GDPR Spolek veřejně prospěšných služeb Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát
Obsah Co je to GDPR? Revoluce/Evoluce? Co jsou osobní údaje? Zásady GDPR Práva subjektu údajů Zákonné účely zpracování Záznamy o činnostech zpracování Ohlašování narušení zabezpečení Kdo je to DPO? Takže co musíme udělat?
Co je to GDPR? 2016/679/EC Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) začne platit ve všech zemích EU jednotně od 25. května 2018. V ČR nahradí stávající právní úpravu, kterou je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. GDPR představuje dosud nejucelenější soubor pravidel na ochranu dat.
K přípravě na splnění požadavků GDPR je určeno období od dubna 2016, kdy GDPR vstoupilo v platnost, do května 2018, kdy GDPR nabude účinnosti. V tomto období musí všichni, kterých se GDPR týká, zrevidovat zavedené postupy nakládání s osobními údaji, a to jak v listinné, tak i v elektronické podobě. GDPR přináší jak změny v povinnostech správce osobních údajů, tak i v právech subjektu údajů. Bude vytvořen prováděcí zákon.
Revoluce? GDPR není revolucí ve zpracování osobních údajů. Zpřesňuje a rozšiřuje definice a povinnosti při zachování většiny známých institutů. Přináší několik novinek. Nevyhnutelně se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí, a to včetně společností a institucí mimo území EU, které na evropském trhu působí.
Co jsou osobní údaje? Osobním údajem se rozumí jakákoli informace týkající se určeného nebo určitelného subjektu údajů, tj. jestliže subjekt údajů lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Nařízení - „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Orientační rozdělení Je osobní údajem Je citlivým osobním údajem Není osobním údajem Jméno, adresa Osobní údaje dětí Anonymní údaj Tel. číslo, e-mail Členství v odborech Údaje zesnulé osoby Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Z činnosti čistě osobní povahy Datum narození Sexuální orientace Občanství Biometrie
Zásady GDPR Zásada zákonnosti, korektnosti a transparentnosti Všechna zpracování osobních údajů je možné realizovat pouze na základě zákonných titulů, které musí být dostatečně specifické, korektní a transparentní. Zásada účelového omezení Osobní údaje je možné zpracovávat pouze pro určité, výslovně vyjádřené a legitimní účely. Zásada minimalizace údajů Zpracování musí být přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.
Zásada přesnosti Správce osobních údajů je povinen aktualizovat údaje, které zpracovává. Zásada omezení uložení Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Zásada integrity a důvěrnosti Osobní údaje musí být zabezpečeny před hrozbami uvnitř organizace i vně organizace, a to ve všech podobách zpracování (automatizované i papírové). Zásada odpovědnosti Správce nese odpovědnost za dodržování všech pravidel stanovených GDPR, což musí dokumentovat a být schopen vždy doložit.
Práva subjektu údajů Právo na informace – jasně, srozumitelně, na začátku, v průběhu, po skončení, v případě incidentu Právo na opravu, výmaz – zásada přesnosti Právo být zapomenut – expirace, odvolání souhlasu, vzneseny námitky/protiprávní zpracování Právo na přenositelnost – např. k jinému operátorovi, strojově čitelná data Právo vznést námitku – nutno prokázat oprávněnost zpracování
Zákonné účely zpracování Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
Záznamy o činnostech zpracování Čl. 30 GDPR. Záznamy o činnostech zpracování, které musí být zpracovány pro všechny existující účely zpracování. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Výjimky pro malé podniky zaměstnávající do 250 osob, ale ne pro takové, které provádějí rizikové zpracování dat.
Ohlašování narušení zabezpečení Další novou povinností pro správce je ohlašování případů narušení zabezpečení osobních údajů, a to: dozorovému úřadu – jakmile se správce dozví o porušení zabezpečení osobních údajů, bude muset toto porušení bez zbytečného odkladu, a je-li to možné do 72 hodin poté, co se o něm dozvěděl, ohlásit dozorovému úřadu, ledaže by mohl doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody subjektů údajů. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění, subjektu údajů – bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro jeho práva a svobody. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro subjekt údajů, jak případné nežádoucí účinky zmírnit.
Kdo je to DPO? Čl. 37 GDPR. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. Pověřence může jmenovat i správce, který povinnost nemá.
Takže co budeme dělat? Data Protection Impact Assesment - posouzení dopadu, namísto oznamovací povinnosti Každý účel zpracování je nutné přiřadit k některému důvodu zpracování, jak jsou uvedeny v č. 6 GDPR. Získat podklady pro splnění nové povinnosti uložené v čl. 30 GDPR vést záznamy o činnostech, posouzení bezpečnostní dokumentace. Posouzení prokazatelnosti souhlasů se zpracováním a úprava znění souhlasu se zpracováním osobních údajů podle nových kritérií. Posouzení smluvních vztahů s dodavateli a služeb, kteří jsou zpracovateli, smluvní garance, identifikace případného řetězení zpracovatelů. Posouzení rozsahu, efektivity a úrovně přijatých technickoorganizačních opatření při zpracování osobních údajů.
Děkuji za pozornost Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát Kobližná 47/19, 602 00 Brno robert.psenko@sakbrno.cz