SKUPINA 1 Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů
Předběžný časový rozvrh pracovních skupin 13 14:30 h 1. blok: představení tématu a diskuze Představení vedoucího pracovní skupiny, časového harmonogramu a způsobu organizace skupiny (rozdělení do menších skupin) (5 min) Vysvětlení metody GROW pro práci skupiny a prezentaci výstupů (5 min) Úvodní prezentace vedoucího pracovní skupiny (30 min) Představení diskuzních témat, odsouhlasení cíle pracovní skupiny (5 min) Vlastní diskuze, výměna zkušeností, studium doplňkových materiálů (45 min) 14:30 15 h přestávka 15 16 h 2. blok: výstupy Diskuze nad výsledkem pracovní skupiny, představení závěrů v rámci skupiny (30 min) Příprava 5 10 min prezentace v rámci metody GROW (max. 5 slidů) (30 min)
Metoda GROW 1. G Goal setting stanovení cíle pracovní skupiny, potvrzení tohoto cíle s účastníky 2. R Reality prověření reality, skutečného stavu věcí současná situace v českých společnostech / veřejném sektoru daná zkušenostmi a obecným povědomím jednotlivých účastníků, dostupné nástroje, překážky, rozdíl mezi cílem a realitou 3. O Options všechny možnosti, alternativní strategie nebo postup činností k dosažení cíle, možné způsoby, jak vyřešit překážky, které na cestě k tomuto cíli stojí 4. W What Will You Do definice toho, co budeme dělat, co jsme schopni změnit, plán konkrétních kroků
Obecné nařízení o ochraně osobních údajů (GDPR) Nahrazuje zastaralou směrnici Reflektuje vývoj technologií i práva automatizace procesů, masovost dat soudní rozhodnutí zakotvující nová práva Odstraněny šedé zóny Základní pojmy a principy se nemění, ale přibývají nové Mnoho nových povinnosti pro správce a zpracovatele Nová práva subjektů údajů
Princip odpovědnosti (accountability) Správce odpovídá za dodržení a musí být schopen toto dodržení Správce musí zavést vhodná technická a organizační opatření a být schopen prokázat soulad s nařízením Přezkum a aktualizace Povinnost vést záznamy o zpracovávání OÚ Podrobně stanovena podoba záznamů Na vyzvání dozorového úřadu předložit všechny záznamy Kodexy chování, certifikace, standardní smluvní doložky
Souhlas se zpracováním osobních údajů Svobodný, výslovný, vědomý a jednoznačný projev vůle, daný prostřednictvím prohlášení, nebo jasnou souhlasnou akcí (affirmative action) Nestačí nečinnost Zákaz take it, or leave it Jasnost a srozumitelnost, zákaz ukrývat v dokumentech (obchodních podmínkách) Neměl by být primárním titulem Rozšířená informační povinnost, lhůty
Nová práva subjektu údajů Právo být zapomenut (právo na výmaz osobních údajů) Typicky další nepotřebnost pro účel, odvolání souhlasu nebo Námitky proti zpracování osobních údajů Existují výjimky (specifické) Právo na portabilitu Osobní údaje poskytl subjekt sám Údaje ve strukturovaném a běžně používaném elektronickém formátu Správci musí aktivně napomáhat uplatnění práv, zavést mechanismy k uplatňování (u el. zpracování elektronicky)
Bezpečnostní opatření Záměrná ochrana osobních údajů by ( již od návrhu ) Opatření již při volbě prostředků zpracování Standardní ochrana osobních údajů ( standardní nastavení ochrany ) Náležitá technická a organizační opatření Mimo jiné: proces pravidelného testování, posuzování a hodnocení účinnosti prostředků pro zajištění bezpečnosti
Hlášení incidentů Dozorovému úřadu Jakékoliv bezpečností narušení osobních údajů Správce musí informovat bez zbytečného odkladu, nejpozději do 72 h Dokumentace narušení Subjektům osobních údajů V případě vysokého rizika právům a svobodám jednotlivce V některých případech není potřeba Podobná povinnost dle ZKB, eidas, PSD2
Posuzování dopadů na ochranu údajů a pověřenec Povinnost oznamování dozorovému úřadu zrušena Posouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivce Předchozí konzultace s dozorovým úřadem Pověřenec pro ochranu osobních údajů U vybraných správců a zpracovatelů Expertní znalost práva a praxe ochrany OÚ Postavení v organizaci Úkoly
Dohled a sankce Velké množství pravomocí dozorových úřadů One-stop-shop Vedoucí dozorový úřad dle hlavní provozovny V urgentních případech zasáhne místní úřad Výrazné zpřísnění sankcí až do 20 mil. EUR nebo 4 % celosvětového ročního obratu
Shrnutí změn Přísnější požadavky na souhlas Nová práva subjektu údajů Bezpečnost od počátku, hlášení incidentů Posouzení vlivu, zodpovědná osoba Princip odpovědnosti a prokazování souladu Citelné sankce při nedodržení
Audit ochrany osobních údajů Předmět a rozsah auditu, cíle Metodika (konzultace, workshopy, analýza dokumentů, audit systémů) Nástroje (checklisty, online nástroje) Dostupné podklady Jak jsou zmapována zpracování v organizaci Jak je zpracování v organizaci upraveno Dotčení zaměstnanci, motivace
A. Úvodní schůzka a upřesnění rozsahu a předmětu auditu B. Shromáždění a posouzení dokumentace C. Workshopy a konzultace k podrobnostem zpracování D. Analýza a vypracování auditní zprávy
Cíle? Praxe nebo dokumenty? Jak máte zmapováno? Řešit i online marketing? Mapa procesů? Vnitřní předpisy? Smlouvy? Klientské dokumenty? Jaké? Pouze vzory? S kým mluvit? Počet osob, schůzek konzultací? Pevná agenda? Volná diskuze? Revize draftu? Revize manažerského shrnutí? Prezentace? Komu? Follow-up? Jaký?
A. Úvodní schůzka B. Shromáždění a posouzení dokumentace C. Doplnění dokumentace a dodatečné posouzení D. Úvodní workshopy a upřesnění rozsahu zpracování E. Cílené workshopy pro jednotlivé oblasti zpracování F. Individuální konzultace G. Analýza a vypracování předběžné auditní zprávy H. Prezentace předběžné auditní zprávy I. Vypracování finální auditní zprávy J. Prezentace finální auditní zprávy K. Follow-up
Děkuji za pozornost Právnická firma roku v kategorii Právo informačních technologií V letech 2010, 2011, 2012, 2013, 2014 a 2015 Band 1 v oblasti TMT pro Českou republiku dle Chambers & Partners Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL tomisek@rowanlegal.com +420 732 119 734 Ochrana osobních údajů ve světle nadcházejících změn (EPRAVO.CZ) 1. listopadu 2016 Clarion Congress Hotel Praha