GDPR rok poté Praktické zkušenosti

Podobné dokumenty
Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

Seznam vzorů, které naleznete v publikaci:

S GDPR nepřijde konec světa

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

JAK SE PŘIPRAVIT NA GDPR?

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

GDPR Aneb co se nedá stihnout včas

Zásady zpracování osobních údajů.

Očekávané dopady GDPR do pojišťovnictví

GDPR v sociálních službách

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Ochrana osobních údajů a AML obsah

Ochrana dat v pojišťovnictví

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Podmínky ochrany osobních údajů

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

GDPR evoluce v ochraně osobních údajů.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

GDPR Modelová Situace z pohledu IT

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

f) přímý marketing (informační a produktové kampaně) EŽP a.s.; g) ochrana majetku a osob.

1.3. Tyto podmínky jsou přístupné na webových stránkách Správce

INFORMACE O SPRÁVCI OSOBNÍCH ÚDAJŮ ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů nová legislativa

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Ochrana osobních údajů Implementace GDPR

GDPR RYCHLE A ZBĚSILE

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Zásady zpracování osobních údajů

Informace o zpracování osobních údajů v SECAR BOHEMIA, a. s.

ZÁSADY PRO NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

Povinnosti osob při zpracování osobních údajů

Převodní tabulka Zákon o ochraně osobní údajů Obecné nařízení o ochraně osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Podmínky ochrany osobních údajů

Politika ochrany osobních údajů

Zásady ochrany osobních údajů společnosti FG Financial Group a.s. poskytované v rámci tzv. informační povinnosti správce osobních údajů

jj ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (Penzion Solnice Znojmo)

Informace společnosti ohledně ochrany osobních údajů

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

GDPR - příklad z praxe

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ. I. Základní ustanovení

Informace o zpracování osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ PRAHA SOBĚ

Povinně zveřejňované informace Informační memorandum ke zpracování osobních údajů

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

GDPR SMĚRNICE PENSIONU JITKA V HARRACHOVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOSTŮ

Informace. o zpracování osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

ŠPATNÉ PŘÍKLADY IMPLEMENTACE GDPR

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů

PROHLÁŠENÍ SPOLEČNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Představení služeb Konica Minolta GDPR

Nakládání s osobními údaji

Vnitřní směrnice GDPR Výkon práv subjektů údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

Informace o zpracování osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Dopady GDPR a jejich vazby

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ OBCHODNÍCH PARTNERŮ

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Nová pravidla ochrany osobních údajů

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MT LEGAL

GDPR: Aktuálně a prakticky

fyzická osoba, podnikající fyzická osoba, statutární orgán právnické osoby

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (zpracování osobních údajů na základě souhlasu uděleného subjektem údajů):

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ FIRMOU PK62 a.s.

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

SEMINÁŘ: GDPR - NOVÉ NAŘÍZENÍ EU O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO SPORTOVNÍ SVAZY A FOTBALOVÉ KLUBY

ZÁSADY PRO NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

Informace o zpracování a ochraně osobních údajů

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

Směrnice o ochraně osobních údajů

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

OCHRANA OSOBNÍCH ÚDAJŮ

Transkript:

GDPR rok poté Praktické zkušenosti Osobní údaje 2019 - GDPR rok poté Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com

Aktuality z ČR

Adaptační legislativa účinnost 25. 5. 2018 13. 3. 2019 přijala PS zákon účinnost 24. 4. 2019 Nařízení 2016/679 Obecné nařízení o ochraně údajů (GDPR) návrh zákona o zpracování osobních údajů (sněmovní tisk č. 138) doprovodný zákon (sněmovní tisk č. 139) zákon o zpracování osobních údajů (č. 110/2019 Sb.) doprovodný zákon (č. 111/2019 Sb.)

