Bratislava 4. 4. 2018 GDPR v systému KREDIT Ing. Jozef Kurica
legislativní rámec Nařízení evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
co je GDPR General Data Protection Regulation Obecné nařízení na ochranu osobních údajů Schváleno Evropským parlamentem 14. 4. 2016 Platnost nařízení od 25. 5. 2018 V SR nahrazuje zákon č. 122/2013 Z. z. na ochranu osobních údajů Forma nařízení platí pro celou EU, není potřebná národní implementace* Platí také pro všechny subjekty podnikající v EU a zpracovatele osobních údajů občanů EU Ochrana osobních údajů se týká žijících fyzických osob a OSVČ, netýká se právnických osob Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů. * Výjimkou je věková hranice u dětí, za které poskytují souhlas se zpracováním osobních údajů rodiče. V nařízení je hranice 16 let, jednotlivé státy si hranici mohou upravit (minimum je 13 let, zákon č. 18/2018 Z. z. o ochrane osobných údajov ji upřesňuje na 16 let)
co jsou osobní údaje Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů) Obecné údaje příjmení a jméno pohlaví věk a datum narození osobní stav národnost, občanství pracovní nebo osobní adresa pracovní nebo osobní email pracovní nebo osobní tel. číslo identifikační čísla vydaná státem IP adresa fotografie bankovní údaje informace o nákupech či užívaných službách Citlivé údaje vypovídající o rasovém, či etnickém původu vypovídající o náboženském či filozofickém vyznání vypovídající o politických názorech zdravotní stav sexuální orientace členství v odborech trestních deliktech či pravomocném odsouzení genetické údaje (DNA, RNA, krevní skupina, RH krve ) biometrické údaje (otisk prstu, podpis, snímek obličeje, snímek oční duhovky, hlas ) osobní údaje dětí Zpracování osobních údajů shromáždění, zaznamenání uspořádání strukturování uložení přizpůsobení, pozměnění vyhledání nahlédnutí použití zpřístupnění šíření seřazení či zkombinování omezení výmaz nebo zničení
zásady zpracování osobních údajů zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány přesnost - osobní údaje musí být přesné omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány integrita a důvěrnost - technické a organizační zabezpečení osobních údajů
právní důvody Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů: subjekt údajů udělil souhlas pro jeden či více konkrétních účelů zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů (týká se jen smluv s fyzickými osobami) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů
souhlas se zpracováním Souhlas (viz definice článek 4 odst. 1 bod 11 Obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Článek 7 Podmínky vyjádření souhlasu 1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. 2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná. 3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout. 4. Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.
práva subjektu údajů Jedním z největších dopadů nařízení je výrazné posílení práv občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na přístup, opravu, výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů a v neposlední řadě právo vznést námitku. právo subjektu údajů na přístup k osobním údajům právo subjektu údajů na opravu údajů právo subjektu údajů na výmaz údajů právo subjektu údajů na omezení zpracování právo subjektu údajů na přenositelnost údajů právo subjektu údajů vznést námitku
zabezpečení zpracování S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům provede správce a provozovatel technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, včetně: pseudonymizace a šifrování osobních údajů schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování schopnosti obnovit dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
sankce a pokuty V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační 20.000.000 nebo 4% z ročního obratu Výše pokuty závisí na řadě faktorů: povaha, závažnost a délka porušení s přihlédnutím k povaze, rozsahu či účelu zpracování úmysl nebo nedbalost počet dotčených subjektů a míra škody kroky podniknuté správcem či zpracovatelem ke zmírnění škody míra odpovědnosti s přihlédnutím na technické a organizační opatření předchozí porušení míra spolupráce s dozorovým úřadem za účelem nápravy kategorie osobních údajů dotčené porušením způsob, jakým se dozorový úřad dozvěděl o porušení
GDPR v systému KREDIT Nastavení systému v souvislosti s GDPR číselník GDPR dodatečné informace číselník Střediska a Skupiny konfigurace Změny v uživatelských oprávněních role Správce GDPR Právní důvody zpracování osobních údajů souhlas se zpracováním osobních údajů souhlas klienta souhlas ze zákona
GDPR v systému KREDIT Přehled souhlasů operace nad Seznamem souhlasů odvolání platnosti souhlasu tisk souhlasu se zpracováním osobních údajů Naplnění práv subjektu údajů odvolání souhlasu poskytnutí informací o zpracovávaných osobních údajích přenos osobních údajů anonymizace osobních údajů Přehled o zpracování osobních údajů protokol o zpracování osobních údajů protokol a aktivitě obsluhy
GDPR v systému KREDIT Dokument GDPR v systému KREDIT stručný popis nastavení systému v souvislosti s GDPR souhlas se zpracováním osobních údajů, správa souhlasů, odvolání souhlasu záznamy o zpracování osobních údajů
Bratislava 4. 4. 2017 děkuji za pozornost
výklad pojmů osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů) identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby zpracování je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či kombinování, omezení, výmaz nebo zničení správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce souhlasem subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů