Prezentace na konferenci CIIA Ivo Janda 24. 3. 2010
Obsah Úvod Základní pojmy Forenzní audit a ochrana osobních údajů některé aspekty Předání osobních údajů do jiných států March 24, 2010 2
Poznámky na úvod Prameny práva na ochranu soukromí Článek 8 Evropské úmluvy o ochraně lidských práv a základních svobod právo na respektování soukromého a rodinného života, obydlí a korespondence Směrnice 95/46/EC zavedla standard ochrany osobních údajů v rámci Evropské unie Národní legislativa na ochranu osobních údajů může zavést přísnější pravidla Pracovní právo Telekomunikace a další normy na ochranu soukromí March 24, 2010 3
Základní pojmy - definice Směrnice EU se vztahuje na zpracování osobních údajů Osobní údaje široká definice s rozšiřujícím výkladem Jakákoliv informace o určené nebo určitelné osobě kterou lze přímo či nepřímo identifikovat, zejména na základě čísla, kódu nebo na základě jednoho či více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu Příklad: příjmení a křestní jméno poštovní adresa, e-mailová adresa číslo bankovního účtu, číslo kreditní karty telefonní číslo, číslo občanského nebo řidičského průkazu fotografie March 24, 2010 4
Základní pojmy - definice Zpracování jakákoli operace nebo soubor operací s osobními údaji, které jsou prováděny automatizovaně nebo jinými prostředky které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky Příklad: shromažďování, ukládání na nosiče informací uchovávání úprava nebo pozměňování používání předávání, šíření, zpřístupňování nebo zveřejňování blokování, výměna nebo likvidace Správce osobních údajů fyzická nebo právnická osoba, která určuje účel a prostředky zpracování osobních údajů Zpracovatel osobních údajů osoba, která zpracovává osobní údaje pro správce osobních údajů March 24, 2010 5
Obecné podmínky pro zpracování osobních údajů Předchozí oznámení o zpracování Úřadu pro ochranu osobních údajů ( Úřad ) Písemná smlouva mezi správcem a zpracovatelem osobních údajů (např., externí auditor) Osobní údaje musí být, inter alia: zpracovány zákonným způsobem zpracovány pro stanovené účely přiměřené, nezbytné pro naplnění stanoveného účelu přesné uchovávány pouze po nezbytně nutnou dobu zpracovány v souladu s právy subjektů údajů zpracovávány bezpečně Zpracování je povoleno, inter alia, pokud: subjekt údajů nezpochybnitelně udělil souhlas; nebo je zpracování nezbytné pro splnění právní povinnosti; nebo je nezbytné pro ochranu práv a právem chráněných zájmů správce March 24, 2010 6
Právní úprava týkající se prohlídek počítačů / korespondence Zpracování je nezbytné pro splnění právní povinnosti správcem Za právní povinnost se považuje právní závazek uložený právem EU nebo právem členského státu EU Příklad: Pracovní právo Právo v oblasti daní a sociálního zabezpečení Povinnost uložená právem třetí země se nemusí vždy kvalifikovat jako právní povinnost Příklad: US Sarbanes-Oxley Act March 24, 2010 7
Právní úprava týkající se prohlídek počítačů / korespondence Zpracování je nezbytné pro ochranu práv a právem chráněných zájmů správce (nebo třetí osoby, které jsou údaje sdělovány) Úzký výklad pojmu nezbytný Prevence podvodu, boj proti korupci, bankovní a finanční trestná činnost nebo insider trading mohou představovat oprávněné zájmy správce NICMÉNĚ Vyvažovací test zájmy společností (firem) proti základním právům subjektů údajů Je potřeba vzít v potaz: přiměřenost závažnost tvrzeného deliktu právo na informace zaručené příslušným osobám časový limit pro uchovávání osobních údajů March 24, 2010 8
Monitoring e-mailové pošty/ prohlížení internetu Zachycování (poštovní nebo elektronické) komunikace je obecně zakázáno není zahrnut přístup k již otevřeným e-mailům trestný čin výjimka oprávnění na základě soudního příkazu policie, soudy E-mailové a internetové sledování pouze pokud oprávněný účel (prevence) přiměřené statistické údaje, ne individualizace Individualizovaný monitoring pouze pokud statistických (anonymizované) údaje naznačují porušování právních povinností zaměstnanec byl předem informován o možnosti takového monitoringu obsah e-mailu je pracovní (zákaz čtení soukromých e-mailů) March 24, 2010 9
Předání osobních údajů do třetích zemí Volný pohyb osobních údajů v rámci EU Předání osobních údajů do třetích zemí je povoleno při zajištění odpovídající úrovně ochrany osobních údajů v těchto zemích Adekvátní ochrana: Kanada, Švýcarsko, Argentina Neadekvátní ochrana: USA March 24, 2010 10
Předání osobních údajů do třetích zemí Možná řešení US Safe Harbor Privacy Principles Americká společnost musí splňovat určité požadavky stanovené Ministerstvem obchodu USA Musí být zařazena na tzv. safe-harbor seznam Smlouva o předání osobních údajů je založena na standardních smluvních doložkách obsažených v rozhodnutích Evropské komise Souhlas subjektu údajů (v některých členských státech vyžadován i souhlas příslušného úřadu pro ochranu osobních údajů) Předání je nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy; pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, apod. (v některých členských státech vyžadován souhlas Úřadu pro ochranu osobních údajů) March 24, 2010 11
Poznámky na závěr Je nutné: před zahájením zpracování osobních údajů podat příslušné oznámení Úřadu pro ochranu osobních údajů uzavřít smlouvu na zpracování údajů se správcem osobních údajů (váš klient) zjistit, zda existují dostatečné právní podmínky pro zpracování údajů (souhlas, oprávněný zájem správce osobních údajů, atd.) zpracovávat osobní údaje pouze pro stanovený účel a způsobem chránícím práva subjektů údajů zajistit, aby předání osobních údajů proběhlo v souladu se zákonem March 24, 2010 12
Děkuji Vám za pozornost. In this document, means the international legal practice comprising LLP; a New York State registered limited liability partnership, LLP, a limited liability partnership incorporated under English Ochrana law and osobních all other affiliated údajůpartnerships, corporations and undertakings. www.whitecase.com March 24, 2010 13