Adaptační legislativa Minimum změn pro soukromou sféru (př. výzkum a statistika) Výjimky a vyloučení pokut pro veřejnou správu Upuštění od trestání orgánů veřejné moci ve smyslu čl. 83 odst. 7 GDPR včetně ÚSC Možnost odložení bez vyrozumění účelu lze dosáhnout / bylo dosaženo jinak Vyjasněny a rozšířeny kompetence úřadu Ochrana osobních údajů, právo na informace Účinnost od 24. 4. 2019

Přínos pro správce? Výjimky z povinností dle GDPR: z posuzování slučitelnosti účelů ( 6 ZZOÚ) např. zpracování údajů o transakcích (za účelem plnění smlouvy s klientem) v rámci zamezování legalizace výnosů z TČ (plnění právní povinnosti) chráněný zájem není nutné provést posouzení slučitelnosti z informační povinnosti vůči subjektům údajů ( 8) pro zpracování uložené zákonem postačí zveřejněním umožňujícím vzdálený přístup z posouzení vlivu DPIA ( 10) pokud je zákonem uložená povinnost provést zpracování

Adaptační legislativa a RČ Změna zákona o evidenci obyvatel a rodných číslech Nová pravidla pro nakládání s rodnými čísly ( 13c): Možnost (ne povinnost) nakládat s RČ, pokud to bude nezbytné pro vymáhání soukromoprávních nárokůnebo pro předcházení vzniku nesplácených pohledávek Podmíněno přijetím opatření k ochraně práv a svobod subjektů (technická a organizační opatření, ověřování totožnosti přistupujícího, záznamy o zpracování, pseudonymizace a zajištění důvěrnosti ) Zpracování na základě oprávněného zájmu vhodné provést balanční test a u nových zpracování rovněž posouzení vlivu na ochranu osobních údajů (DPIA)

Kontrolní činnost ÚOOÚ po GDPR Od 25. května 2018 Úřad: obdržel 433 oznámených porušení zabezpečení osobních údajů 23 reakcí ÚOOÚ na oznámení (kontrola, řízení, pokuta) provedl 31 kontrol skončil 37 řízení (z toho 17 bez obdržené stížnosti) v souvislosti s GDPR uložil 6 pravomocných pokut (v rozmezí 10.000-30.000 Kč) a 2 nepravomocné pokuty (50.000 a 250.000 Kč)

Stanoviska a doporučení ÚOOÚ Vyjádření ke kopiím veřejných rejstříků na internetu Veřejnost údajů neznamená možnost jejich dalšího bezmezného zpracování Povinnost mít titul (balanční test), informovat, vyřizovat námitky Prokazování totožnosti při výkonu práv přes OP / ověřený podpis nadměrné omezení Sdělení k vyžadování souhlasu Poskytnutí služby nesmí být vázáno na udělení souhlasu GDPR a přímý elektronický marketing FAQ k obchodním sděleními (viz dále) K povinnosti provádět posouzení vlivu Seznam zpracování, která ne/podléhají DPIA Metodika kodexy(dlouho nebudou), incidenty

FAQ k obchodním sdělením Obchodním sdělením i přání k svátku nebo žádost o ohodnocení produktu Zákazníkem není ten, kdo se jen např. přihlásí do soutěže Doporučení double opt-inu a povinnost opt-out při sběru Doporučení vést seznam robinsonů Obchodní sdělení označit v předmětu, ne obsahu zprávy Souhlas s marketingem 3. stran zvlášť, vč. jejich identifikace Uvéstv OS, v čí prospěchje zasíláno, nejen jehož jménem se tak děje, jak uvádí zákon Odklon od rozlišování předání dat jinému správci a marketingu ve prospěch třetích stran u vlastních klientů

Nová rozhodnutí & praxe ÚOOÚ 1 Udělování souhlasu k obchodním sdělením vč. sdělení třetích stran Zpracování osobních údajů klientů banky a (ne)zbytnost double opt-inu Nepřiměřený požadavek ověřeného podpisu při výkonu práv a omezení kanálů pro jejich uplatnění Pokud dříve komunikace s klientem přes email, nelze při uplatnění práva vyžadovat ověřený podpis. Běžné kanály lze využít vždy. Správce nemusí být odpovědný za jednání zpracovatele Nesystémové pochybení zaměstnance nemusí být pochybenímsprávce

