General Data Protection Regulation GDPR

Slides:



Advertisements
Podobné prezentace
Obecné požadavky na výstavbu
Advertisements

Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta
Systém kontrol realizovaných u příjemců Ing. Lukáš Brabenec 25. září 2013.
Ochrana osobních údajů
PRACOVNÍ REHABILITACE Osob se zdravotním postižením (§69 násl. Zák.č.435/2004 Sb.)
Ochrana osobních údajů při poskytování informací
Zákon o ochraně osobních údajů č. 101/2000 Sb
Ochrana osobních údajů v České republice
Registr dlužníků státu
Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.
Právo na informace Tereza Danielisová,
Novela zákona č. 106/1999 Sb., o svobodném přístupu k informacím Mgr. David Kotris ISSS 2005 Hradec Králové
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Oblasti úpravy pracovního práva 1. Volný pohyb osob (pracovníků) 2. Rovné zacházení a boj s diskriminací 3. Pracovní podmínky 4. Ochrana zaměstnanců 5.
Sdílení dat ve veřejné správě Hradec Současný stav  V právním řádu neexistuje předpis, kterým by byla upravena jednotná pravidla pro sdílení.
STAVEBNÍ DOZOR Stavební úřady vykonávají soustavný dozor nad zajišťováním ochrany veřejných zájmů, ochrany práv a oprávněných zájmů právnických a fyzických.
Rovné zacházení a zákaz diskriminace v zaměstnání a povolání BEV802K přednáška č JUDr. Jana Komendová, Ph.D.
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
ŽIVELNÍ POHROMY A PROVOZNÍ HAVÁRIE Název opory – Direktivy SEVESO, zákon o prevenci závažných havárií a jejich význam Operační program Vzdělávání pro konkurenceschopnost.
Nakládání s daty v prostředí internetu Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.
Právo na informace a ochrana osobních údajů ve veřejné správě- Vybrané otázky správního práva a veřejné správy III Jaro 2015 doc.JUDr. Soňa Skulová, Ph.D.
Změny v průběhu kontrol (kontrolní řád) kpt. Mgr. Blanka Kliková Oddělení stavební prevence, kontrolních činností a ZPP HZS Karlovarského kraje kpt. Mgr.
Ochrana osobních údajů Právní úprava v České republice a v Evropské unii Mgr. Josef Prokeš Úřad pro ochranu osobních údajů Jihomoravský kraj – Krajský.
Zákon o ochraně osobních údajů Miroslav Jurman Svobodný přístup k informacím
Kamerové systémy metodika Plzeňský kraj 7. března 2013 ÚOOÚ.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Odbor veřejné správy, dozoru a kontroly Transpoziční novela zákona o svobodném přístupu k informacím Mgr. et Mgr. Tomáš Jirovec odbor veřejné.
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
ODPOVĚDNOST PRÁVNICKÝCH OSOB
Nařízení o ochraně osobních údajů - GDPR
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Kontroly na místě a nesrovnalosti projektů realizovaných v OP LZZ
STAVEBNÍ DOZOR Stavební úřady vykonávají soustavný dozor nad zajišťováním ochrany veřejných zájmů, ochrany práv a oprávněných zájmů právnických a fyzických.
Obecné nařízení o ochraně osobních údajů (GDPR)
Etické kodexy v Evropské unii
GDPR General Data Protection Regulation
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27
GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
GDPR ve školství, aneb co školy čeká a nemine
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Vybrané právní aspekty podnikání v digitálním věku
Obce a implementace GDPR
Jak se připravit na GDPR ?
Problematické aspekty patient summary optikou právníka
GDPR ve školství Pavel Škarban Tábor,
GDPR a obec Praha Mgr. Jan Vobořil, Ph.D. 1.
SPISOVÁ SLUŽBA A GDPR Mgr. Pavel Šrámek, Ph.D.
Ochrana osobních údajů při zajišťování BOZP a PO podle GDPR
GDPR - obce Ing. Igor Prosecký
Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ /0.0/0.0/16_034/ ) GDPR Problematika stanovení zásad zpracování.
GDPR v sociálních službách
Marketing technických a řemeslných oborů
GDPR a Smlouva o zpracování osobních údajů
GDPR Spolek veřejně prospěšných služeb
Obecné nařízení o ochraně osobních údajů
Výukový materiál zpracovaný v rámci projektu
GDPR dle Gepard services pro TIC
Ochranou osobních dat jiných chráníte před potížemi sebe
GDPR – ochrana osobních údajů a zdravotnická dokumentace
GDPR – Nařízení o ochraně osobních údajů
GDPR a novináři.
GDPR pro knihovny JUDr. Tomáš Doležal advokát
GDPR - náhled po 133 dnech JUDr
GDPR JUDR. Mgr. Barbora Vlachová
GDPR a budoucí redakční praxe
Transkript prezentace:

General Data Protection Regulation GDPR Obecné nařízení o ochraně osobních údajů (2016/679/EU)

