OBECNÉ NAŘÍZENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ (gdpr) – POHLED sp čr PODNIKATELSKÁ RADA, MINISTERSTVO PRŮMYSLU A OBCHODU 5. 10. 2017 www.spcr.cz

VYJEDNÁVÁNÍ O GDPR: POZICE SVAZU Svaz průmyslu a dopravy ČR při vyjednáváních o GDPR od r. 2014 úzce spolupracoval s: Evropskou komisí (kabinet eurokomisařky Jourové) Národním gestorem pro vyjednávání v Radě EU (MV ČR) Českými MEPs (Charanzová, Telička, Zdechovský, Ježek) Národním regulátorem (Úřad pro ochranu osobních údajů) Po vstupu GDPR v planost spolupracujeme s: ÚV ČR, digitální kooordinátor: Pracovní skupina ÚV ČR pro legislativu v oblasti ochrany dat: Mezi 09/2016 – 06/2017 celkem 9 jednání Velmi oceňujeme možnost diskutovat s vládou a regulátorem o výkladu nařízení a národní adaptační legislativě MV: diskuze o podobě národního adaptačního zákona ještě před připomínkovým řízením ÚOOÚ: regionální diskuzní fóra pro podnikatele (I./2017) a GDPR Akademie (od 06/2017) Od r. 2015 funguje Pracovní skupina SP ČR pro ochranu dat

PŘÍPRAVA ČR NA GDPR Problémy: Vláda řeší pouze přípravu státní správy: PS RVIS pro přípravu veřejné správy na GDPR Příprava podnikatelské sféry není systematicky řešena: Prosazujeme realizaci přípravného plánu pro firmy v rámci Expertní skupiny MPO pro snižování administrativní zátěže podnikatelů Navrhujeme zakotvit do Akčního plánu na podporu MSP Prosadili jsme do Akčního plánu pro Společnost 4.0 Realizujeme Akademii GDPR Cílem všech aktivit je a bylo dosáhnout vyváženého a business-friendly textu, interpretace a způsobu implementace nařízení, které: a) spolehlivě ochrání práva subjektů údajů b) nezatíží správce a zpracovatele více, než je nutné

NÁVRH ZÁKONA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Spolupráce s předkladatelem (MV) a spolugestorem (ÚOOÚ) již při přípravě návrhu = příklad dobré praxe při tvorbě nové legislativy zásadní pro podnikatelské prostředí Požadavky SP ČR – ve fázi přípravy návrhu: Mlčenlivost DPO a jeho zaměstnanců Co nejvolnější podmínky pro výkon funkce pověřence Znalostní a personální připravenost ÚOOÚ Spolehlivé výjimky pro přístup, opravu a výmaz OÚ Naplněno, v MPŘ navrhujeme pouze drobné úpravy Připomínky SP ČR – do textu návrhu navrhujeme doplnit: Upřesnění definice výkonu veřejné moci Další důvody zákonnosti zpracování OÚ Upřesnění povinnosti obecné mlčenlivosti o zpracování OÚ Omezení šikanozních žádostí o informace, přenos, výmaz či opravu údajů Posílení postavení správce při hlášení případů porušení zabezpečení OÚ (možnost dodatečného doplnění informací bez sankcí)

GDPR AKADEMIE Hlavní realizátor projektu: Svaz průmyslu a dopravy ČR Odborná garance: Úřad pro ochranu osobních údajů Partneři: IBM Česká republika, AK PRK Partners, KPMG Česká republika Záštita a zapůjčení místností pro konání: Ministerstvo průmyslu a obchodu Celkem přihlášeno více než 120 firem a organizací => velký úspěch projektu V r. 2017 celkem 12 výukových modulů a 1 regionální výjezd: téměř všechna školení plně obsazena řada výukových modulů pro velký úspěch opakovány => perspektiva dalších opakovacích a prohlubovacích seminářů plánovány regionální výjezdy do krajských měst perspektiva projektu: oborové konference a semináře, semináře pro pokročilé a na míru oborových asociací Celkem k 30. 9. objednáno téměř 500 výukových modulů: Výstupy projektu: Komplexní příprava na zavedení GDPR ve firmách a organizacích Osvědčení o absolvování kurzů (pokud si objednají alespoň 4 semináře)

NÁVRH NAŘÍZENÍ O ePRIVACY Aktuální stav: Návrh EK z 10. 1. 2017 => Návrh EE PRES z 8. 9. 2017 Problémy: Definice: důležité definice bude obsahovat Evropský kodex el.komunikací, ale pro správný výklad a vyhodnocení dopadů jsou stěžejní (= je třeba, aby byly ustáleny co nejdříve) Rozsah osobní působnosti: ochrana práva na soukromí fyzických i právnických osob Rozsah věcné působnosti: OTTs (bez ohledu na osobní/neosobní charakter dat), M2M komunikace a internet věcí Důvody pro zákonnost zpracování: akcent výhradně na souhlas, opomíjeny jiné důvody pro zákonnost zpracování Vztah ke GDPR: ePrivacy deklaruje, že je lex specialis, v řadě případů ale prolamuje principy GDPR a jinde je vztah obou nařízení nejasný Účinnost: v žádném případě nelze uvažovat o tom, že ePrivacy vstoupí v účinnost spolu s GDPR ke 25. 5. 2018, je třeba dát po schválení nařízení byznysu nejméně 2 roky na přípravu (podobně jako u GDPR)

DĚKUJI ZA VAŠI POZORNOST Mgr. Tereza Šamanová manažerka pro digitální ekonomiku koordinátorka Pracovní skupiny pro ochranu dat odborná garantka Akademie GDPR za SP ČR Svaz průmyslu a dopravy ČR tsamanova@spcr.cz 10/6/18