Mgr. Jana Pattynová, LL.M. 1. února 2017 Ochrana osobních údajů a bezpečnost dat novinky v GDPR
ÚVOD K OCHRANĚ ÚDAJŮ Proč je ochrana údajů tématem? Data jsou důležitým aktivem Data jsou klíčová v digitální transformaci Riziko vysokých sankcí dle GDPR
DATA JAKO AKTIVUM Data jako klíčové aktivum Data jsou zdarma, ale vyžadují právní titul a zabezpečení Právní titul: jak poznám, že data jsou moje. Zabezpečení není jen otázka komerční preference ale regulační požadavek,
Právní úprava dat PRÁVO EU GDPR x NIS APLIKACE Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Poskytovatelé cloudu X X E-shopy X X Poskytovatelé služeb X X X Výrobní společnosti X X X Maloobchodní řetězce X X X
APLIKACE Dozorový orgán a sankce GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad Národní bezpečnostní úřad (NBÚ) Národní bezpečnostní úřad (NBÚ) Maximální výše pokut 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018
GDPR
GDPR GDPR Obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
Co je regulováno jako osobní údaje? GDPR údaje identifikující fyzickou osobu Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách či vlastněných zařízeních, (meta) data týkající se předchozího chování při užívání služby, fotografie
GDPR V KOSTCE Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů Privacy by design a privacy by default State of the art Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut
GDPR V KOSTCE Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele
SOUHLAS JAKO PRÁVNÍ TITUL Souhlas nezletilých < 13 Pouze se souhlasem rodiče 13 15 Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče
SOUHLAS JAKO PRÁVNÍ TITUL Životní cyklus údajů Požádat Vytvořit Aktualizovat Odstranit Bez souhlasu nebo zákonného titulu technická nemožnost postoupit k dalšímu kroku Spojit údaje s: subjektem, účelem, časovým rámcem Spojit údaje s: účelem, časovým rámcem Odstranit údaje: všude, splnění evidence, právo být zapomenut,
SOUHLAS JAKO PRÁVNÍ TITUL Právo být zapomenut Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány Potvrzení osobě, že její údaje byly vymazány Musí být zajištěno pro celý ekosystém zpracovatelů? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků
PSEUDONYMIZACE A ANONYMIZACE Anonymizované vs pseudonymizované údaje Anonymizované údaje (nevratně oddělené od osoby) Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Pseudonymizované údaje (dočasně oddělené od osoby) Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci
PSEUDONYMIZACE A ANONYMIZACE Výhody pseudonymizovaných údajů Mohou být zpracovány nad rámec původně definovaného účelu Mírnější regulace: výjimky ohledně notifikace a dalších povinností Pseudonymizace splňuje požadavek ochrany soukromí již od návrhu Pseudonymizace jako bezpečnostní opatření
OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Hlášení dle GDPR Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů Do 72 hodin, předepsaný minimální obsah Výjimka: je nepravděpodobné, že způsobí ohrožení práv a svobod osob Pokud je riziko ohrožení práv a svobod Bezodkladně Výjimky: šifrování údajů, jiná opatření, nepřiměřené úsilí veřejné oznámení
PRÁVO PROVÁDĚT AUDIT Právo provádět audit Úřad pro ochranu osobních údajů Zákazník (správce) Dodavatel (zpracovatel) př. poskytovatel cloudu Subdodavatel (subzpracovatel) Subdodavatel (subzpracovatel)
PŘÍNOS GDPR Příležitosti a výzvy GDPR Příležitosti Výzvy Transformační potenciál Dodavatelé IT řešení Poradenské a auditorské služby Zajištění souladu s GDPR Úprava obchodního modelu Změna statusu quo
Co by měly mít společnosti pod kontrolou? Datové toky Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Analýza největších rizik a základní krizový plán Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora
Co pro Vás můžeme udělat? Analýza datových toků a procesů Analýza dopadů GDPR Příprava interní a externí dokumentace implementující požadavky GDPR
Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů zabývající se právem technologií, médií a komunikací. Hlavní oblasti působení: IT smlouvy, včetně smluv na cloud produkty Ochrana soukromí a osobních údajů IoT M&A transakce v technologickém sektoru Podpora pro start-upy při vstupu na zahraniční trhy Outsourcing Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD) Právo duševního vlastnictví Média Telekomunikační právo Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040 jana.pattynova@pierstone.com