Obecné nařízení o ochraně osobních údajů JUDr. Jakub Morávek, Ph.D.
Obecné nařízení Nařízení EP a Rady 2016/679 Smysl a účel právní úpravy ochrana osobních údajů a soukromí volný pohyb osobních údajů přes hranice států jednotná aplikace jednotné trestání zásada odpovědnosti moderní technologie ochrana práv dětí zejména v prostředí moderních technologií zdůraznění práv subjektů údajů – právo na informační sebeurčení
Zásada odpovědnosti Označení zpracování Personální a mzdová agenda Kamerový sytém Marketing Dodavatelé Účel zpracování Prostředky a způsob zpracování Právní titul zpracování Doba uchování Zabezpečení Informační povinnost Uplatnění práv Subjektů údajů (….)
Právní rámec ochrany osobních údajů
Nový právní rámec Ústavní pořádek České republiky Obecné nařízení o ochraně osobních údajů Zákon o zpracování osobních údajů Občanský zákoník a zvláštní právní předpisy
Výkladová stanoviska WP 242 – právo na přenositelnost údajů WP 243 – k pověřencům pro ochranu osobních údajů WP 244 – k určování vedoucího dozorového úřadu pro správce a zpracovatele WP 248 – k posouzení vlivu na ochranu osobních údajů WP 249 – ochrana osobních údajů v souvislosti se zaměstnáním WP 250 – k oznamování bezpečnostních incidentů WP 251 – k automatizovanému rozhodování a profilování WP 252 – ke zpracování osobních údajů v souvislosti s kooperativními inteligentními dopravními systémy WP 253 – k ukládání správních sankcí WP 254 – „zásady zpracování – update WP12“ WP 256 a WP 257– zásady BCR WP 259 – souhlas se zpracováním osobních údajů WP 260 – zásada transparentnosti
Působnost a pojmosloví
„veškeré zpracování osobních údajů“ Působnost Věcná (čl. 2) Osobní Místní (čl. 3) „veškeré zpracování osobních údajů“
Pojmosloví Osobní údaj Správce osobních údajů Citlivý údajů (čl. 9 odst. 1) Správce osobních údajů Zpracovatel osobních údajů Zpracování osobních údajů
Správce - zpracovatel Vztah správce – zpracovatel (čl. 24 an.) společní správci osobních údajů (čl. 26) řetězení zpracovatelů (čl. 28/2 – 4) Smlouva o zpracování osobních údajů
Smlouva o zpracování Náležitosti čl. 28 odst. 3 Nastavení komunikace - bezpečnost Zabezpečení zpracování Zásada odpovědnosti – dokumentace Odpovědnost za plnění povinností vůči subjektu údajů Proces – bezpečnostní incidenty Proces – zajištění přesnosti Proces- uplatnění práv subjektu údajů Standardní smluvní doložky
Základní rámec a povinnosti
Základní schéma a povinnosti účel, prostředky a způsob zpracování právní důvod zpracování osobních údajů (čl. 6 a 9) minimalizace zásahu do soukromí účelové omezení (čl. 5/1/b) údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu (čl. 5/1/c); zpracovávat pouze přesné osobní údaje z hlediska účelu zpracování (čl. 5/1/d) uchovávat pouze po nezbytnou dobu (čl. 5/1/e) zpracovávat údaje transparentně (čl. 5/1/a a čl. 12 an.), včetně informační povinnosti zabezpečení čl. 32 (posouzení vlivu a předchozí konzultace – čl. 35-6) práva subjektu údajů a jejich realizace (právo na přístup, kopii, výmaz)
Právní důvody zpracování Souhlas subjektu údajů Plnění právní povinnosti správce Plnění smlouvy, jejíž stranou je subjektu údajů, provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů Oprávněný zájem správce nebo třetí osoby Životně důležité zájmy subjektu údajů či jiné F.O. Plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci
Práva subjektů údajů Informační povinnost/právo na informace (čl. 12 an.) Právo na přístup k osobním údajům (čl. 15) Právo na opravu a výmaz, právo být zapomenut atp. Právo na přenositelnost údajů (čl. 20) Automatizované rozhodnutí (čl. 21 – 22)
Informační povinnost Označení jednotlivých zpracování osobních údajů Zaměstnanci (základní charakteristika a ikony) Klienti Marketing Kamerový systém komplexní informace, včetně označení práv subjektu údajů Práva subjektů údajů Stručná charakteristika Podrobný podpis práva, důsledky jeho uplatnění a podmínky pro jeho uplatnění Popis způsobu uplatnění práv
Zabezpečení Záměrná a standardní ochrana (čl. 25) Zabezpečení zpracování (čl. 32) Oznámení bezpečnostního incidentu (čl. 33 - 34) __________________________________________ Osobní bezpečnost Prostorová bezpečnost IT bezpečnost
Posouzení vlivu Průběh zpracování Fáze zpracování Možná rizika, včetně pravděpodobnosti Možné negativní důsledky pro práva a svobody, včetně závěru o potřebě eliminace rizika v návaznosti na závažnost důsledku a pravděpodobnost Opatření k odstranění rizika, včetně závěru o zbytkovém riziku Opaření k odstranění zbytkového rizika nebo závěr o tom, že jej nelze odstranit, včetně důvodů Shromáždění Uložení Zpracování Likvidace
Oznámení porušení zabezpečení Podmínky pro vznik povinnosti Forma a způsob oznámení porušení zabezpečení Možné negativní důsledky
Pověřenec pro ochranu os. údajů Ustanovení pověřence Úkoly pověřence Předpoklady pro výkon funkce Postavení, odpovědnost a další aspekty
Záznamy o činnostech zpracování Záznamy o činnostech zpracování (čl. 30) Správce označení a kontakt správce účely zpracování popis kategorií subjektů údajů a kategorií osobních údajů kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny informace o předávání do třetích zemí a vhodných zárukách lhůty pro výmaz, je-li to možné obecný popis technicko-organizačních opatření, je-li to možné Zpracovatel kontakt zpracovatele a označení kontakt a označení správce kategorie zpracování prováděného pro správce
VE SPOLUPRÁCI S Kontaktní informace +420 251 081 111 info@gdpr-certifikace.cz www.akf.cz www.gdpr-certifikace.cz JUDr. Jakub Morávek, Ph.D. jakub.moravek@akf.cz