GDPR - obecné nařízení o ochraně osobních údajů O co se jedná a proč je GDPR potřeba? GDPR - obecné nařízení o ochraně osobních údajů GDPR je nařízení EU Jednotná úprava pro celou Evropu Přímo aplikovatelné – není potřeba dalších zákonů v rámci členských zemí EU Harmonizuje pravidla 28 států EU a EFTA zemí – Norsko, Island, Lichtenštejnsko 31 národních zákonů bude zrušeno Bylo schváleno Evropským parlamentem 14.4.2016 po 4 letém vyjednávání Nahrazuje Směrnici 95/46 EC s účinností od 25.5.2018 a v ČR zákon 101/2000 SB. – ZOOÚ Nejkomplexnější soubor pravidel na ochranu dat na světě

Odkud se GDPR vzalo? Právní úprava dat

Každého, kdo zpracovává osobní údaje fyzických osob žijících v EU Vztahuje se GDPR i na mne? GDPR – koho se týká … Každého, kdo zpracovává osobní údaje fyzických osob žijících v EU Za zpracování osobních údajů se považuje jakákoliv operace s osobními údaji Uložení Nahlédnutí Pozměnění Setřídění Vyhledání Vymazání Zničení Použití Šíření Přizpůsobení Přenos atd.

Co přesně jsou ty „osobní údaje“? GDPR – osobní údaje Osobním údajem je jakákoliv informace o fyzické osobě, pokud lze tuto osobu identifikovat Základní kategorie osobních údajů (jméno, e-mail, věk, telefon, IP adresa, cookies, fotografie, atd.) Zvláštní kategorie Rasa nebo etnický původ Politické názory Náboženství a filozofické přesvědčení Členství v odborech Genetické a biometrické údaje Zdravotní stav Sexuální život a orientace Osobní údaje dětí Informace o trestních deliktech nebo pravomocném odsouzení

GDPR – subjekty procesu Kdo je kdo při zpracování osobních údajů? GDPR – subjekty procesu Správce – osoba určující účel a způsob zpracování osobních údajů Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování zpracováním může pověřit třetí osobu Zpracovatel – osoba pověřená správcem k zpracování osobních údajů Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Subjekt – fyzická osoba, které se zpracovávané údaje týkají Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba)

GDPR – subjekt osobních údajů Kdo je tedy ten subjekt a na co má právo? GDPR – subjekt osobních údajů Subjekt – fyzická osoba, které se zpracovávané údaje týkají Práva subjektu Právo na přístup Právo na opravu Právo na výmaz Právo na omezení zpracování Právo na přenositelnost údajů Právo vznést námitku Tato práva se vztahují na všechny osobní údaje, včetně nestrukturovaných!! Práva jsou zneužitelná -> PRIVACY NOTICE – upravuje postup, jakým subjekt může uplatnit svoje práva

GDPR – správce a zpracovatel Jaký je vztah správce a zpracovatele a jaké jsou jejich povinnosti? GDPR – správce a zpracovatel Správce – osoba určující účel a způsob zpracování osobních údajů Primární zodpovědnost Nové povinnosti Zpracovatel – osoba pověřená správcem k zpracování osobních údajů Sdílená zodpovědnost Řetězení zpracovatelů Smlouva o zpracování údajů Jedna osoba může být zároveň správcem i zpracovatelem

GDPR – principy Zákonnost Omezení účelem Jak mají tedy správci a zpracovatelé postupovat? GDPR – principy Zákonnost Omezení účelem Minimalizace údajů a omezení uložení Přesnost Férovost a transparentnost Integrita a důvěrnost Odpovědnost

Co to je princip zákonnosti? GDPR – zákonnost Každé zpracování osobních údajů musí mít Právní základ, který pokrývá Účel zpracování Kategorii zpracovávaných osobních údajů Způsob zpracování Právní základ pro zpracování základní kategorie osobních údajů Plnění či uzavření smlouvy Právní povinnost Oprávněný zájem Souhlas (svobodný, konkrétní, informovaný a jednoznačný) Veřejný zájem či výkon veřejné moci Životně důležitý zájem

Co to je princip zákonnosti? GDPR – zákonnost Právní základ pro zpracování zvláštních kategorií osobních údajů Výslovný souhlas Povinnosti dle pracovního práva Životně důležité zájmy Pracovně-lékařské posudky Zjevně zveřejněné údaje (subjektem) Výkon nebo obhajoba právních nároků Významný veřejný zájem Veřejný zájem při ochraně veřejného zdraví či archivaci

Co to je princip omezení účelem? GDPR – omezení účelem Osobní údaje mohou být shromažďovány pouze pro vymezené, výslovně vyjádřené a legitimní účely Pro každé zpracování musí být předem stanoven konkrétní a legitimní účel Právní základ se vztahuje vždy k jednotlivým účelům Údaje je možné zpracovávat pouze pro daný účel a kompatibilní účely Údaje shromážděné pro různé účely nelze spojovat. Musí být evidovány a zpracovány odděleně.