Nová rozhodnutí & praxe ÚOOÚ 2 Povinnost správce k provedení balančního testu Povinnost přizpůsobit dobu archivace obsahu konkrétní nahrávky telefonických hovorů běžné hovory informativního charakteru vs. jednání o smlouvě / změně atp. Anonymizace osobních údajů při zadávání veřejných zakázek Nadbytečné zpracování biometrického podpisu na základě souhlasu

Biometrické podpisy 1 Kontrola na základě plánu kontrol u zprostředkovatele finančních služeb Použití DBP k potvrzení a uchování smluv, ověření a verifikace podpisu klienta ; ne k autentizaci, DBP spojen s dokumentem Reálně rovněž k případné následné ochraně práv v případě sporu Subjektu údajů dána možnost zda podepsat klasicky či pomocí DBP Při uzavření smlouvy souhlas nevyžadován data ihned zašifrována, správce nepovažoval za zpracování Pro zpracování dešifrovaných dat v rámci sporu titul čl. 9 písm. f) GDPR

Biometrické podpisy 2 Otázka, zda se jedná o zpracování (ot. šifrování) ANO Otázka titulu pro DBP výslovný souhlas? Odvolání není problém, nemění nic na platnosti smlouvy Ale neřešeno, co to znamenápro ochranupráv Zpracování DBP bylo ale ÚOOU vyhodnoceno jako nadbytečné už možnost podepsat klasicky indikuje nadbytečnost pro uzavření smlouvy stačí údaje vyžadované právní úpravou + klasický podpis nebo elektronický 2D ekvivalent při uzavření v listinné podobě se DBP také nevyžaduje od zavedení použití DBP nebylo nikdy potřeba dešifrovat (nebyl spor) Znamená tedy princip minimalizace konec DBP?

Aktuality z EU

Situace v EU po 25. květnu 1/3 Tisíce stížností, první pokuty Německo- 20.000 pro provozovatele sociální sítě za únik dat (e-mailů a hesel) 800.000 uživatelů včasná reakce jako důvod snížení pokuty Francie- 50.000.000 Googlu za podmiňování užívání služby souhlasem a za příliš vágní a nicneříkající informování subjektů údajů o kategoriích údajů a účelech zpracování Velká Británie 500.000 Facebooku v souvislosti s vytěžováním údajů uživatelů sociální sítě pro účely cílení v rámci volební kampaně (Cambridge Analytica) Polsko- 220.000 společnosti provádějící scoringklientů na základě zveřejněných dat za nedostatečné informování subjektů údajů podle čl. 14 GDPR. Info SÚ emailem, u ostatních(jen tel/adresa) na webu. Výklad nepřiměřeného úsilí. Dánsko- 160.000 taxi společnosti pro rozpor se zásadou minimalizace při zpracování osobních údajů zákazníku po dobu delší než nutnou Portugalsko- 400.000 za neoprávněné přistupování zaměstnanců nemocnice k údajům o pacientech (falešné profily)

Situace v EU po 25. květnu 2/3 Stížnostem se nevyhnuly ani další velké korporace Google, Facebook,Instagram a WhatsApp(Rakousko, Belgie, Německo a Francie) V rámci EU hlášeny desetitisíce incidentů Nejvíce v Nizozemsku, Německo a Velké Británii British Airways, Facebook, Marriott Porušení GDPR ze strany Microsoftu Německé úřady uložily do první poloviny ledna 41 pokut Nejvyšší pokuta 80.000 za zveřejnění citlivých (zdravotních) údajů Pokuty především za nedostatečnou smluvní úpravu se zpracovateli, nevyžádaný marketing, zveřejňování citlivých údajů, úniky OÚ, nedostatečná technická a organizační opatření

Situace v EU po 25. květnu 3/3 Zákaz zpracování jako sankce německý úřaduld zakázal zpracování v případě provozovatele online webových kamer Nová vodítka dozorových úřadů K politikám ochrany OÚ a k udělování pokut (Nizozemí) K minimalizaci a právu na výmaz (Dánsko) Evropský sbor pro ochranu osobních údajů vydávání pokynů a stanovisek, koordinace úřadů při přeshraničním uplatňování GDPR Brexit a jeho dopady omezení volného pohybu osobních údajů UK se stane třetí zemí nutné najít právní titul pro předání osobních údajů do UK -zejména standardní smluvní doložky, které současně tyto ukládají celou řadu povinností, či jiné vhodné záruky

Pokuta pro Google - Francie Vztahuje se k procesům při instalaci nového Android telefonu Uživatelé nebyli jasně informování o tom, jak Google s jejich údaji nakládá Informace roztříštěny do několika dokumentů, vzájemné odkazy, úmyslné vágní a zavádějící formulace Informace o personalizaci reklamy dostupné po 5-6 krocích (nedostupnost) Podmiňování užívání služby souhlasem Výzva k souhlasu automaticky při nastavování zařízení, info o horší zkušenosti Založení účtu a instalace zařízení by měly být oddělené Souhlas nekonkrétní a neinformovaný souhlas s personalizovanou reklamou platil pro řadu služeb, aniž by o tom Google informoval uživatele Komplikovaná(několika kroková) možnost odvolání souhlasu

Zákaz kombinování OÚ Facebook Německý antimonopolní úřad poprvé zahrnul soulad s GDPR do posouzení zneužití dominantního postavení (80-95% share) Konstatováno vykořisťovací zneužití VOP Součásti podmínek služby souhlas se sběrem a kombinováním uživatelských dat z jiných zdrojů Jiné zdroje jakékoliv stránky obsahující Like nebo Share tlačítko (i bez kliknutí) a stránky bez FB tlačítek využívající Facebook Analytics poskytují data Facebooku Výsledek? Zákaz bez souhlasu kombinovat údaje uživatelů z aplikací WhatsApp, Instagram a Facebook Zákaz bez souhlasu propojovat údaje shromážděné z webových stránektřetích stran 3 roky šetření, lhůta na přijetí opatření 4 měsíce / 12 měsíců na úpravu politik

Pokyny Sboru 2019 Ke kodexům chování a monitoringu (č. 1/2019) Vyjasnění obsahových náležitostí kodexů chování (dokumentace, přesné vymezení procesů zpracování, územní působnost, dohled atd.) Proces schvalování (národní x nadnárodní kodexy) u nadnárodních stanovisku Sboru a poté schválení Komisí! K přezkoumání a posuzování kritérií osvědčení Slouží jako checklist pro (i) dozorové orgány (i) správce a zpracovatele Ke zpracování založeném na plnění smlouvy v oblasti online služeb (č. 2/2019)

Pokyny Sboru k místní působnosti GDPR se uplatní při Zpracování v kontextu provozovny v EU Cílenína subjekty v EU (nabízení služeb/sledování) namísto prostředků zpracování Stále obecné pojmy (provozovna, zpracování v souvislosti s činností provozovny, cílení) Hlavní případy vyjasněny pokyny Zástupce správce/zpracovatele v Unii

Místní působnost příklady Příklady: zpracovatel v EU zpracovává pro správce mimo EU správce v EU zpracovává údaje zákazníků mimo EU zpracovatel mimo EU zpracovává pro správce v EU V praxi příklady komplexnější nutnost předchozího konkrétního posouzení dopadu GDPR

Pokyny Sboru k plnění smlouvy v e-commerce Podmínky aplikace čl. 6 odst. 1 písm. b) GDPR: lze použít již ve fázi předcházející uzavření smlouvy, detaily ale nejsou dodržení zásad omezení účelu a minimalizace zpracování -vždy nutné posoudit, zda může být služba poskytována bez daného zpracování pokud ano, musí se opírat o jiný právní základ nedochází ke zpracování citlivých OÚ podle čl. 9 smlouva může obsahovat podmínky zpracování pro účely reklamy, cookies atd., to ale neznamená, že pro ně lze využít tento právní titul důležitým hlediskem je legitimní očekávání subjektů údajů při podepisování smlouvy v případě ukončení smlouvy je správce povinen přestat zpracovávat OÚ

Co se chystá mimo GDPR Novela NOZ Rozšíření demonstrativního zakázaných ujednání ve spotřebitelské smlouvě (automatické obnovy s krátkou lhůtou k odmítnutí, některá postoupení, ) Smlouva je po telefonu uzavřena až po doručení nabídky spotřebiteli v textové podobě a jejím podepsáním nebo vyslovením souhlasu New Deal for Consumers Horní hranice pokuty za nekalé obchodní praktiky (minimálně 4 % zobratu) Právo spotřebitelů domáhat individuální náhrady při nekalých obchodních praktikách Povinnost informování spotřebitelů o personalizaci ceny na základě automatizovaného rozhodování

Dotazy? Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com Právnická firma roku v kategorii Právo informačních technologií Nepřetržitě od roku 2010 včetně ROWAN LEGAL +420 224 216 212 www.rowanlegal.com Band 1 v oblasti TMT dle Chambers& Partnersi dle Legal500 Band 2dleChambers pro Compliance

GDPR rok poté Kontrola ÚOOÚ a jak se na ní připravit Osobní údaje 2019 - GDPR rok poté Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com

Průběh kontroly ÚOOÚ 1. předběžné šetření zpravidla bez obeznámení dozorovaného subjektu, údaje z veřejně přístupných zdrojů 2. oznámení o kontrole požadována řada dokumentů, kontrola v horizontu 2-6 týdnů 3. šetření na místě široká oprávnění Úřadu -vstup na pozemky, do prostor, vyžádání si informací 4. protokol o kontrole výsledkem kontroly, možnost bránit se námitkami(zpravidla 15 dnů!) 5. správní řízení -řízení opřestupku (uložení sankce) nebo řízení o nápravných opatřeních

Oznámení o kontrole

Oznámení o kontrole

Kontrola ÚOOÚ, zpracovatelé a odpovědnost 1/2 Právní / procesní dokumentace Záznamy o zpracování správce / zpracovatel Informaceo zpracování pro subjekty / zpracovatele (pokud FO) Pravidla výběru zpracovatelů / obchodních partnerů Interní směrnice o nakládání s OÚ pro zaměstnance / partnery Plán kontrol zaměstnanců / zpracovatelů Zpracovatelská smlouva, dohody o mlčenlivosti Kopie ohlášení pověřence na ÚOOÚ Na vyžádání: řešení případných předchozích incidentů daného zpracovatele, přijatá nápravná opatření V budoucnu: provedená DPIA pro dané zpracování

Kontrola ÚOOÚ, zpracovatelé a odpovědnost 2/2 Technická dokumentace Bezpečnostní politika, př. aplikace s přístupem 3. strany (zpracovatele) zabezpečení od udělení hesla až po ukončení spolupráce a likvidace účtu vč. logování a dalších opatření dle 13 ZOOÚ vč. další dílčí dokumentace k aplikacím, systémům a technologiím (webové aplikace s vnějším přístupem, cloud, atd.) ISO certifikace vlastní / dodavatelů, další bezpečnostní dokumentce apod.! Připravenost umožnit přístup do systému! Připravenost předložit info o nakládání s papírovými dokumenty

13 odst. 4 zákona 101/2000 Sb. a)zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b)zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c)pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodubyly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům.

Zkušenosti z kontroly 1. Důležitá je připravenost- shromáždit podklady 2. Nepodceňovat technickou rovinu -opatření v systémech 3. Projít si podklady a systémy pohledem Úřadu 4. Opatření musí být dostatečně dokumentována Pokud zapojíte externisty, požadujte výstup ve formě použitelné pro splnění accountability

Dotazy? Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com Právnická firma roku v kategorii Právo informačních technologií Nepřetržitě od roku 2010 včetně ROWAN LEGAL +420 224 216 212 www.rowanlegal.com Band 1 v oblasti TMT dle Chambers& Partnersi dle Legal500 Band 2dleChambers pro Compliance

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář