GDPR Spolek veřejně prospěšných služeb

Slides:



Advertisements
Podobné prezentace
Obecné požadavky na výstavbu
Advertisements

Uzavírání veřejnoprávních smluv
Podnikání Podnikáním se rozumí soustavná činnost prováděná samostatně podnikatelem vlastním jménem a na vlastní odpovědnost za účelem dosažení zisku. Podnikatelem.
Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta
Nástroje územního plánování
Ochrana osobních údajů při poskytování informací
Zákon o ochraně osobních údajů č. 101/2000 Sb
Ochrana osobních údajů v České republice
Živnostenské podnikání živnostenské úřady
Dopady spuštění základních registrů na subjekty územní samosprávy
Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.
Právo na informace Tereza Danielisová,
Vykonavatelé vlastnického práva státu
Uzavírání veřejnoprávních smluv (zákon č. 500/2004 Sb., správní řád)
Novela zákona č. 106/1999 Sb., o svobodném přístupu k informacím Mgr. David Kotris ISSS 2005 Hradec Králové
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
JUDr. Jaroslav Stránský
Úvod do zvláštní části správního práva Správa na úseku živnostenského podnikání Pro bakaláře.
Evidence obyvatel Zderaz – Metodické školení.
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
Nakládání s daty v prostředí internetu Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.
Připravované změny ve VaVaI. Obsah prezentace Posuzování výzkumných organizací Novela zákona č. 130/2002 Sb.
Novelizace školského zákona Lucie Macků, Praha,
MINISTERSTVO PRO MÍSTNÍ ROZVOJ ČR JUDr. Jana Nedvědická Odbor práva veřejných zakázek a koncesí MMR ČR Zákon o veřejných zakázkách – možnosti společensky.
Vybrané otázky nového ZÁKONÍKU PRÁCE Zákon č. 262/2006 Sb.
Ochrana osobních údajů Právní úprava v České republice a v Evropské unii Mgr. Josef Prokeš Úřad pro ochranu osobních údajů Jihomoravský kraj – Krajský.
Návrh nařízení Evropského parlamentu a Rady o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu (eIDAS) Lucie.
Kamerové systémy metodika Plzeňský kraj 7. března 2013 ÚOOÚ.
 Legislativa  Infrastruktura veřejné správy  Projekty  Finance  Informace.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Síťová neutralita od revize regulačního rámce do DigiČeska ver. 2.0 Praha, 18. května 2015.
Nařízení o ochraně osobních údajů - GDPR
General Data Protection Regulation GDPR
Institut ochránce práv dětí
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Charakteristika veřejné obchodní společnosti
Charakteristika veřejné obchodní společnosti
Obecné nařízení o ochraně osobních údajů (GDPR)
GDPR General Data Protection Regulation
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27
GDPR aneb to chceme.
GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Vybrané právní aspekty podnikání v digitálním věku
Živnostenské podnikání (správně-právní režim) I. část
Živnostenské podnikání (správně-právní režim) II. část
Jak se připravit na GDPR ?
Problematické aspekty patient summary optikou právníka
GDPR ve školství Pavel Škarban Tábor,
GDPR a obec Praha Mgr. Jan Vobořil, Ph.D. 1.
SPISOVÁ SLUŽBA A GDPR Mgr. Pavel Šrámek, Ph.D.
Ochrana osobních údajů při zajišťování BOZP a PO podle GDPR
GDPR - obce Ing. Igor Prosecký
Projekt „Rozvoj řízení kvality včetně strategického řízení na Praze 13“ (reg. č. CZ /0.0/0.0/16_034/ ) GDPR Problematika stanovení zásad zpracování.
Marketing technických a řemeslných oborů
Pověřenec pro ochranu osobních údajů – povinně zřizovaná pracovní pozice nebo externí spolupracovník? JUDr. Jakub Morávek, Ph. D.
GDPR a Smlouva o zpracování osobních údajů
Obecné nařízení o ochraně osobních údajů
Výukový materiál zpracovaný v rámci projektu
GDPR dle Gepard services pro TIC
GDPR – ochrana osobních údajů a zdravotnická dokumentace
Občanské soudní řízení I.
Zapisovatelé do informačního systému evidence obyvatel
GDPR a novináři.
GDPR pro knihovny JUDr. Tomáš Doležal advokát
GDPR - náhled po 133 dnech JUDr
GDPR JUDR. Mgr. Barbora Vlachová
GDPR a budoucí redakční praxe
Transkript prezentace:

GDPR Spolek veřejně prospěšných služeb Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát

Obsah Co je to GDPR? Revoluce/Evoluce? Co jsou osobní údaje? Zásady GDPR Práva subjektu údajů Zákonné účely zpracování Záznamy o činnostech zpracování Ohlašování narušení zabezpečení Kdo je to DPO? Takže co musíme udělat?

Co je to GDPR? 2016/679/EC Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) začne platit ve všech zemích EU jednotně od 25. května 2018. V ČR nahradí stávající právní úpravu, kterou je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. GDPR představuje dosud nejucelenější soubor pravidel na ochranu dat.

K přípravě na splnění požadavků GDPR je určeno období od dubna 2016, kdy GDPR vstoupilo v platnost, do května 2018, kdy GDPR nabude účinnosti. V tomto období musí všichni, kterých se GDPR týká, zrevidovat zavedené postupy nakládání s osobními údaji, a to jak v listinné, tak i v elektronické podobě. GDPR přináší jak změny v povinnostech správce osobních údajů, tak i v právech subjektu údajů. Bude vytvořen prováděcí zákon.

Revoluce? GDPR není revolucí ve zpracování osobních údajů. Zpřesňuje a rozšiřuje definice a povinnosti při zachování většiny známých institutů. Přináší několik novinek. Nevyhnutelně se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí, a to včetně společností a institucí mimo území EU, které na evropském trhu působí.

Co jsou osobní údaje? Osobním údajem se rozumí jakákoli informace týkající se určeného nebo určitelného subjektu údajů, tj. jestliže subjekt údajů lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Nařízení - „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Orientační rozdělení Je osobní údajem Je citlivým osobním údajem Není osobním údajem Jméno, adresa Osobní údaje dětí Anonymní údaj Tel. číslo, e-mail Členství v odborech Údaje zesnulé osoby Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Z činnosti čistě osobní povahy Datum narození Sexuální orientace Občanství Biometrie

Zásady GDPR Zásada zákonnosti, korektnosti a transparentnosti Všechna zpracování osobních údajů je možné realizovat pouze na základě zákonných titulů, které musí být dostatečně specifické, korektní a transparentní. Zásada účelového omezení Osobní údaje je možné zpracovávat pouze pro určité, výslovně vyjádřené a legitimní účely. Zásada minimalizace údajů Zpracování musí být přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

Zásada přesnosti Správce osobních údajů je povinen aktualizovat údaje, které zpracovává. Zásada omezení uložení Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Zásada integrity a důvěrnosti Osobní údaje musí být zabezpečeny před hrozbami uvnitř organizace i vně organizace, a to ve všech podobách zpracování (automatizované i papírové). Zásada odpovědnosti Správce nese odpovědnost za dodržování všech pravidel stanovených GDPR, což musí dokumentovat a být schopen vždy doložit.

Práva subjektu údajů Právo na informace – jasně, srozumitelně, na začátku, v průběhu, po skončení, v případě incidentu Právo na opravu, výmaz – zásada přesnosti Právo být zapomenut – expirace, odvolání souhlasu, vzneseny námitky/protiprávní zpracování Právo na přenositelnost – např. k jinému operátorovi, strojově čitelná data Právo vznést námitku – nutno prokázat oprávněnost zpracování

Zákonné účely zpracování Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

Záznamy o činnostech zpracování Čl. 30 GDPR. Záznamy o činnostech zpracování, které musí být zpracovány pro všechny existující účely zpracování. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Výjimky pro malé podniky zaměstnávající do 250 osob, ale ne pro takové, které provádějí rizikové zpracování dat.

Ohlašování narušení zabezpečení Další novou povinností pro správce je ohlašování případů narušení zabezpečení osobních údajů, a to: dozorovému úřadu – jakmile se správce dozví o porušení zabezpečení osobních údajů, bude muset toto porušení bez zbytečného odkladu, a je-li to možné do 72 hodin poté, co se o něm dozvěděl, ohlásit dozorovému úřadu, ledaže by mohl doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody subjektů údajů. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění, subjektu údajů – bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro jeho práva a svobody. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro subjekt údajů, jak případné nežádoucí účinky zmírnit.

Kdo je to DPO? Čl. 37 GDPR. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. Pověřence může jmenovat i správce, který povinnost nemá.

Takže co budeme dělat? Data Protection Impact Assesment - posouzení dopadu, namísto oznamovací povinnosti Každý účel zpracování je nutné přiřadit k některému důvodu zpracování, jak jsou uvedeny v č. 6 GDPR. Získat podklady pro splnění nové povinnosti uložené v čl. 30 GDPR vést záznamy o činnostech, posouzení bezpečnostní dokumentace. Posouzení prokazatelnosti souhlasů se zpracováním a úprava znění souhlasu se zpracováním osobních údajů podle nových kritérií. Posouzení smluvních vztahů s dodavateli a služeb, kteří jsou zpracovateli, smluvní garance, identifikace případného řetězení zpracovatelů. Posouzení rozsahu, efektivity a úrovně přijatých technickoorganizačních opatření při zpracování osobních údajů.

Děkuji za pozornost Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát Kobližná 47/19, 602 00 Brno robert.psenko@sakbrno.cz