Úřad pro ochranu osobních údajů v době účinnosti GDPR

Podobné dokumenty
Úřad pro ochranu osobních údajů v době účinnosti GDPR

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR evoluce v ochraně osobních údajů.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Nová pravidla ochrany osobních údajů

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

JAK SE PŘIPRAVIT NA GDPR?

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

OSOBNÍ ÚDAJE GDPR ROK POTÉ

1. ÚVODNÍ USTANOVENÍ. Politika zpracování a ochrany OÚ externích SÚ informační povinnost detailní 2018_05_22_OVANET_a.s. Strana č. 1 z počtu stran 18

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Farmakovigilance z pohledu ochrany osobních údajů

GDPR RYCHLE A ZBĚSILE

GDPR Obecný metodický pokyn pro školství

GDPR v sociálních službách

Zabezpečení osobních údajů

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů Implementace GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Ochrana osobních údajů nová legislativa

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zásady zpracování osobních údajů.

ALIS spol. s r.o., Česká Lípa říjen 2017

k postupu podávání a vyřizování stížností na údajné porušení druhé směrnice o platebních službách

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Související právní předpisy: Nařízení EMAS Vodní zákon

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

WEB portál justice ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

SPISOVÁ SLUŽBA A GDPR

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

Škola ochrany osobních údajů

POUČENÍ O PRÁVECH NA OCHRANU OSOBNÍCH ÚDAJŮ

Okresní soud v Ústí nad Labem

GDPR - příklad z praxe

Školení GDPR pro Cosmetics Atok International

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

Informace o zpracování osobních údajů

Obecné pokyny Spolupráce mezi orgány podle článků 17 a 23 nařízení (EU) č. 909/2014

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ KRAJSKÉHO SOUDU V ÚSTÍ NAD LABEM

GDPR adaptační zákon. JUDr. Kateřina Jamborová OBP MVČR

Kontrola Úřadu pro ochranu osobních údajů

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Obecné pokyny k nařízení o zneužívání trhu Osoby, jimž je sondování trhu určeno

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

Informace o zpracování osobních údajů

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

GDPR a veřejná správa

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Implementace GDPR. Prioritní okruhy

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI. Kdo je správce Vašich osobních údajů a jaké jsou jeho kontaktní údaje?

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

Zásady zpracování osobních údajů

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Zásady ochrany osobních údajů společnosti FG Financial Group a.s. poskytované v rámci tzv. informační povinnosti správce osobních údajů

Metodické nástroje pro přípravu na obecné nařízení o ochraně osobních údajů. Školení pro zástupce obcí duben 2018

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Informace o zpracování osobních údajů

Systémová analýza a opatření v rámci GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

Představení služeb Konica Minolta GDPR

Metodické doporučení MV a ÚOOÚ k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

SROVNÁNÍ PRÁVNÍ ÚPRAVY DLE ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ A NAŘÍZENÍ GDPR

Aktuálně o stavu příprav na účinnost GDPR v resortu Ministerstva vnitra. Krajská setkání Svazu měst a obcí ČR únor březen 2018

Seznam vzorů, které naleznete v publikaci:

Informování veřejnosti o zpracování osobních údajů

Sdělení ÚOOÚ k přístupu založenému na riziku

Informování veřejnosti o zpracování osobních údajů

Transkript:

Úřad pro ochranu osobních údajů v době účinnosti GDPR Seminář Ochrana osobních údajů ve firmách v době účinnosti GDPR 30. 10. 2018 Ostrava JUDr. Jiří Žůrek ředitel odboru konzultačních agend

GDPR ve zkratce I. GDPR je přímo účinné pro jeho adresáty ve všech členských státech Hlavními adresáty jsou správci, zpracovatelé, subjekty údajů a dozorové úřady Sjednocení evropského rámce ochrany osobních údajů při jejich zpracování k zamezení nedůvodného tříštění stanovených pravidel vnitrostátním zákonodárstvím Stejné základy jako měla směrnice 95/46/ES (resp. zákon č. 101/2000 Sb.), avšak doplněno o princip odpovědnosti správce a přístup založený na riziku a s ním spojené některé nové povinnosti Některé nové povinnosti zakládají i nové činnosti ÚOOÚ Zvýšená ochrana subjektu údajů Více sjednocený evropský dozor, nové role dozorových úřadů 2/202

