nám svědčí? Jak informujeme subjekt údajů? Jak chráníme práva subjektu údajů? Opakované použití osobních údajů Používáme osobní údaje k jinému účelu než k jakému byly shromážděny? Svědčí nám pro toto další zpracování právní titul? Kompatibilní účely podle čl. 6 odst. 4 GDPR 13 14 7
Předávání osobních údajů K jakému účelu bude zpracovávat osobní údaje ten, komu je předáváme? Jaký máme právní titul k tomuto předání? 4. Volba právního titulu zpracování osobních údajů 15 8
Právní tituly bez nutnosti vyvažování zájmů Plnění smlouvy se subjektem údajů nebo kroky před uzavřením smlouvy Plnění právní povinnost správce (ale pouze takové, kterou stanoví právo EU nebo členského státu) Ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby Legitimní zájem Recitál 47 GDPR uvádí příklady: Předcházení podvodnému jednání Přímý marketing Ve skutečnosti zřejmě nejčastější právní titul Nutnost vyvažování zájmů obrovská právní nejistota Plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci (ale opět na základě práva EU nebo členského státu) 17 18 9
Souhlas V minulosti upřednostňovaný právní titul Podle GDPR jen jeden z možných právních titulů Použitelnost souhlasu podle GDPR je výrazně omezena (možnost kdykoli odvolat!) Požadavky na souhlas Svobodný Konkrétní Jednoznačný (ale nikoli nutně výslovný kromě zvláštních kategorií údajů) příklad: vědomé poskytnutí údaje se znalostí účelu Lze sbírat souhlas, pokud svědčí jiný právní titul? 19 20 10
Principy Korektnost, zákonnost a transparentnost Účelové omezení (vyjádření a legitimita účelu) Minimalizace údajů (nezbytnost) 5. Úprava politiky ochrany osobních údajů Přesnost (s přihlédnutím k účelu) Časové omezení (omezení uložení) Ochrana (integrita a důvěrnost) 22 11
Procesy a směrnice Minimalizace zpracování údajů nezpracováváme údaje, které nejsou nezbytné (souhlas subjektu nemůže překonat absenci legitimity!) Omezení přístupu pracovníků (need-to-know) 6. Úprava interních procesů, směrnic, vzorových formulářů Poskytování informací při sběru údajů Záměrná a standardní ochrana 24 12
Zvláštní procesy Přístup subjektu údajů (zdarma!) Oprava údajů Právo na námitku, právo být zapomenut Formuláře Srozumitelnost Odlišení souhlasu se zpracováním od jiných skutečností Odlišení jednotlivých účelů/zpracování v rámci souhlasu Přenositelnost údajů 25 26 13
Obecná reakce na porušení zabezpečení Mechanismus interního hlášení 7. Zavedení postupů pro případy úniku osobních údajů Posouzení rizik porušení Porušení, u kterého je nepravděpodobné riziko pro práva a svobody fyzických osob není nutno hlásit ÚOOÚ Porušení, u kterého je pravděpodobné vysoké riziko pro práva a svobody subjektu údajů je nutné hlásit i subjektu údajů, ledaže jsou přijata dostatečná předběžná (šifrování) nebo následná opatření Dokumentace Dokumentují se všechna porušení (i ta, která není nutno hlásit) 28 14
Oznamování Úřadu pro ochranu osobních údajů Popis incidentu Popis důsledků Popis opatření Kontaktní údaje DPO nebo jiné kontaktní osoby Lhůta 72 hodin od okamžiku, kdy se správce o úniku dozvěděl Oznamování subjektu údajů Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob Jednoduché a jasné jazykové prostředky Důsledky Přijatá opatření Kontaktní údaje DPO nebo jiné kontaktní osoby Veřejné oznámení, pokud by kontaktování subjektu vyžadovalo nepřiměřené úsilí 29 30 15
Úprava smluv s dodavateli Je dodavatel zpracovatelem? 8. Úprava smluv s dodavateli Smlouva o zpracování povinné náležitosti Zpracování na základě pokynů správce nebo podle požadavků právních předpisů Mlčenlivost oprávněných osob Zabezpečení osobních údajů Podmínky řetězení zpracovatelů Výmaz nebo vrácení při ukončení Umožnění auditu a poskytování informací pro doložení povinností správce Povinná písemná forma (vč. elektronické) 32 16
Požadavky na IT systém Mazání údajů (při uplynutí lhůty zpracování nebo z podnětu subjektu) Evidence zpracování a přístupů Zabezpečení údajů 9. IT systémy v souladu s nařízením GDPR Podle rizik Šifrování či pseudonymizace Ochrana integrity údajů Schopnost obnovy Pravidelné testování zabezpečení 34 17
Automatizované rozhodování Subjekt má právo nebýt předmětem automatizovaného rozhodnutí V případě rozhodnutí nezbytného k uzavření nebo plnění smlouvy (např. credit scoring) nebo se souhlasem subjektu údajů musí být zavedena ochranná opatření, zejm. právo požadovat lidský zásah, vyjádřit svůj názor a napadnout rozhodnutí Zásadně nesmějí být používány zvláštní kategorie údajů (ledaže subjekt výslovně souhlasí) Děkuji Vám za pozornost! Mgr. Jan Slanina, pověřenec ochrany údajů SOLUS, zájmové sdružení právnických osob Antala Staška 510/38 140 00 Praha 4 - Krč poverenec@solus.cz 35 36 18