Úřad pro ochranu osobních údajů v době účinnosti GDPR

Podobné dokumenty
Úřad pro ochranu osobních údajů v době účinnosti GDPR

Úřad pro ochranu osobních údajů v době účinnosti GDPR

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR evoluce v ochraně osobních údajů.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Nová pravidla ochrany osobních údajů

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

GDPR Obecný metodický pokyn pro školství

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Metodické doporučení MV k zajištění činnosti pověřence pro ochranu osobních údajů

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

OSOBNÍ ÚDAJE GDPR ROK POTÉ

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

GDPR v sociálních službách

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

GDPR RYCHLE A ZBĚSILE

ALIS spol. s r.o., Česká Lípa říjen 2017

JAK SE PŘIPRAVIT NA GDPR?

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Farmakovigilance z pohledu ochrany osobních údajů

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Škola ochrany osobních údajů

Metodické nástroje pro přípravu na obecné nařízení o ochraně osobních údajů. Školení pro zástupce obcí duben 2018

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů nová legislativa

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

Zabezpečení osobních údajů

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

Školení GDPR pro Cosmetics Atok International

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

POUČENÍ O PRÁVECH NA OCHRANU OSOBNÍCH ÚDAJŮ

Související právní předpisy: Nařízení EMAS Vodní zákon

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

WEB portál justice ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

Zásady zpracování osobních údajů.

GDPR a veřejná správa

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

Převodní tabulka Zákon o ochraně osobní údajů Obecné nařízení o ochraně osobních údajů

GDPR - příklad z praxe

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

Okresní soud v Ústí nad Labem

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

SPISOVÁ SLUŽBA A GDPR

Implementace GDPR. Prioritní okruhy

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Ochrana osobních údajů Implementace GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ KRAJSKÉHO SOUDU V ÚSTÍ NAD LABEM

Sdělení ÚOOÚ k přístupu založenému na riziku

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

Informatický pondělek FIT ČVUT. Jak pracovat s osobními daty od roku 2018?

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

k postupu podávání a vyřizování stížností na údajné porušení druhé směrnice o platebních službách

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

ČESKÁ ASOCIACE STOLNÍHO TENISU

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

Aktuálně o stavu příprav na účinnost GDPR v resortu Ministerstva vnitra. Krajská setkání Svazu měst a obcí ČR únor březen 2018

Systémová analýza a opatření v rámci GDPR

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

Informování veřejnosti o zpracování osobních údajů

Obecné pokyny k nařízení o zneužívání trhu Osoby, jimž je sondování trhu určeno

Zásady zpracování a ochrany osobních údajů

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Informování veřejnosti o zpracování osobních údajů

Informace o zpracování osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI

ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ V JUSTICI. Kdo je správce Vašich osobních údajů a jaké jsou jeho kontaktní údaje?

PŘÍLOHY NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

Transkript:

Úřad pro ochranu osobních údajů v době účinnosti GDPR Seminář Ochrana osobních údajů ve firmách v době účinnosti GDPR 12. 9. 2018 Brno JUDr. Jiří Žůrek ředitel odboru konzultačních agend

GDPR ve zkratce GDPR je přímo účinné pro jeho adresáty ve všech členských státech Hlavními adresáty jsou správci, zpracovatelé, subjekty údajů a dozorové úřady Sjednocení evropského rámce ochrany osobních údajů při jejich zpracování, k zamezení nedůvodného tříštění stanovených pravidel vnitrostátním zákonodárstvím Stejné základy jako měla směrnice 95/46/ES (resp. zákon č. 101/2000 Sb.), avšak doplněno o princip odpovědnosti správce a přístup založený na riziku a s ním spojené některé nové povinnosti Některé nové povinnosti zakládají i nové činnosti ÚOOÚ Zvýšená ochrana subjektu údajů Více sjednocený evropský dozor, nové role dozorových úřadů 2

GDPR ve zkratce Možnost v některých ustanovení se odchýlit vnitrostátním zákonodárstvím Současně je nutno připravit právní řád české republiky na dopad GDPR, které nebylo přijímáno českým zákonodárcem a tudíž je nutné pro něj připravit půdu v ČR Též je nutné na zákonné bázi ustanovit dozorový úřad, jeho organizaci s ohledem na GDPR atd. Shora uvedené má být obsahem tzv. adaptačního zákona, který doposud nebyl přijat (sněmovní tisk č. 138) Absence adaptačního zákona se může dotýkat některých správců (spíše z řad veřejné správy) a výrazněji dozorového úřadu, tj. ÚOOÚ Nelze akceptovat obecné výmluvy, není adaptační zákon, nebudu se řídit GDPR 3

Úřad pro ochranu osobních údajů Každý členský stát má podle GDPR za povinnost ustanovit nezávislý dozorový úřad V České republice je a bude dozorový úřad ÚOOÚ Do přijetí adaptačního zákona je jeho ustavení a organizace upravena stále, v tomto rozsahu, platným a účinným zákonem č. 101/2000 Sb., o ochraně osobních údajů 4

Úřad pro ochranu osobních údajů v době účinnosti GDPR GDPR ovlivnilo nejen správce a zpracovatele, ale i ÚOOÚ Co zůstává stejné? Klasická role dozorového úřadu (stížnostní, kontrolní agenda) Co je pro ÚOOÚ nové? Data breaches (oznámení porušení zabezpečení) Předchozí konzultace Evidence oznámení o kontaktních údajích na pověřence Činnosti při přijímání kodexů chování Zrušení oznamovací povinnosti registr oznámení zanikl 5

Stížnostní agenda Úřadu Co se děje s podnětem a jak na Vás může přijít kontrola?: Podněty/stížnosti pokud je vyhodnocen jako relevantní pro kontrolu (tj. jde o závažnou věc, nutnou ověřit i kontrolně) = kontrola ÚOOÚ se zabývá především stížnostmi subjektu údajů V případě, že je porušení doloženo = zpravidla správní řízení Kontrolní plán každoročně se vypracovává s vymezením oblasti či druhu správců či zpracovatelů, kteří se zkontrolují Medializovaný průšvih pokud se ÚOOÚ něco dozví např. z médií, není vyloučen pokyn předsedkyně k zahájení kontroly V méně závažných případech porušení je přistoupeno k zaslání informace správci a očekává se, že správce drobné porušení sám napraví stovky takových upozornění ročně 6

Porovnání doby před a po účinnosti GDPR V období před účinností GDPR extrémní nápor dotazů 2500 Srovnání počtu dotazů od počátku roku do účinnosti GDPR a stejného období v předchozím roce 2000 [HODNOTA] 1500 1000 500 900 0 1.1. - 24.5.2017 1.1. - 24.5.2018 7

Porovnání doby před a po účinnosti GDPR Medializace tématu GDPR a ochrany osobních údajů vyústila i ve zvýšený počet stížností před účinností GDPR 1200 Srovnání počtu stížností od počátku roku do účinnosti GDPR a stejného období v předchozím roce 1000 [HODNOTA] 800 600 780 400 200 0 1.1. - 24.5.2017 1.1. - 24.5.2018 8

Porovnání doby před a po účinnosti GDPR První 3 měsíce účinnosti GDPR = též zvýšený zájem 1200 1000 Srovnání počtu dotazů za 3 měsíce od účinnosti GDPR a stejného období v předchozím roce [HODNOTA] 800 600 400 531 200 0 25.5. - 25. 8. 2017 25.5. - 25. 8. 2018 9

Porovnání doby před a po účinnosti GDPR Rapidní nárůst stížností v prvních 3 měsících účinnosti GDPR 1400 1200 1000 Srovnání počtu stížností za 3 měsíce od účinnosti GDPR a stejného období v předchozím roce [HODNOTA] 800 600 400 517 200 0 25.5. - 25. 8. 2017 25.5. - 25. 8. 2018 10

Porovnání doby před a po účinnosti GDPR Celkové srovnání dotazů od začátku roku do 25.8 3500 3000 [HODNOTA] 2500 2000 1500 1000 1431 500 0 1.1.-25.8.2017 1.1.-25.8.2018 11

Porovnání doby před a po účinnosti GDPR Celkové srovnání stížností/podnětů od počátku roku 2500 2000 [HODNOTA] 1500 1000 1297 500 0 1.1.-25.8.2017 1.1.-25.8.2018 12

Kontrolní činnost Samotný výkon kontroly se řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád) Upravuje především procesní hledisko prováděné kontroly Práva/povinnosti kontrolujícího Práva/povinnosti kontrolovaného Účelem kontroly je zjistit faktický stav, zahájení kontroly zjištění porušení či udělení pokuty Kontrolu lze vést v některých případech i korespondenčně 13

Kontrolní činnost Účel kontroly Kontrolní orgán při kontrole zjišťuje, jak kontrolovaná osoba plní povinnosti, které jí vyplývají z jiných právních předpisů nebo které jí byly uloženy na základě těchto předpisů. Účelem kontroly je zjistit faktický stav, zahájení kontroly zjištění porušení či udělení pokuty Kontrolu lze vést v některých případech i korespondenčně Ideálně, pokud kontrolou neshledáno žádné porušení. 14

Kontrolní činnost Pokud shledáno porušení, je možné dle GDPR uplatnit některou z nápravných pravomocí a to např.: Udělit správci napomenutí Nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv Nařídit správci nebo zpracovateli uvést zpracování do souladu s Obecným nařízením Nařídit správci, aby subjektu údajů oznámil případ porušení zabezpečení osobních údajů Uložit pokutu dle článku 83 vedle či namísto jiných nápravných opatření (pozn.: jde o výňatek, nikoli o kompletní výčet) 15

Podmínky pro ukládání pokut dle GDPR Sankce mají především preventivní, odstrašující a donucující účinek Správní pokuty se ukládají podle okolností každého případu Rozhodně není účelem stanovení vysokých sankcí likvidace organizací 16

Podmínky pro ukládání pokut Při rozhodování o tom zda uložit správní pokutu, a případně jakou výši, se zohledňují např. tyto okolnosti: Povaha, závažnost, délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů Kategorie dotčených osobních údajů Úmysl či nedbalost Kroky podniknuté správcem ke zmírnění škod Předchozí porušení správce Míra spolupráce s dozorovým úřadem Dodržování kodexu, osvědčení Okolnosti, jak se Úřad dozvěděl o porušení, zda mu jej správce oznámil 17

Podmínky pro ukládání pokut Za méně závažná porušení lze uložit správní pokutu až do výše 10 000 000 EUR, nebo jedná-li se o podnik až do výše 2% celkového ročního obratu Za závažnější porušení lze uložit správní pokutu do výše 20 000 000 EUR nebo do 4% celosvětového ročního obratu 18

Podmínky pro ukládání pokut Byť výše pokut vypadá hrozivě, je důležité zmínit, že pokud správce bude přistupovat ke zpracování osobních údajů svědomitě, takto vysoké sankce mu s největší pravděpodobností nehrozí Dobrá zpráva pro správce: Nikoli za každé porušení musí být udělena pokuta V úvahu přichází i upozornění či napomenutí nebo jiné nápravné opatření 19

Data breaches Nová povinnost pro správce (viz článek 31 GDPR) Jde o povinnost vztahující se na všechny správce Předmětem povinnosti je ohlásit dozorovému úřadu rizikový případ porušení zabezpečení osobních údajů pro práva a svobody fyzických osob Informace k této povinnosti viz www.uoou.cz Z oznámení musí vyplývat určité skutečnosti, které GDPR stanovuje Důležitý bod popis opatření, které správce přijal nebo navrhl s cílem vyřešit dané porušení zabezpečení osobních údajů Role ÚOOÚ = vyhodnocení přijatých ohlášení Není účelem každé přijaté ohlášení podrobovat kontrole Evropská spolupráce u přeshraničních porušení zabezpečení 20

Statistika Data breaches Velká část se týká hackerských útoků, typu ransomware či zapomenutých zařízení Zálohování, šifrování často zmírní možná rizika = tj. není mnohdy ani nutné oznamovat Od počátku této povinnosti obdrženo 110 ohlášení, z toho jich 7 bylo dále řešeno (včetně spolupráce s ostatními dozorovými úřady) Porušení zabezpečení se děje jak v soukromí tak i veřejné sféře Mnohdy oznamovány i banality či strohé oznámení, bez všech povinných náležitostí (zejména chybí popis opatření či pravděpodobné důsledky) 21

Předchozí konzultace Institucionalizovaná konzultace Pouze v případech, kdy z posouzení vlivu, které správce provedl, přetrvává i přes přijetí opatření ke zmírnění rizika, vysoké riziko pro práva a svobody subjektu údajů Nelze zaměňovat s konzultační či osvětovou agendou ÚOOÚ K dnešnímu dni ještě předchozí konzultace ve smyslu čl. 36 GDPR nevedena 22

Evidence kontaktních údajů na pověřence Pouze evidenční charakter, nikoli registrační Spíše než o evidenci, jde o příjem ohlášení Důležité si uvědomit jde o evidenci vedenou dle správců a zpracovatelů (tj. jaký správce učinil ohlášení), nikoli o evidenci dle osob pověřenců, Nezveřejňuje se Účelem je usnadnit kontakt dozorového úřadu se správcem či zpracovatelem Cca 15 900 správců a zpracovatelů sdělilo kontaktní údaje na pověřence Jsou zastoupeni jak interní, vlastní pověřenci, tak i externí Pozor u advokátů či jiných osob na možný střet zájmů 23

Činnost u kodexů chování Kodexy chování jsou institut výrazně spojený s principem odpovědnosti správce Jejich vznik je předpokládán na sektorové úrovni Přihlášením ke kodexu správce a priori deklaruje soulad zpracování Není povinností se hlásit ke kodexu, ani jej vypracovat Aby měl kodex váhu, musí jej schválit autorita = dozorový úřad S ÚOOÚ lze úvahy o kodexu konzultovat, včetně již probíhajících prací Monitorování souladu zpracování s kodexem ÚOOÚ v rámci svých úkolů a pravomocí ÚOOÚ akreditovaný subjekt k monitorování kodexu chování 24

Zrušená oznamovací povinnost V současném světě neefektivní povinnost, pozbyla účelu Správci již neoznamují zpracování dozorovému úřadu Již není aktivní registrační formulář Zaregistrovaná oznámení nadále dostupná, nicméně vypovídající hodnota s časem klesá Úvahy, že po přijetí adaptačního zákona bude registr dostupný cca rok a půl Náhrada: záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů 25

Konzultační činnost Přímá konzultační činnost na běžné dotazy je v GDPR upozaděna (ve srovnání se zákonem č. 101/2000 Sb.) náhrada byla poskytnuta ve formě velkého množství informací zveřejněných na www.uoou.cz. Mimo jiné i podstatně přebudována rubrika často kladených otázek Zřízena telefonní informační linka pro správce Účast zástupců i na seminářích v regionech Prvotní roli pro konzultace správce či zpracovatele přejímá pověřenec (tam kde byl jmenován) Nelze opominout ani roli gesčních ministerstev při tvorbě metodik či různých profesních sdružení, komor atd. Konzultační role ÚOOÚ tak spočívá zejména u předchozích konzultací nebo u jiných složitějších záležitostí 26

27

Důsledky absence adaptačního zákona ve vztahu udělování pokut Důsledky jsou jak organizační, tak i funkční, do určité míry i ovlivňující represivní část činnosti ÚOOÚ Kontroluje se dodržování povinností jak dle GDPR, tak i jednání před účinnosti GDPR podle zákona č. 101/2000 Sb. Udělování pokut není na pořadu dne (není však vyloučeno), pokutují se především porušení, které se stalo ještě za plné účinnosti zákona č. 101/2000 Sb. (tedy za porušení do 25. 5. 2018). Nejistota ohledně pokutování z pohledu ÚOOÚ panuje zejména pro oblast veřejné správy, u které GDPR umožňuje členským státům snížit či zcela vyloučit peněžité sankce. Snahy některých poslanců výrazně snížit pokuty pro oblast veřejné správy (či např. jen pro školská zařízení) nebo pokuty pro tuto oblast úplně vyloučit. 28

Děkuji Vám za pozornost 29

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář