Pověřenci pro ochranu osobních údajů Jindřich Kalíšek Praha 13. 3. 2018 P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m Obsah výkladu Postavení pověřence Zapojení a postavení pověřence v organizaci Nezbytné zdroje Střet zájmů Kontaktní údaje pověřence Úkoly pověřence Monitorování souladu s GDPR Součinnost při DPIA Vedení záznamů Spolupráce s dozorovým úřadem (DÚ) a postavení jednotného kontaktního místa (SPOC) Ochrana a zabezpečení osobních údajů Informační povinnost vůči subjektu údajů 2 GDPR Workshop TÜV SÜD 1
Pověřenci pro ochranu osobních údajů Úprava Čl. 37 až 39 GDPR + recitály: 77, 97 Vodítko WP 29 k pověřencům pro ochranu osobních údajů (WP 243 rev.01) Návrh zákona o zpracování osobních údajů (zejm. 12, 13) Návrh doprovodného zákona k zákonu o zpracování osobních údajů Pověřenec pro ochranu OÚ (angl. Data Protection Officer DPO) Pomocník či koordinátor ochrany OÚ příslušného správce nebo zpracovatele Klíčová role při rozvoji kultury ochrany OÚ a datové bezpečnosti Pomáhá zavádět a naplňovat základní prvky GDPR Kontaktní bod pro komunikaci s DÚ a subjekty údajů Inspirace německým modelem (něm. Datenschutzbeauftragter DSB) Evropský inspektor ochrany údajů (EDPS) Ochrana OÚ při zpracování orgány a institucemi Společenství 3 Postavení pověřence I Zapojení pověřence do veškerých záležitostí Vhodné vypracovat směrnice stanovující situace, kdy musí být pověřenec konzultován Přístup k informacím, databázím, procesům aj. Kontrola předběžná, průběžná a následná Znalostní přístup DPO zná procesy organizace Organizační přístup DPO může vstupovat do procesů organizace Technický přístup DPO má přístup k systémům organizace Odpovídající kompetence Postavení vysokého manažera organizace (B-1, B-2) Přímý reporting členům nejvyššího vedení organizace Zapojení DPO do všech oblastí zpracování OÚ v rámci organizace 4 GDPR Workshop TÜV SÜD 2
Postavení pověřence Nezbytné zdroje Materiální zdroje Zázemí, personál, podpora včetně odpovídajícího příjmu Časová disponibilita DPO vykonává i jiné úkoly pevně stanovená časová disponibilita pro výkon činnosti Aktivní podpora vyššího vedení Přístup do jiných útvarů organizace Průběžné školení II Pokyny a nezávislost Dostatečný stupeň samostatnosti Pověřenec nesmí nedostávat žádné pokyny týkající se výkonu jeho úkolů Pověřenec přímo podřízen vrcholovým řídícím pracovníkům Vysvětluje případná nesouhlasná stanoviska Výroční zprávy o činnosti pověřence (dobrá praxe) Za dodržení souladu odpovědný správce/zpracovatel 5 Postavení pověřence III Propuštění nebo sankcionování pověřence Pověřenec nesmí být v souvislosti s plněním úkolů propuštěn ani sankcionován (přímo ani nepřímo) Střet zájmů Pověřenci mohou plnit i jiné úkoly a povinnosti Tyto nesmí vést ke střetu zájmů Nesmí stanovovat účely a prostředky zpracování Rizikové pozice ve vyšším managementu (výkonný/provozní/finanční ředitel, vedoucí marketingu, vedoucí personálního oddělení, vedoucí IT) Sestavit vnitřní pravidla k zamezení střetu zájmů 6 GDPR Workshop TÜV SÜD 3
Pověřenec interní / externí Pověřenec může být pracovníkem správce/zpracovatele Pověřenec na smlouvu o poskytování služeb Jednotlivec nebo externí organizace Musí splňovat všechny předepsané požadavky (např. nebýt ve střetu zájmu) Smlouva nesmí být nespravedlivě vypovězena v důsledku činnosti pověřence Odpovědnost pověřence Pověřenec není osobně odpovědný za nesoulad s požadavky ochrany OÚ zajištění a doložení souladu je odpovědností správce/zpracovatele Nemožnost propuštění (výpovědi smlouvy) nebo sankcionování v souvislosti s plněním