GDPR ve zkratce II. GDPR je tzv. performance based regulation Nestanovuje všechny povinnosti plošně na všechny správce či zpracovatele, ale v závislosti na činnostech zpracování se na některé správce vztahují dodatečné povinnosti (např. mít jmenovaného pověřence, provést posouzení vlivu na ochranu osobních údajů) Každý správce či zpracovatel si tak musí stanovit, jak se jej GDPR dotkne Běžného živnostníka či výrobní společnosti se GDPR vesměs dotkne ve stejném rozsahu jako zákon č. 101/2000 Sb. Základy zejména zásady zpracování, zabezpečení osobních údajů musí plnit každý Vše se odvíjí od účelu zpracování 3/30

GDPR ve zkratce III. Možnost v některých ustanovení se odchýlit vnitrostátním zákonodárstvím Současně je nutno připravit právní řád české republiky na dopad GDPR, které nebylo přijímáno českým zákonodárcem a tudíž je nutné pro něj připravit půdu v ČR Též je nutné na zákonné bázi ustanovit dozorový úřad, jeho organizaci s ohledem na GDPR atd. Shora uvedené má být obsahem tzv. adaptačního zákona, který doposud nebyl přijat (sněmovní tisk č. 138) Absence adaptačního zákona se může dotýkat některých správců (spíše z řad veřejné správy) a výrazněji dozorového úřadu, tj. ÚOOÚ Nelze akceptovat obecné výmluvy, není adaptační zákon, nebudu se řídit GDPR 4/30

Úřad pro ochranu osobních údajů (ÚOOÚ) Každý členský stát má podle GDPR za povinnost ustanovit nezávislý dozorový úřad V České republice je a bude dozorový úřad ÚOOÚ Do přijetí adaptačního zákona je jeho ustavení a organizace upravena stále, v tomto rozsahu, platným a účinným zákonem č. 101/2000 Sb., o ochraně osobních údajů Od účinnosti adaptačního zákona bude ustavení a organizace ÚOOÚ upravena adaptačním zákonem 5

ÚOOÚ v době účinnosti GDPR GDPR ovlivnilo nejen správce a zpracovatele, ale i ÚOOÚ Co zůstalo stejné? Klasická role dozorového úřadu (stížnostní, kontrolní agenda) = monitorování a vymáhání uplatňování GDPR Co je pro ÚOOÚ nové? Data breaches (oznámení porušení zabezpečení oú) Předchozí konzultace Evidence oznámení o kontaktních údajích na pověřence Činnosti při přijímání kodexů chování Zrušení oznamovací povinnosti registr oznámení zanikl 6

Stížnostní agenda ÚOOÚ Co se děje s podnětem a jak na Vás může přijít kontrola?: Podněty/stížnosti ÚOOÚ se zabývá především stížnostmi subjektů údajů Pokud je podnět/stížnost vyhodnocen jako relevantní pro kontrolu (tj. jde o závažnou věc, nutnou ověřit i kontrolně) = kontrola V případě, že je (závažnější) porušení doloženo = zpravidla správní řízení V méně závažných případech porušení je přistoupeno k zaslání informace správci a očekává se, že správce drobné porušení sám napraví stovky takových upozornění ročně Pokud podnět/stížnost nejsou vyhodnoceny jako důvodné = sdělení stěžovateli s důvody odložení, včetně doporučeného postupu Kontrolní plán každoročně se vypracovává s vymezením oblasti či druhu správců či zpracovatelů, kteří se zkontrolují Medializovaný průšvih pokud se ÚOOÚ něco dozví např. z médií, není vyloučen pokyn předsedkyně k zahájení kontroly 7

Stížnostní agenda ÚOOÚ Jak na sebe neupozornit? Dodržovat GDPR Plnit práva subjektu údajů velmi často se stává, že správce nevyhoví či vůbec neodpoví subjektu údajů = zaslaná stížnost na ÚOOÚ Nejčastější předmět stížností: Kamerové systémy např. instalace bez vědomí zaměstnanců Výkon práv subjektu údajů - např. neuspokojení subjektu údajů v rámci přístupu k osobním údajům Telemarketing např. obtěžování s telemarketingovými hovory Zejména u některých velkých správců způsob získávání souhlasu např. agresivní formou 8

Porovnání doby před a po účinnosti GDPR Medializace tématu GDPR a ochrany osobních údajů vyústila ve zvýšený počet stížností 3500 Celkový počet stížností/podnětů za uvedené období 3000 2500 2954 2000 1500 1672 1000 500 0 1.1.-24.10.2017 1.1.-24.10.2018 9

Kontrolní činnost Samotný výkon kontroly se procesně řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád) Práva/povinnosti kontrolujícího Práva/povinnosti kontrolovaného Účelem kontroly je zjistit faktický stav, zahájení kontroly automaticky zjištění porušení či udělení pokuty Kontrolu lze vést v některých případech i korespondenčně Ideálně, pokud není shledáno žádné porušení 10

Kontrolní činnost Pokud shledáno porušení, je možné dle GDPR uplatnit některou (a to i více z nich) z nápravných pravomocí a to např.: Udělit správci napomenutí Nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv Nařídit správci nebo zpracovateli uvést zpracování do souladu s Obecným nařízením Nařídit správci, aby subjektu údajů oznámil případ porušení zabezpečení osobních údajů Uložit pokutu dle článku 83 vedle či namísto jiných nápravných opatření 11

Podmínky pro ukládání pokut podle GDPR Sankce mají především preventivní, odstrašující a donucující účinek Snahy některých zákonodárců zmírnit či úplně vyloučit pokuty pro veřejnou správu v adaptačním zákoně. Byl by takový krok správný? Správní pokuty se ukládají podle okolností každého případu Rozhodně není účelem stanovení vysokých sankcí likvidace organizací 12

Podmínky pro ukládání pokut podle GDPR Při rozhodování o tom zda uložit správní pokutu, a případně jakou výši, se zohledňují např. tyto okolnosti: Povaha, závažnost, délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů Kategorie dotčených osobních údajů Úmysl či nedbalost Kroky podniknuté správcem ke zmírnění škod Předchozí porušení správce Míra spolupráce s dozorovým úřadem Dodržování kodexu, osvědčení Okolnosti, jak se Úřad dozvěděl o porušení, zda mu jej správce oznámil 13

Podmínky pro ukládání pokut podle GDPR Za méně závažná porušení lze uložit správní pokutu až do výše 10 000 000 EUR, nebo jedná-li se o podnik až do výše 2% celkového ročního obratu Za závažnější porušení lze uložit správní pokutu do výše 20 000 000 EUR nebo do 4% celosvětového ročního obratu 14

Podmínky pro ukládání pokut podle GDPR Byť výše pokut vypadá hrozivě, je důležité zmínit, že pokud správce bude přistupovat ke zpracování osobních údajů svědomitě, takto vysoké sankce mu s největší pravděpodobností nehrozí Nikoli za každé porušení musí být udělena pokuta V úvahu přichází i upozornění či napomenutí nebo jiné nápravné opatření 15

Absence adaptačního zákona a kontrolní/sankční činnost Důsledky jsou jak organizační, tak i funkční, do určité míry i ovlivňující represivní část činnosti ÚOOÚ Kontroluje se dodržování povinností jak dle GDPR, tak i jednání před účinnosti GDPR podle zákona č. 101/2000 Sb. Udělování pokut není na pořadu dne (není však vyloučeno), pokutují se především porušení, která se stala ještě za plné účinnosti zákona č. 101/2000 Sb. (tedy za porušení do 24. 5. 2018 včetně). Do určité míry lze tento stav právního vakua využít jako druhou šanci uvést zpracování do souladu 16

Nové agendy ÚOOÚ v souvislosti s GDPR 17

Ohlašování porušení zabezpečení osobních údajů Nová povinnost pro správce (viz článek 31 GDPR) Jde o povinnost vztahující se eventuálně na všechny správce Předmětem povinnosti je ohlásit dozorovému úřadu rizikový případ porušení zabezpečení osobních údajů pro práva a svobody fyzických osob Informace k této povinnosti viz www.uoou.cz + pokyny Sboru Z oznámení musí vyplývat určité skutečnosti, které GDPR stanovuje Důležité body popis opatření, které správce přijal nebo navrhl s cílem vyřešit dané porušení zabezpečení osobních údajů + pravděpodobné důsledky pro subjekty údajů Role ÚOOÚ = vyhodnocení přijatých ohlášení Není účelem každé přijaté ohlášení podrobovat kontrole či sankci Evropská spolupráce u přeshraničních porušení zabezpečení 18

