Implementace GDPR Prioritní okruhy
Časový harmonogram implementace 2017 2018 1 2 3 4 5 25.5. GDPR vstupuje v platnost 1. Souhlasy 2. Informační povinnost 3. Vyřizování žádostí subjektů údajů 4. Hlášení bezpečnostních incidentů PRIORITA 5. Seznam zpracovatelů OÚ, revize smluv, kontroly 6. Revize interních předpisů 7. Vzdělávání, školení 8. Bezpečnost 9. Posouzení rizik, ev. DPIA analýza 10. Držení dat a výmaz
9. Posouzení rizik, DPIA analýza Vytvoření katalogu osobních údajů = vyplňování tabulek Základem pro: a) Analýzu rizik a porovnání souladu s GDPR b) Záznamy o činnostech, které vede správce a zpracovatel dle čl. 30 GDPR a překládá na vyžádání ÚOOÚ
1. Souhlasy (Čl. 6 9 GDPR) Revize dosavadních souhlasů -2 případy : Zákon č. 101/2000 Sb. PŮVODNÍ SOUHLAS GDPR NOVĚ PLNĚNÍ SMLOUVY, OPRÁVNĚNÝ ZÁJEM SPRÁVCE, SPLNĚNÍ PRÁVNÍ POVINNOSTI, VEŘEJNÝ ZÁJEM SOUHLAS DLE GDPR I NADÁLE
1. Souhlasy (Čl. 6 9 GDPR) Je třeba upravit souhlasy : BUDOUCÍCH STÁVAJÍCÍCH MINULÝCH ZAMĚSTNANCŮ, KLIENTŮ, SMLUVNÍCH PARTNERŮ JINÝCH SUBJEKTŮ, POKUD JEJICH ÚDAJE BUDOU ZPRACOVÁVÁNY I PO 25.5.2018 Je třeba stejně jako nyní doložit existenci poskytnutí souhlasu!!!
2. Informační povinnost (Čl. 13, 14 GDPR) Poskytnutí informací subjektům os. údajů o zpracování jejich OÚ Odlišnosti od právní úpravy dle zák. č. 101/2000 Sb. (obsahové i formální, zejm. stručnost, srozumitelnost, transparentnost atd.) Doporučeno vytvořit nový návrh informační povinnosti
2. Informační povinnost (Čl. 13, 14 GDPR) V souvislosti s právními důvody zpracování (čl. 6 GDPR) se týká: - Souhlasu, ale též ostatních práv. důvodů zpracování OÚ níže: - Oprávněného zájmu správce, - Plnění sml. pov., - Splnění právní povinnosti, - Veřejného zájmu
2. Informační povinnost návaznost na právní důvody kon č. 101/2000 Sb. GDPR Povinnost poskytnout informace ŮVODNÍ SOUHLAS NOVĚ PLNĚNÍ SMLOUVY, OPRÁVNĚNÝ ZÁJEM SPRÁVCE, SPLNĚNÍ PRÁVNÍ POVINNOSTI, VEŘEJNÝ ZÁJEM INFORMAČNÍ POVINNOST NOVÝ SOUHLAS DLE GDPR I NADÁLE
2. Informační povinnost (Čl. 13, 14 GDPR) GDPR rozlišuje, od koho jsou OÚ získány, tj. zda přímo od subjektu údajů nebo někoho jiného (též důležité pro okamžik poskytnutí informací, tyto informace nutno uvést i v tabulkách) Pouze informace správce směrem k subjektu údajů bez nutnosti interakce subjektu údajů (např. podpisu) Nutno vyřešit formu (např. pevná součást sml. dokumentace, dopisů, informace na webu, pop - up okno apod.)
2. Informační povinnost (Čl. 13, 14 GDPR) Je třeba poskytnout informace o zpracování OÚ (splnit informační povinnost vůči): BUDOUCÍM STÁVAJÍCÍM MINULÝM ZAMĚSTNANCŮM, KLIENTŮM, SMLUVNÍ PARTNERŮM, JINÝM SUBJEKTŮM, POKUD JEJICH ÚDAJE BUDOU ZPRACOVÁVÁNY I PO 25.5.2018 I zde je vhodné doložit, že tato povinnost byla splněna!!!
2.Informační povinnost Takto ne
3. Vyřizování žádostí subjektů (Čl. 12, 15 22 GDPR) Je třeba: - Vytvořit metodiku postupu, pokud již neexistuje, - Zakomponovat do interního předpisu, - Účast pověřence Jedná se o práva subjektů údajů (nové pouze právo na přenositelnost údajů a právo nebýt předmětem aut. rozhodování, včetně profilování) Lhůty pro vyřízení: - Většinou bez zbytečného odkladu, - Jinak do 30 dnů, - Možnost prodloužit o další měsíce v dův. případech Opět stručnost, srozumitelnost, transparentnost atd.
4. Hlášení bezpečnostních incidentů (Čl. 33 a 34 GDPR) Jakékoliv porušení zabezpečení ochrany osobních údajů dle GDPR Je třeba: - Zjistit, jak funguje nyní??? - Vypracovat metodiku, - Zakomponovat do interního předpisu, - Účast pověřence Lhůta 72 hodin, od okamžiku kdy se správce dozvěděl o porušení (v případě zpoždění nutno uvést důvody, nebo lze, pokud to není rizikem pro práva a svobody subjektů údajů; zpracovatel oznamuje správci bez zbytečného odkladu) Je nutné vést záznamy o všech incidentech!!! (ohlašuje správce, a to ÚOOÚ, v některých případech i přímo subjektu údajů, jde-li o vysoké riziko)
5. Zpracovatelé OÚ (Čl. 28 a 29 GDPR) Revize smluv se zpracovateli Nutno vytvořit nové smlouvy o zpracování OÚ se zpracovateli dle GDPR (forma přílohy ke smlouvám, budoucím i stávajícím) Nutno vést seznamy zpracovatelů, správce kontroluje, monitoruje jimi prováděné zpracování OÚ pro správce
5. Zpracovatelé OÚ (Čl. 28 a 29 GDPR) Problematika SSČ v roli správce x zpracovatele - odpovědnost: Správce vždy odpovídá za zpracování OÚ prováděné zpracovatelem!!! Zpracovatel odpovídá pouze za porušení svých povinností zpracovatele dle GDPR, nebo pokud poruší nebo překročí pokyny správce!!! Za vše ostatní odpovídá správce!
Odpovědnost správce, zpracovatele za soulad zpracování OÚ s právním předpisem Zákon č. 101/2000 Sb. GDPR SPRÁVCE ZPRACOVATEL SPRÁVCE ZPRACOVATEL POVĚŘENEC
DPR kde rychle najdu informace? Google: eurlex GDPR ÚOOÚ; www.uoou.cz; sekce GDPR Sagit, ÚZ Ochrana osobních údajů GDPR/Obecné nařízení o ochraně osobních údajů praktický komentář; Wolters Kluwer (žlutý)
Děkuji za pozornost!