úkolů 7 Kontaktní údaje pověřence Situace, kdy GDPR předepisuje uvedení kontaktních údajů pověřence Informace subjektu údajů Informace subjektu údajů (v případě získání OÚ z jiného zdroje) Záznamy o činnostech zpracování správce/zpracovatele Ohlašování případů porušení zabezpečení osobních údajů DÚ Oznamování případů porušení zabezpečení osobních údajů subjektu údajů Předchozí konzultace s DÚ u DPIA Zveřejnění osobních údajů pověřence a sdělení DÚ Kontaktní údaje Kde je možné zastihnout pověřence (poštovní adresa, vyhrazená emailová adresa, horká linka, webový formulář) Jméno pověřence (doporučeno uvádět) 8 GDPR Workshop TÜV SÜD 4
Úkoly pověřence I Základní minimální rozsah úkolů pověřence (čl. 39 GDPR) Poskytování informací a poradenství o povinnostech dle GDPR a dalších předpisů v oblasti ochrany OÚ Monitorování souladu s předpisy na ochranu OÚ a koncepcemi správce/zpracovatele Poskytování poradenství na požádání u DPIA a monitorování uplatňování Spolupráce s DÚ Kontaktní místo pro DÚ v záležitostech zpracování a vedení konzultací Přístup založený na riziku Pověřenec bere ohled na riziko spojené s operacemi zpracování Přihlíží k povaze, rozsahu, kontextu a účelům zpracování Autonomie pověřenců neznamená, že mají rozhodovací pravomoci přesahující rámec jim svěřených úkolů Vymezit přesné úkoly pověřence a jejich rozsah 9 Úkoly pověřence II Monitorování souladu s GDPR Shromažďovat informace za účele zjišťování zpracovatelských činností Analyzovat a prověřovat právní soulad zpracovatelských činností Informovat, radit a vydávat doporučení správci/zpracovateli Odpovědnost správce za zavedení vhodných opatření a doložení souladu zpracování s GDPR Role pověřence při posuzování vlivu na ochranu osobních údajů (DPIA) Provedení DPIA je povinností správce vyžádá si posudek pověřence (není závazný) Pověřenec poskytuje na požádání poradenství k DPIA a monitorování jeho uplatňování Doporučení WP29 vyžadovat posudek pověřence k otázkám Zda je nebo není nutné provedení DPIA? Jakou metodiku při zpracování DPIA provést? Zda vypracovat DPIA interně nebo zadat zpracování externě? Jaká ochranná opatření uplatnit pro zmírnění rizik vůči subjektům údajů? Bylo DPIA provedeno správně a jsou jeho závěry v souladu s GDPR? 10 GDPR Workshop TÜV SÜD 5
Úkoly pověřence III Spolupráce s DÚ a jeho působení jako kontaktní místo Pověřenec je kontaktní osoba pro DÚ / subjekty údajů Usnadnění přístupu DÚ k dokumentům, informacím a při uplatňování jeho pravomocí Pověřenec je v souvislosti s výkonem svých úkolů vázán tajemstvím a důvěrností to nebrání kontaktovat DÚ s žádostí o radu Role pověřence při vedení záznamů o činnostech zpracování Za plnění povinnost vést záznamy o činnostech zpracování odpovídají správci/zpracovatelé V praxi pověřenci často vytváří přehledy a vedou registr operací zpracování na základě informací z různých oddělení organizace Možné svěřit vedení záznamů pověřenci 11 Ochrana a zabezpečení OÚ I Čl. 25 GDPR Záměrná a standardní ochrana OÚ Záměrná ochrana OÚ (čl. 25 odst. 1 GDPR) Účelem provádět zásady ochrany OÚ a začlenit záruky k ochraně práv subjektů Vhodná technická/organizační opatření k ochraně OÚ S přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu, účelům a rizikům zpracování OÚ V době určení prostředků v době zpracování OÚ Standardní ochrana OÚ (čl. 25 odst. 2 GDPR) Vhodná technická/organizační k minimalizaci zpracovávaných OÚ Povinnost standardně zpracovávat jen OÚ Nezbytně nutné pro specifikovaný účel V nezbytně nutném rozsahu Uchovávat po nezbytně dlouhou dobu OÚ nelze volně zpřístupňovat neomezenému počtu osob 12 GDPR Workshop TÜV SÜD 6
Ochrana a zabezpečení OÚ II Poučení o právech a povinnostech zaměstnanců Postup při ukončení pracovního poměru Předání přidělených aktiv, zrušení přístupových práv, poučení o následcích porušení zákonné nebo smluvní povinnosti mlčenlivosti Vedení seznamu aktiv a jeho aktualizace, řízení změn Kontrola vstupu do objektu a chráněných prostor, správa klíčů Přidělování přístupových práv a úrovní přístupu (rolí) oprávněných osob a správa hesel Vzájemné zastupování oprávněných osob Režim údržby a úklidu chráněných prostor Pravidla manipulace s fyzickými nosiči OÚ mimo chráněné prostory Pravidla užívání IT prostředků (např. notebooky) mimo chráněné prostory Pravidla užívání přenosných datových nosičů mimo chráněné prostory Určení postupů likvidace osobních údajů s vymezením související odpovědnosti jednotlivých oprávněných osob 13 Technická a organizační opatření I Praktiky, procedury a mechanismy přijímané za účelem ochrany před nějakou hrozbou, snížení zranitelnosti, omezení vlivu nechtěné události, umožnění zotavení organizace Jejich přijetím je: Neoprávněným osobám znemožněn nedovolený přístup k osobním údajům, manipulace s technickými zařízeními určenými pro zpracování osobních údajů a manipulace s nosiči osobních údajů Oprávněným osobám zajištěn přístup k osobním údajům v rozsahu nezbytném pro plnění jejich povinností Dosažení efektivní bezpečnosti obvykle vyžaduje kombinaci různých opatření: Technická opatření na snížení bezpečnostních rizik pomocí prostředků fyzické a technologické povahy Organizační - opatření na snížení bezpečnostních rizik pomocí změn procesů a úpravou dokumentace GDPR Workshop TÜV SÜD 7
Technická a organizační opatření Poučení o právech a povinnostech zaměstnanců Postup při ukončení pracovního poměru (např. předání přidělených aktiv, zrušení přístupových práv, poučení o následcích porušení zákonné nebo smluvní povinnosti mlčenlivosti) Vedení seznamu aktiv a jeho aktualizace, řízení změn Kontrola vstupu do objektu a chráněných prostor, správa klíčů Přidělování přístupových práv a úrovní přístupu (rolí) oprávněných osob a správa hesel Vzájemné zastupování oprávněných osob Režim údržby a úklidu chráněných prostor Pravidla manipulace s fyzickými nosiči osobních údajů mimo chráněných prostor Pravidla užívání IT prostředků (např. notebooky) mimo chráněných prostor Pravidla užívání přenosných datových nosičů mimo chráněných prostor Určení postupů likvidace osobních údajů s vymezením související odpovědnosti jednotlivých oprávněných osob II Odpovědnost za porušení ochrany OÚ I Čl. 5 odst. 2, 24, 82 GDPR Zásada odpovědnosti Povinnost zajistit soulad s GDPR Povinnost být schopen tento soulad aktivně prokázat Odpovědnost správce Objektivní (i bez zavinění) Správní / soudní / mimosoudní Soukromoprávní (Právo na ochranu / Právo na náhradu újmy) Veřejnoprávní (Správní / Trestní) Odpovědnost zpracovatele Poruší povinnost, kterou GDPR ukládá přímo jemu Jedná nad rámec zákonných pokynů správce nebo v rozporu s nimi Odpovědnost pověřence (DPO) Za soulad s GDPR není odpovědný možný nárok na náhradu škody 16 GDPR Workshop TÜV SÜD 8
Odpovědnost za porušení ochrany OÚ II Trestný čin Neoprávněné nakládání s osobními údaji ( 180 TZ) Odst. 1 OÚ shromážděné v souvislosti s výkonem veřejné moci Odst. 2 porušení státem uložené nebo uznané povinnosti mlčenlivosti Další trestné činy Porušení tajemství dopravovaných zpráv ( 182 TZ) Neoprávněný přístup k počítačovému systému a nosiči informací ( 230 TZ) Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat ( 231 TZ) Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti ( 232 TZ) Jednočinný / vícečinný souběh Trestní odpovědnost právnických osob Vyloučena trestní odpovědnost ČR a územně samosprávných celků při výkonu veřejné moci 17 Odpovědnost za porušení ochrany OÚ III Čl. 83 84 GDPR Podmínky pro ukládání správních pokut Maximální výše správních pokut Až do výše 10 mil. EUR nebo až 2 % celosvětového ročního obratu Až do výše 20 mil. EUR nebo až 4 % celosvětového ročního obratu Novela zákona o inspekci práce 11a - Přestupky na úseku ochrany soukromí a osobních práv zaměstnanců Návrh zákona o zpracování osobních údajů Přestupek porušení zákazu zveřejnění OÚ stanovený jiným právním předpisem Limitace výše pokuty orgánům veřejné moci a veřejnoprávním subjektům 10 mil. Kč 18 GDPR Workshop TÜV SÜD 9
Informační povinnost vůči subjektu údajů Čl. 13 až 22 GDPR Rozšíření stávajícího katalogu práv subjektů OÚ odpovídající povinnosti správce Čl. 13 a 14 GDPR: Právo na informace o zpracování OÚ Předběžné informace povinnost nahrazuje registrační povinnost u ÚOOÚ Informování nutno v případě kontroly anebo uplatnění práv subjektů prokázat Průběžné a následné informace právo na přístup Požadavky na sdělení Stručné Transparentní Srozumitelné Snadno přístupné Bezplatné Lze požadovat přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo s učiněním požadovaných úkonů Jen v případě, je-li žádost podaná subjektem zjevně nedůvodná nebo nepřiměřená, např. při opakování žádosti I 19 Informační povinnost vůči subjektu údajů II Čl. 15 GDPR: Právo SÚ na přístup k OÚ právo získat od správce na žádost Potvrzení, zda jsou OÚ subjektu zpracovávány Přístup k těmto OÚ (kopie zpracovávaných osobních údajů) Přístup k určitým informacím Poskytované informace Účely zpracování Kategorie dotčených osobních údajů Příjemci nebo kategorie příjemců Doba zpracování Existence práv subjektu (oprava, výmaz, omezení zpracování, námitka, podat stížnost u dozorového orgánu) Zdroj, od kterého byly údaje získány Zda dochází k automatizovanému rozhodování Při předání OÚ do třetí země vhodné záruky předání Požadavky na sdělení shodné jako u práva na informace 20 GDPR Workshop TÜV SÜD 10
Informační povinnost vůči subjektu údajů III Formát poskytovaných informací Informace se poskytnou v elektronické formě, která se běžně používá, pokud subjekt nepožádá o jiný způsob Lhůta k vyřízení Bez zbytečného odkladu do 1 měsíce (možno výjimečně prodloužit) Nevyhovění žádosti: bez zbytečného odkladu do 1 měsíce Náhrada nákladů Jedna kopie osobních údajů se poskytne zdarma, za další žádost je možno žádat přiměřenou úhradu nákladů Informace se poskytují bezplatně, ledaže jsou žádosti zjevně nedůvodné nebo nepřiměřené (přiměřený poplatek / odmítnutí žádosti) Právem získat kopii nesmějí být nepříznivě dotčena práva jiných osob Návrh zákona o zpracování osobních údajů 10 odst. 3 - omezení práva na přístup je-li to nezbytné a přiměřené pro ochranu práv jiné osoby 21 Q & A 22 GDPR Workshop TÜV SÜD 11
Děkujeme za Vaši pozornost Jindřich Kalíšek Jindrich.Kalisek@prkpartners.com P R A H A B R A T I S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m Kontakty PRK Partners Česká republika - Praha Jáchymova 26/2, 110 00 Praha1 tel: +420 221 430 111 e-mail: prague@prkpartners.com Česká republika - Ostrava 28. října 3346/91, 702 00 Ostrava 1 tel: +420 558 889 099 e-mail: ostrava@prkpartners.com Slovensko Hurbanovo námestie 3, 811 06 Bratislava tel: +421 232 333 232 e-mail: bratislava@prkpartners.com www.prkpartners.com GDPR Workshop TÜV SÜD 12