Národní konference GDPR 2017, Praha, 23. listopadu 2017 Obecné nařízení o ochraně osobních údajů a Vy: příprava PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů Národní konference GDPR 2017, Praha, 23. listopadu 2017
Nalaďte se na vlnovou délku ochrany osobních údajů Krok 1
Dolaďte na obecné nařízení o ochraně osobních údajů Krok 2
Zůstaňte připojení a příjem udržujte … Krok 3
Průběžně dolaďujte … Krok 4 Příliš stručné?
Krok 1: základní ladění Jste již naladěni. → Pokračujte krokem 2 Nejste naladěni, příp. máte pochybnosti → proveďte krok 1 a na základním naladění chvíli setrvejte. Doporučení: V žádném případě krok 1 nepřeskakujte! Výstraha: Pokud tak učiníte, budou Vás další kroky stát mnohem více (v úsilí i penězích)
Krok 1: základ ladění Právo na ochranu osobních údajů (Úmluva RE č. 108) Čl. 10 Listiny základních práv a svobod čl. 8 Charty základních práv EU: 1. Každý má právo na ochranu osobních údajů, které se ho týkají. 2. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. 3. Na dodržování těchto pravidel dohlíží nezávislý orgán.
Krok 2: (na)ladění na obecné nařízení Zmapování stávajícího stavu ve zpracování osobních údajů (inventura) Identifikace požadavků vyplývajících z relevantních povinností Promítnutí stávajícího souladu oproti relevantním povinnostem z ON + identifikace potřebných změn (též GAP analýza) Stanovení priorit a implementační plán
Krok 2: inventura (mapování) Kde, proč, jak a jak dlouho zpracováváme Agendy (úkoly) a útvary Aplikace, systémy Právní důvod každého z účelů souhlas subjektu údajů, smlouva s ním právní povinnost, oprávněný zájem - specificky Rizikovost zpracování Povaha údajů a operací Účel a kontext Vazby na jiná zpracování
Krok 2: identifikace a příprava potřebných změn Povinnosti a jak je plním (mám plnit): aktuální opatření Upravit (nově určit) základní parametry všech samostatných zpracování (rozsah, kvalitativní limity, doba uložení vč. výmazu na žádost …) Určit organizační a technická opatření k zabez-pečení osobních údajů Určit (odhadnout) potřebu změn v čase Na pořadí záleží.
Účel, právní titul a zpracování jako pomocná činnost Zpracování osobních údajů není hlavní činností Právním titulem zejm. právní povinnost správce, smlouva se subjekty údajů, oprávněné zájmy (ostatní nejsou vyloučeny) Zpracování pro plnění právní povinnosti a výkon pravomoci upraví adaptační zákon V ČR bude potřeba změn minimální, pokud správce dnes dodržuje zákon o ochraně osobních údajů a příslušné sektorové předpisy
Zpracování jako hlavní činnost Obecně pravděpodobně větší potřeba změn v závislosti na právním důvodu a rizikovosti zpracování Posouzení vlivu žádoucí, popř. nutné Mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů; Za určitých podmínek nutno jmenovat pověřence pro ochranu osobních údajů
Krok 2: příprava a provedení změn Stanovit priority a implementační plán Začít od priorit Dokumentovat existující a nově připravená organizační a technická opatření k zajištění souladu (nejen k zabezpečení osobních údajů): vnitřní předpisy, provozní a uživatelská dokumentace, formuláře Dokumentace incidentů, postup při ohlašování a oznamování
Posuzování vlivu na ochranu osobních údajů Popis zpracování Posouzení nezbytnosti a přiměřenosti Zamýšlená opatření Posouzení rizik pro práva a svobody Dokumentace posouzení Monitorování a přezkum
Krok 2 – 3: outsourcing S rozsahem a složitostí informačních systémů správce a zpracování osobních údajů roste zájem o externí zajištění některých činností Pro pomocné činnosti může být externí zajištění výhodné, pro kmenové nikoli Pokud je zpracování součástí kmenové činnosti, pak mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů
Krok 3 (jste naladěni): úkoly Provádět a aktualizovat organizační a technická opatření k zabezpečení osobních údajů (včetně dokumentace), podle oboru činnosti správce i podle sektorové legislativy Dodržovat zvolené parametry zpracování Poskytovat součinnost dozorovému úřadu
Součinnost s dozorovým úřadem Obecná povinnost na požádání spolupracovat Záznamy o zpracování Ohlašování případů porušení zabezpečení Sdělení kontaktních údajů pověřence
Průběžně dolaďujte … Krok 4
Krok 4: Průběžné dolaďování Změny Jádro zpracování x rozhraní, dílčí moduly Obsahové x technologické (operace x náležitosti) Posouzení (hodnocení) Posouzení vlivu (rizik) Přezkoumání opatření k zajištění souladu Prověření zabezpečení Dokumentace Vnitřní předpisy, provozní a uživatelská d. Dokumenty určené subjektu údajů
Bez obav zpracovávejte osobní údaje a jako subjekty údajů využívejte svých práv Krok 5