GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec 23. 11. 2017.

Slides:



Advertisements
Podobné prezentace
Obecné požadavky na výstavbu
Advertisements

Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
Nástroje územního plánování
TEORETICKÉ OTÁZKY BEZPEČNOSTI
Řízení rizik ve veřejné správě legislativní rámec
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Ochrana osobních údajů při poskytování informací
Ochrana osobních údajů v České republice
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Auditorské postupy Činnosti před uzavřením smlouvy
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Prosazování ochrany osobních údajů v prostředí podnikatelského subjektu 14. sympozium EDI(FACT a eB) 17. dubna 2008.
Proces řízení rizik.
Právo na informace Tereza Danielisová,
Propojení zákona o integrované prevenci a zákona o hospodaření energií Ing. František Plecháč Státní energetická inspekce.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Technické řešení PostSignum QCA
Novelizace zákona č. 365/2000 Sb., o ISVS Hradec
STAVEBNÍ DOZOR Stavební úřady vykonávají soustavný dozor nad zajišťováním ochrany veřejných zájmů, ochrany práv a oprávněných zájmů právnických a fyzických.
Bezpečnostní politika
Úvod do zvláštní části správního práva Správa na úseku živnostenského podnikání Pro bakaláře.
Akreditace laboratoří podle revidované ČSN EN ISO/IEC 17025:2005 Ing. Martin Matušů, CSc.
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
ŽIVELNÍ POHROMY A PROVOZNÍ HAVÁRIE Název opory – Direktivy SEVESO, zákon o prevenci závažných havárií a jejich význam Operační program Vzdělávání pro konkurenceschopnost.
Působnost Ministerstva spravedlnosti a správa státního zastupitelství JUDr. Jaroslav Picha.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Zkušenosti s uplatňováním principů veřejné podpory v Královéhradeckém kraji Systém řízení a financování sítě sociálních služeb v Královéhradeckém kraji.
PROCESNÍ MODELOVÁNÍ AGEND VEŘEJNÉ SPRÁVY Rámcový návrh projektu.
Kamerové systémy metodika Plzeňský kraj 7. března 2013 ÚOOÚ.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Analýza možností využití institutu centrálního zadavatele v rámci jednotlivých resortů Přednášející: Ing. Pavel Brož.
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Nařízení o ochraně osobních údajů - GDPR
General Data Protection Regulation GDPR
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Systém managementu jakosti
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Česká inspekce životního prostředí
Metodický pokyn k § 23a vodního zákona
Ústí nad Labem 4/2008 Ing. Jaromír Vachta
STAVEBNÍ DOZOR Stavební úřady vykonávají soustavný dozor nad zajišťováním ochrany veřejných zájmů, ochrany práv a oprávněných zájmů právnických a fyzických.
GDPR General Data Protection Regulation
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Jak se připravit na GDPR ?
Problematické aspekty patient summary optikou právníka
GDPR ve školství Pavel Škarban Tábor,
GDPR a obec Praha Mgr. Jan Vobořil, Ph.D. 1.
SPISOVÁ SLUŽBA A GDPR Mgr. Pavel Šrámek, Ph.D.
Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ /0.0/0.0/16_034/ ) GDPR Problematika stanovení zásad zpracování.
Marketing technických a řemeslných oborů
Pověřenec pro ochranu osobních údajů – povinně zřizovaná pracovní pozice nebo externí spolupracovník? JUDr. Jakub Morávek, Ph. D.
GDPR a Smlouva o zpracování osobních údajů
GDPR Spolek veřejně prospěšných služeb
Obecné nařízení o ochraně osobních údajů
GDPR dle Gepard services pro TIC
GDPR a novináři.
GDPR pro knihovny JUDr. Tomáš Doležal advokát
GDPR - náhled po 133 dnech JUDr
GDPR JUDR. Mgr. Barbora Vlachová
GDPR a budoucí redakční praxe
Transkript prezentace:

GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec 23. 11. 2017

Rizika a GDPR Řízení rizik lze považovat za jeden ze základních prvků GDPR Zmínka o rizicích Článek 24 – Odpovědnost správce – přijmout opatření s přihlédnutím k rizikům Článek 25 – Záměrná a standardní ochrana osobních údajů – přijmout opatření s přihlédnutím k rizikům Článek 32 – Zabezpečení zpracování Odst. 1 – přijmout opatření s přihlédnutím k rizikům, Odst. 1 – opatření mají odpovídat rizikům, Odst. 2 – posuzování úrovně bezpečnosti zohlední zejména rizika Článek 35 – Posouzení vlivu na ochranu osobních údajů – rozhodnutí zda provádět se váže na výši rizika spojeného se zpracováním Odst. 7 – je nutné zpracovat posouzení rizik pro práva a svobody a opatření k řešení těchto rizik Článek 39 – pověřenec při plnění povinností bere ohled na rizika spojená s operacemi zpracování

Zabezpečení osobních údajů – Čl. 32 S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: pseudonymizace a šifrování osobních údajů; schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Posouzení vlivu na ochranu osobních údajů – Čl. 35 - obecná pravidla Musí se provádět před zahájením zpracování! Provedení posouzení vlivu na ochranu osobních údajů je neustálý – a nikoli jednorázový – proces. Správce odpovídá za zajištění posouzení vlivu na ochranu osobních údajů Správce si musí rovněž vyžádat posudek pověřence pro ochranu osobních údajů Zpracovatel musí být nápomocen Ve vhodných případech se vyžaduje i stanovisko subjektů osobních údajů Ve vhodných případech se vyžaduje i stanovisko nezávislých odborníků Doporučení zveřejnit část posouzení – popis a souhrn – není povinnost

Kdy je posouzení povinné Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob Povinné zejména v případě: systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; rozsáhlé systematické monitorování veřejně přístupných prostor.

Kdy je posouzení povinné Kriteriální hodnocení na základě posouzení zda zpracování nespadá do následujících devíti kategorií: Hodnocení nebo bodování, včetně profilování a předpovídání, zejména z „aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu“ Automatizované rozhodování, které má právní nebo podobně závažný dopad Systematické monitorování: zpracování, které je používáno k pozorování, monitorování nebo kontrole subjektů údajů, včetně údajů shromážděných prostřednictvím sítí nebo „rozsáhlé systematické monitorování veřejně přístupných prostorů“ Citlivé údaje nebo údaje vysoce osobní povahy: sem spadají i zvláštní kategorie osobních údajů ve smyslu článku 9

Kdy je posouzení povinné Údaje zpracovávané v rozsáhlém měřítku: počet dotčených subjektů údajů vyjádřený konkrétním číslem, nebo jako podíl příslušné populace; objem údajů a/nebo rozsah jednotlivých zpracovávaných údajů; délka nebo trvání činnosti zpracování údajů; zeměpisný rozsah činnosti zpracování. Přiřazování nebo slučování datových souborů, pokud například pocházejí ze dvou nebo více operací zpracování údajů prováděných pro různé účely Údaje týkající se zranitelných subjektů údajů Nové použití nebo využití nových technologických nebo organizačních řešení, jako např. kombinace použití otisků prstů a rozpoznávání obličejů pro zlepšení omezení fyzického přístupu atd. Pokud samotné zpracování „brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy“

Kdy není posouzení povinné Posouzení není povinné pokud povaha, rozsah, kontext a účel zpracování jsou velmi podobné zpracování, pro které bylo posouzení vlivu na ochranu osobních údajů už provedeno. pokud operace zpracování zkontroloval dozorový úřad před květnem 2018 za konkrétních podmínek, které se nezměnily, pokud má zpracování právní základ v právu EU nebo členského státu, pokud je zpracování uvedeno na nepovinném seznamu operací zpracování (sestaveném dozorovým úřadem) Také v již schválených zpracování, pokud nedošlo ke změně rizik

Posouzení rizik Možnost zpracovat analýzu rizik dle standardů ISO 31000 nebo ISO 27000 Nezbytné kroky Identifikace hrozeb; Posouzení potenciální újmy; Pravděpodobnost újmy; Závažnost újmy. Nutnost posuzovat z pohledu subjektu údajů Příklady možné újmy: Hmotná i nehmotná – diskriminace, krádež či zneužití identity, finanční ztráta, poškození pověsti, …

Posouzení rizik - metodika Možnost použít jako základ metodiku z vyhlášky 316/2015 Sb. Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. např. - riziko (R) = dopad (D) × hrozba (H) × zranitelnost (Z) Úprava pro potřeby GDPR Do funkce přidán další parametr – újma subjektu osobních údajů (U) Výsledná funkce může vypadat R = D x H x Z x U / 4 Obdobný model je možné i pro jiné typy výpočtů rizika

Co dělat po posouzení Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední se dodržování schválených kodexů chování pokud jsou nebo stanovisko subjektu údajů Usoudí-li, že je vysoké zbytkové riziko – předchozí konzultace s dozorovým úřadem Může trvat až doba 14 týdnů

Kdy je posouzení povinné

Cyklický proces posouzení

Co musí posouzení obsahovat Systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; Posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1 Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Vzorový příklad Dopravní podnik a plošný kamerový systém v tramvajích Popis záměru provozovat kamerový systém v tramvajích, vysvětlení přínosů a záměru tohoto řešení vybráno Zdůvodnění proč je uvedené řešení nezbytné Výpis škod a incidentů za definované předchozí období Přehled aktivit k omezení škod a incidentů v předchozím období Popis jak samotné zpracování bude probíhat Posouzení rizik Popis opatření k zajištění náležité úrovně bezpečnosti včetně přehledu dokumentace a popisu opatření, určení rolí, kontrolní plán, seznamy vytvářených záznamů atd.

Relevantní odkazy Plné znění nařízení – Článek 35 a 36 http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679 Vodítka k provádění posouzení vlivu https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=27614 Pokyny týkající se pověřence pro ochranu osobních údajů https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=27620

Děkuji za pozornost Marian Němec 23. 11. 2017

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.