Statistika data breaches Velká část se týká hackerských útoků, typu ransomware či zapomenutých zařízení Zálohování, šifrování často zmírní možná rizika = tj. není mnohdy ani nutné oznamovat Od počátku této povinnosti obdrženo 170 ohlášení, z toho jich 15 bylo dále řešeno (včetně spolupráce s ostatními dozorovými úřady) Porušení zabezpečení se děje jak v soukromí tak i veřejné sféře Mnohdy oznamovány i banality či strohé oznámení, bez všech povinných náležitostí (zejména chybí popis opatření či pravděpodobné důsledky) 19

Předchozí konzultace Institucionalizovaná konzultace Pouze v případech, kdy z posouzení vlivu, které správce provedl, přetrvává i přes přijetí opatření ke zmírnění rizika, vysoké riziko pro práva a svobody subjektu údajů Nelze zaměňovat s konzultační či osvětovou agendou ÚOOÚ K dnešnímu dni ještě předchozí konzultace ve smyslu čl. 36 GDPR nevedena 20

Evidence kontaktních údajů na pověřence Pouze evidenční charakter, nikoli registrační Spíše než o evidenci, jde o příjem ohlášení ze strany správců a zpracovatelů Nejde o evidenci pověřenců jako takových Nezveřejňuje se Účelem je usnadnit kontakt dozorového úřadu se správcem či zpracovatelem Cca 16 800 správců a zpracovatelů sdělilo kontaktní údaje na pověřence Jsou zastoupeni jak interní, vlastní pověřenci, tak i externí Pozor zejména u advokátů či jiných osob na možný střet zájmů 21

Činnost u kodexů chování Kodexy chování jsou institut výrazně spojený s principem odpovědnosti správce Jejich vznik je předpokládán na sektorové úrovni Přihlášením ke kodexu správce a priori deklaruje soulad zpracování Není povinností se hlásit ke kodexu, ani jej vypracovat Aby měl kodex váhu, musí jej schválit autorita = dozorový úřad S ÚOOÚ lze úvahy o kodexu konzultovat, včetně již probíhajících prací Monitorování souladu zpracování s kodexem ÚOOÚ v rámci svých úkolů a pravomocí ÚOOÚ akreditovaný subjekt k monitorování kodexu chování 22

Zrušená oznamovací povinnost V současném světě neefektivní povinnost, pozbyla účelu Správci již neoznamují zpracování dozorovému úřadu Již není aktivní registrační formulář Zaregistrovaná oznámení nadále dostupná, nicméně vypovídající hodnota s časem klesá Úvahy, že po přijetí adaptačního zákona bude registr dostupný cca rok a půl Náhrada: záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů 23

Pár slov ke konzultační činnosti 24

Konzultační činnost Medializace tématu GDPR a ochrany osobních údajů vyústila ve zvýšený počet dotazů 4000 Celkový počet dotazů za uvedené období 3500 3665 3000 2500 2000 1500 1848 1000 500 0 1.1.-24.10.2017 1.1.-24.10.2018 25

Konzultační činnost Přímá konzultační činnost na běžné dotazy je v GDPR upozaděna (ve srovnání se zákonem č. 101/2000 Sb.) náhrada byla poskytnuta ve formě velkého množství informací zveřejněných na www.uoou.cz. Mimo jiné i podstatně přebudována rubrika často kladených otázek Zřízena telefonní informační linka pro správce Účast zástupců i na seminářích v regionech Prvotní roli pro konzultace správce či zpracovatele přejímá pověřenec (tam kde byl jmenován) Nelze opominout ani roli gesčních ministerstev při tvorbě metodik či různých profesních sdružení, komor atd. Konzultační role ÚOOÚ tak spočívá zejména u předchozích konzultací nebo u jiných složitějších záležitostí 26

27

Jak konzultovat? Pokud nenaleznete odpověď na stránkách ÚOOÚ či případně na stránkách gesčního ministerstva/sdružení/asociace tak zaslaný dotaz by měl splňovat určitá kritéria Měl by obsahovat popis dotazu/věci Vaší analýzu problému, jak byste jej řešili, jak jej vidíte Návrh řešení Shora uvedené výrazně zvýší šance, že bude dotaz odpovězen v přiměřené době mezi záplavou dalších dotazů (malá připomínka: kapacity jsou primárně určeny na stížnosti jelikož ÚOOÚ = dozorový úřad). 28

Děkuji Vám za pozornost

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář