GDPR aneb to chceme

Témata Co je GDPR? Co je osobní údaj? Kdy dochází ke zpracování? Kdo zpracovává osobní údaje? Jak lze zpracovávat osobní údaje? Zásady zpracování osobních údajů Práva subjektu údajů Práva a povinnosti správce Jak se připravit?

Co je GDPR? Obecné nařízení o ochraně osobních údajů neboli General Data Protection Regulation (Nařízení EU č. 2016/679) Účinnost od 25.5.2018 Soulad ke dni účinnosti Přímá použitelnost v celé EU Zatím v platnosti zůstává český zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.) – bude nový?

Co je osobní údaj? Veškeré informace o identifikované nebo identifikovatelné fyzické osobě i nepřímo identifikace na základě identifikátoru např.: lokační údaje, IP adresa, e-mailová adresa, příjem, vzdělání, info o plnění smlouvy Kategorie tzv. citlivých údajů (zdravotní stav, náboženské vyznání, sexuální orientace)

Kdo zpracovává osobní údaje? Správce – fyzická/právnická osoba, orgán veřejné moci, jiný subjekt, který určuje účel a prostředky zpracování Zpracovatel – subjekt, který zpracovává osobní údaje pro správce Zpracovatelská smlouva

Kdy dochází ke zpracování? Činnosti: Zcela nebo částečně automatizované zpracování neautomatizované zpracování osobních údajů obsažených v evidenci nebo do ní zařazených Zpracováním dle GDPR není: Zpracování fyzickou osobou v průběhu výlučně osobních či domácích činností Vyloučené oblasti (veřejná bezpečnost, vnější politika, …) Území: Zpracování v souvislosti s činností provozovny správce/zpracovatele v EU Zpracování správcem/zpracovatelem údajů, který není usazen v EU, ale subjekty údajů se nachází v EU a dochází k nabídce zboží a služeb subjektům/monitorování jejich chování

Jak lze zpracovávat osobní údaje? Zpracování je dle GDPR nezbytné: K plnění smlouvy, jejíž stranou je subjekt osoba, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu; K plnění správcových právních povinností; Pro ochranu životně důležitých zájmů subjektu nebo jiné fyzické osoby; Pro splnění úkolu ve veřejném zájmu/ při výkonu veřejné moci, čímž je pověřen správce; Pro účely oprávněných zájmů správce/třetí osoby, kromě případů, kdy mají přednost zájmy subjektu (zejména dítěte). Souhlas se zpracováním pro konkrétní účel/y;

Zásadově Zásada zákonnosti – právní důvod Zásada účelového omezení – určitý a legitimní důvod zpracování, Zásada minimalizace údajů – zpracování v minimálním rozsahu a po minimální dobu, Zásada transparentnosti – informace subjektům o zpracování jejich údajů Zásada odpovědnosti – soulad s GDPR Zásada přesnosti – pouze přesné, resp. aktualizované údaje

Práva subjektu údajů Právo na informace o zpracování Právo na přístup k osobním údajům Právo na opravu Právo „být zapomenut“ Právo na omezení zpracování Právo na přenositelnost údajů Právo vznést námitku Právo nebýt předmětem automatizovaného zpracování

Práva a povinnosti správce Informační povinnost vůči subjektu Povinnost přijmout odpovídající technické a organizační zabezpečení Povinnost ohlašovat bezpečnostní incidenty Povinnost evidovat činnosti zpracování Povinnost konzultací s ÚOOÚ Povinnost provést posouzení vlivu na ochranu osobních údajů Povinnost ustanovit pověřence

Jak se připravit? Analýza současné situace zpracování osobních údajů Zabezpečení zpracování osobních údajů Organizační – plán zpracování, kompetence subjektů,.. Technické – zajištění IT systémů,.. Právní – revize smluvní dokumentace Norma ISO 27001

Děkuji za Vaši pozornost!

Bartolomějská 304/1 110 00 Praha 1 tel.: + 420 776 725 597 mailto: jan.barta@akjb.cz http: www.akjb.cz