GDPR – minimalizace údajů a omezení uložení Co to je princip minimalizace údajů a omezení uložení? GDPR – minimalizace údajů a omezení uložení Je možné zpracovávat pouze údaje nezbytné pro stanovený účel Nelze požadovat a zpracovávat údaje, které: Nejsou přiměřené Nejsou relevantní Nejsou nezbytné s ohledem na zpracování dat

GDPR – minimalizace údajů a omezení uložení Co to je princip minimalizace údajů a omezení uložení? GDPR – minimalizace údajů a omezení uložení Je možné zpracovávat pouze údaje po nezbytně dlouhou dobu Údaje je třeba anonymizovat nebo smazat v případe že: Odpadne právní základ pro jejich zpracování Je naplněn účel zpracování – je ukončena služba, která vyžadovala zpracování Je třeba mít politiku uchovávání a mazání dat

Co to je princip přesnosti? GDPR – přesnost Osobní údaje musí být přesné a v případě potřeby aktualizované Správce musí přijmout veškerá přiměřená opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny Přesnost údajů je potřeba ve vybraných případech aktivně ověřovat Zastaralé údaje je třeba mazat Subjektu údajů je potřeba umožnit výkon jeho práv Kritická data, jsou data, která mají na subjekt údajů významný dopad

GDPR – férovost a transparentnost Co to je princip férovosti a transparentnosti? GDPR – férovost a transparentnost Subjekt musí být o zpracování osobních údajů transparentně informován Zdroj údajů = subjekt Informovat je potřeba vždy, pokud subjekt informace již nemá Jiný zdroj údajů Informovat nejpozději do 1 měsíce nebo při první komunikaci či zpřístupnění jinému příjemci Výjimky z informování – nemožnost, nepřiměřené úsilí, zpracování na základě povinnosti, pokud jsou záruky

GDPR – integrita a důvěrnost Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Osobní údaje musí být náležitě zabezpečeny Pomocí vhodných technických nebo organizačních opatření před Neoprávněným zpracováním Protiprávním zpracováním Náhodnou ztrátou Zničením Poškozením

GDPR – integrita a důvěrnost Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Technická a organizační opatření Úměrnost – je třeba vzít v úvahu Povahu zpracování Náklady Dostupné technologie Rizika Faktory se v čase mění -> analýzu je třeba průběžně aktualizovat Opatření, která je potřeba zvážit Pseudonymizace Šifrování Obnova dostupnosti Pravidelné testování a hodnocení

GDPR – integrita a důvěrnost Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Nová povinnost – hlášení incidentů Dozorovému úřadu (ÚOOÚ) do 72 hodin, jinak zdůvodnění Dotčeným subjektům údajů, pokud je riziko vysoké Obsah hlášení Povaha bezpečnostního narušení Počet ovlivněných subjektů a datových záznamů Kontaktní údaje na DPO nebo jinou osobu, která poskytne více informací Pravděpodobné následky Učinění či navrhovaná opatření Firmy musí mít nastaveny procesy pro řešení incidentů – krátká lhůta

GDPR – odpovědnost (accountability) Co to je princip odpovědnosti? GDPR – odpovědnost (accountability) Správce je povinen zajistit soulad s GDPR a být schopen jej prokázat Musí přijmout vhodná technická a organizační opatření Povinnosti správce Záměrná a standardní ochrana (data protection by design / by default) DPO – pověřenec pro ochranu osobních údajů Posuzování vlivu na ochranu osobních údajů (DPIA) Dokumentace Povinnosti při předávání údajů dalším správcům a zpracovatelům

GDPR – povinnosti správců a zpracovatelů Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Záznamy o zpracování Pokud >= 250 zaměstnanců Zpracování je rizikové nebo pravidelné nebo zahrnuje zvláštní kategorie údajů nebo údaje o trestních rozhodnutích Nutná potřebná dokumentace Povinnost součinnosti s dozorovým orgánem (předložení)

GDPR – povinnosti správců a zpracovatelů Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Povinnosti správce Vztah s jiným správcem nebo zpracovatelem musí být smluvně upraven Písemná forma (včetně elektronické) Předmět, trvání, povaha a účel zpracování, druhy OÚ a kategorie údajů Vázanost instrukcemi Zajištění mlčenlivosti Přijetí opatření k zabezpečení Součinnost při výkonu práv Poskytnutí všech informací k doložení souladu GDPR, umožnění auditu Zákaz pověření dalšího zpracovatele bez souhlasu správce Zpracovatel může být pouze osoba zaručující soulad s GDPR Pokud zpracovatel sám určí prostředky a účel zpracování, stává se správcem Jmenování DPO

GDPR – povinnosti správců a zpracovatelů Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Povinnosti zpracovatele Zavedení bezpečnostních opatření Vedení záznamů o zpracování Hlášení bezpečnostních incidentů správci Jmenování pověřence pro ochranu osobních údajů za stejných podmínek jako správce

GDPR – sankce Udělovány rozhodnutím dozorového úřadu Je to všechno hrozně složité, musím to podstupovat? GDPR – sankce Udělovány rozhodnutím dozorového úřadu Jednotná výše sankcí v rámci EU Za porušení většiny povinností pokuta do výše 10 mil. EUR nebo 2% z celosvětového obratu Za závažná porušení povinností pokuta do výše 20 mil. EUR nebo 4% z celosvětového obratu

Už nemůžu, už bude konec? Děkuji za pozornost ……