#GDPR SMĚRNICE Z ’95 ZJEDNODUŠENÍ REŽIMU SPRÁVCI A ZPRACOVATELÉ

Slides:



Advertisements
Podobné prezentace
Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.
Advertisements

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.
Právo na informace Zák. č. 106/1999 Sb.,o svobodném přístupu k informacím.
Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
Mgr. Jiří Šimon Odbor práva veřejných zakázek a koncesí Praha, Nová směrnice EU pro zadávání veřejných zakázek v kontextu společensky odpovědného.
Pojem a význam práva Souhrn norem, stanovených uznaných státem k dosažení určitých společenských účelů, jejichž zachování je vynucováno státní mocí Objektivní.
Zadávání veřejných služeb v přepravě cestujících Ondřej Michalčík, František Vichta Ministerstvo dopravy Kroměříž, 29. září 2015.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Zpřístupňování a zveřejňování osobních údajů ze zasedání orgánů obce a orgánů kraje Igor Němec Předseda Úřad pro ochranu osobních údajů.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
1 Koordinace dávek v nezaměstnanosti. Nezaměstnanost jako sociální událost Podle MOP je nezaměstnaná osoba, která se nachází v situaci, kdy práci hledá.
Žadatel je povinen při výběru dodavatele projektu postupovat dle závazných podmínek v kapitole 9. Zadávání zakázek žadatelem/příjemcem dotace před podpisem.
Publicita v projektech financovaných z ESF v rámci Operačního programu Lidské zdroje a zaměstnanost Seminář pro žadatele.
Seminář pro žadatele k 3.,4. a 9. výzvě IROP Ing. Helena Mertová Výběrová a zadávací řízení
Komise pro podmíněné propuštění (KPP) Společný projekt PMS CR, VS ČR a Českého helsinského výboru.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Rozhodčí řízení Přednáška 5-6 VŠFS Rozhodčí soudy /RS/ stálé rozhodčí instituce -rozhodčí soudy (RS) Zřízeny podle právních předpisů státu, kde.
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Zahájení a průběh správního řízení
General Data Protection Regulation
Pojem přeměna obchodní společnosti
Povinná elektronická komunikace v zadávacích řízeních
Zákon o sociálním podnikání
Název opory – Právní předpisy – požární ochrana
Stavební uzávěra základní informace
Občanské soudní řízení I.
Licenční smlouva autorská JUDr. E. Kadlecová ZS 2011/12
Odpovědnost za poškození životního prostředí
Pracovnělékařské služby
Směrnice OECD pro nadnárodní podniky – význam a role
Oblast: Dobré životní podmínky zvířat
Zákon o ochraně osobních údajů
kpt. Ing. Tomáš Hoffmann HZS Karlovarského kraje
SOUSTAVA CHRÁNĚNÝCH ÚZEMÍ EVROPSKÉHO VÝZNAMU
Obecné výklady o důkazech
Číslo projektu školy CZ.1.07/1.5.00/
Základy pracovního práva a sociálního zabezpečení v ES
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
Pozemkové úpravy.
NV č. 201/2010 Sb. ze dne 31. května 2010  o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu ve znění NV č. 170/2014 Sb. ze dne 6. srpna 2014.
GDPR: ochrana osobních údajů
Legislativní změny na úseku EO, OP, CD (k datu )
Závaznost ÚPD pro orgány státní správy lesa
Živnostenské podnikání (správně-právní režim) III. část
Změny právní úpravy ochrany přírody a krajiny
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
KYC VE SVĚTLE GDPR Ing. Miroslav Červenka
GDPR (General Date Protection Regulation)
Zapisovatelé : Informace o způsobu zápisu
GDPR v sociálních službách - metodika implementace
Finanční arbitr 25. dubna 2018 doc. JUDr. Radim Boháč, Ph.D.
Zapisovatelé do informačního systému evidence obyvatel
ZÁKON o ochraně osobních údajů
Občanské soudní řízení I.
GDPR – vliv na poskytování informací veřejnosti
Občanské soudní řízení I.
Seminář AMG, Písek 2018 GDPR.
Obecné nařízení o ochraně osobních údajů
ePrivacy a komunikace M2M
Sociální sítě – pravidla fungování
Informační systém základních registrů
GDPR (General Date Protection Regulation)
Transkript prezentace:

#GDPR SMĚRNICE Z ’95 ZJEDNODUŠENÍ REŽIMU SPRÁVCI A ZPRACOVATELÉ

Nařízení EP a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) Jakou má závaznost? Co chrání? V jakých případech? Koho zavazuje (a na co se nevztahuje)? Ochrana osobních údajů je základním právem, cílem harmonizace a volný pohyb ne: O sobní údaje právnických osob zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti

Co se chrání? „osobní údaje“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity) požadavky: zákonnost, korektnost, transparentnost, jen údaje přiměřené, relevantní a omezené na nezbytný rozsah zvláštní podmínky pro zpracování specifických osobních údajů FO nacházející se na území EU

V jakých případech chránit? při jakémkoliv zpracování proporcionalita zpracování osobních údajů by mělo sloužit lidem (profilování) technologicky neutrální právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká (výjimky: pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů; pokud je povoleno právem nebo založeno na výslovném souhlasu subjektu údajů)

Definice „zpracování“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni

„správce“: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (i správce mimo EU, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb - musí jmenovat zástupce, který nese odpovědnost) „zpracovatel“: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

Kdy je zpracování zákonné? pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: se souhlasem subjektu nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany

Práva subjektu přístup ke svým osobním údajům Práva subjektů, jejichž osobní údaje jsou zpracovány: přístup ke svým osobním údajům výmaz („právo být zapomenut“) nebo na omezení zpracování kopie osobních údajů, přenositelnost být informován o vhodných zárukách oprava nepřesných nebo neúplných údajů

1. právo na přístup k osobním údajům Práva subjektů: 1. právo na přístup k osobním údajům účely zpracování kategorie dotčených osobních údajů příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá ke stanovení této doby informace o zdroji osobních údajů skutečnost, že dochází k automatizovanému rozhodování, včetně profilování

Práva subjektů: 2. právo na výmaz RTBF, „být zapomenut“: omezení zpracování, pokud: osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány subjekt údajů vznese námitky proti zpracování osobní údaje byly zpracovány protiprávně osobní údaje musí být vymazány ke splnění právní povinnosti osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti

3. právo na přenositelnost (portabilita) Práva subjektů: 3. právo na přenositelnost (portabilita) Fyzická osoba má právo na kopii zpracovaných osobních údajů o ní v podobě, která umožňuje přenést zpracované údaje k jinému poskytovateli služby (např. nakoupené položky, playlist, kontakty z emailu - neukládá-li je zpracovatel, nemusí je předat) jen data získaná od subjektu a týkající se subjektu (široký výklad, tj. i poskytnutá jen udělením práv aplikaci; co údaje o protistraně? ta nový zpracovatel nesmí zpracovávat) o tomto právu musí zpracovatel subjekt informovat jak rychle? bezodkladně (= do měsíce) bezplatně forma: strojově čitelné (= zachovat informace vč. metadat, tj. ne PDF)

Postupy zrušena obecná ohlašovací povinnost dle Směrnice 95/46/ES strukturovaná / nestrukturovaná data správce musí sám posoudit vliv na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika předání ke zpracování mimo EU: „safeharbour“ - neoslabovat úroveň ochrany dle GDPR Komise může za bezpečnou prohlásit území, odvětví v určité zemi nebo mez. organizaci

Povinnosti správce získat souhlas transparentnost jmenovat DPO posouzení dopadu na ochranu osobních údajů předběžné konzultace opatření (kodex) vést záznamy o zpracováních osobních údajů ohlašovat případy narušení bezpečnosti

1. povinnost získat souhlas Povinnosti správce: 1. povinnost získat souhlas jednoznačné potvrzení - vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů souhlas dítěte až od 16 let (národní státy mohou snížit až na 13) jak? písemné prohlášení (i elektronicky) nebo ústní, mlčení souhlasem není správce musí být schopen souhlas prokázat souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. souhlas není platný, je-li mezi správcem a subjektem jasná nerovnováha zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny správce nesmí pátrat po dalších údajích, které by mu FO umožnily identifikovat odvolat souhlas musí být stejně snadné jako jej poskytnout

Povinnosti správce: 2. transparentnost subjekt musí dostat informace stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek. Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká

3. povinnost provádět posouzení dopadu na ochranu osobních údajů Povinnosti správce: 3. povinnost provádět posouzení dopadu na ochranu osobních údajů místo ohlašovací povinnosti – správce je před zahájením zpracování provést tzv. posouzení dopadu na ochranu osobních údajů, tj. systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Vypracování takového posouzení by mohlo být delegováno na inspektora pro ochranu údajů, pokud bude danou společností jmenován kdy (příklady): zpracování citlivých údajů, systematického monitorování veřejně přístupných míst nebo systematického a rozsáhlého vyhodnocování osobních aspektů fyzických osob, včetně profilování okruh činností bude muset zveřejnit dozorový orgán posuzovat přiměřenost zásahu do práv druhých, jejichž údaje budou předmětem zpracování, ještě před zahájením samotného zpracování, v současnosti vyplývá pro správce z obecných principů ochrany osobních údajů obsažených ve směrnici, zejména z povinnosti správce stanovit legální a legitimní účel zpracování, zpracovávat osobní údaje pouze na základě řádného právního titulu a v přiměřeném rozsahu

4. povinnost vést předběžné konzultace Povinnosti správce: 4. povinnost vést předběžné konzultace Vyplyne-li z posouzení, že zpracování bude vysoce rizikové a riziko nelze zmírnit přiměřenými prostředky, pokud jde o dostupnost technologií a nákladů na jejich zavedení pokud se nenajdou žádná dostupná opatření, zpracování lze provést právně nepůjde o povolení!

5. povinnost přijmout opatření (kodex), informovat subjekt Povinnosti správce: 5. povinnost přijmout opatření (kodex), informovat subjekt totožnost a kontaktní údaje správce a jeho případného zástupce případně kontaktní údaje případného pověřence pro ochranu osobních údajů účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování případné příjemce nebo kategorie příjemců osobních údajů případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním existence práva podat stížnost u dozorového úřadu skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů skutečnost, že dochází k automatizovanému rozhodování, včetně profilování  

6. povinnost ohlašovat případy narušení bezpečnosti Povinnosti správce: 6. povinnost ohlašovat případy narušení bezpečnosti zatím ji měli jen poskytovatelé služby elektronických komunikací při porušení: jednat bez odkladu a je-li to možné, ohlásit dozorovému úřadu a subjektu (popsat povahu porušení, doporučení subjektu). kdy nemusí?   je-li splněna kterákoli z těchto podmínek: správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování; správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví; vyžadovalo by to nepřiměřené úsilí (v takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření)  

7. povinnost jmenovat DPO Povinnosti správce: 7. povinnost jmenovat DPO Data Protection Officer, inspektor (pověřenec) víc než jen Compliance (i technologie, IT, bezpečnost) explicitně pro orgány veřejné moci, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů, v jiných případech to bude určovat národní zákon nejmenujete-li - odůvodnit  

DPO kvalifikace, osvědčení? zaměstnanec nebo externě, podléhá nejvyššímu vedení osobní odpovědnost nesmí být ve střetu zájmů samotné ISO 27000 nestačí

Poznámky: ochrana mikropodniků do 250 zaměstnanců – výjimky (nemusí evidovat, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů). „profilování“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu; „pseudonymizace“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě; cookies současná právní úprava se právní úprava řídí § 89 odst. 3 ZoEK, ohledně něhož se vedou spory, zda je založen na principu opt-in nebo opt-out; GDPR výslovně uvádí síťový identifikátor jako možný osobní údaj s tím, že výjimkou z povinnosti získat souhlas subjektu údajů je mimo jiné zpracování oprávněných zájmů správce, přičemž ta za takový oprávněný zájem je výslovně uznán i přímý marketing (na ten se však samozřejmě vztahuje princip opt-out). Pro posuzování „oprávněného zájmu“ však bude klíčové „rozumné očekávání“ subjektů údajů (jaký účel, dobu, rozsah atd. mohl očekávat). I před působností GDPR je rozumné vykládat českou úpravu jako opt-in.

http://www.svlaw.cz/clanky

Týnská 1053/21, Praha 1 Staré Město, 110 00 +420 737 723 370 +420 608 210 458 +420 602 742 675 info@svlaw.cz