GDPR – Nařízení o ochraně osobních údajů
Z čeho vychází - Zákon o ochraně osobních údajů - GDPR – General Data Protection Regulation (Obecné nařízení o ochraně osobních údajů) - Nový Občanský zákoník - judikatura (NS, NSS, ESLP, ÚS …)
Co to je osobní údaj +420 774 038 412 č.ú. 13242831/0100 620415/1451 Roman Koželuh muž, bydliště Brno, profese zemědělec, zájmy: jízda na koni roman.kozeluh@firma.cz info@mojefarma.cz romik24@seznam.cz nar. 15.4.1962, zemědělec 89.24.35.245
Takže: Informace, které jsou přiřaditelné ke konkrétnímu člověku + Je to legálně proveditelné
Pojmy Pseudonymizace = vratná Anonymizace = nevratná Zpracování - cokoli, co dělá s informací o určité osobě (automatizovaně, polo nebo ručně)
= zvláštní kategorie osobních údajů (dříve „citlivé údaje“) Rasový či etnický původ Politické názory Náboženské vyznání či filozofické přesvědčení Členství v odborech Zpracování genetických či biometrických údajů za účelem jedinečné identifikace Údaje o zdravotním stavu Údaje o sexuálním životě nebo orientaci Údaje o rozsudcích a trestných činech = zvláštní kategorie osobních údajů (dříve „citlivé údaje“)
Správce a zpracovatel proč a jak x provede
Zpracovatel: pouze poslouchá, dělá co chce správce Správce: říká co, proč a jak
Předávání dat Musím mít oprávnění nebo souhlas O všem se musí zpracovávat záznam a musím informovat V případě třetích zemí (mimo EHS) musí být bezpečné prakticky na úrovni členských států EHS (Švýcarsko, Kanada, Argentina, Uruguay, Faerské ostrovy, Guernsey, Jersey, Man, Andorra, Izrael, Nový Zéland, EU-US Privacy-shield Framework)
Cloud Účetní SW Účetní Zákazník Velkoobchod s krmivem
Zákon říká, že můžu nebo musím Kdy můžu zpracovávat Zákon říká, že můžu nebo musím Mám souhlas
Zákon říká, že můžu/musím Plnění smlouvy (včetně jednání o ní) Oprávněný zájem Životní zájem člověka Veřejný zájem GDPR Zákonný důvod (odvody, mzdy, zákoník práce…) Jiné zákony (povinnosti) Zákon říká, že můžu/musím
INFORMAČNÍ POVINNOST ZPRACOVATELŮ …to ale nestačí Vždy je nutné informovat!!! INFORMAČNÍ POVINNOST ZPRACOVATELŮ kdo, co, proč, jak dlouho, dobrovolně/nutně, práva Prakticky: Účel Jaká data Mám důvod? Potřebuji souhlas
Přiměřený Aktivní Dobrovolný Souhlas
Souhlas Evidovat Obsahuje: Kdo Kdy Jak zněl Jak byl udělen Jestli byl odvolán (a kdy) (pozor na děti)
Souhlas se zpracováním osobních údajů. Souhlasím se shromažďováním, uchováním a zpracováním osobních údajů obsažených v tomto formuláři správcem STUDENT AGENCY, k.s., se sídlem Dům pánů z Lipé, Náměstí Svobody 17, 602 00 Brno, Česká republika, IČ: 25317075 (příp. jeho zaměstnanci) pro účel stanovený níže. Tento souhlas uděluji pro všechny údaje obsažené v tomto formuláři, a to po celou dobu 5 (pěti) let ode dne udělení souhlasu. Zároveň jsem si vědom/a svých práv podle §12 a 21 zákona č. 101/2000 Sb., o ochraně osobních údajů. Se všemi vyplněnými částmi tohoto formuláře jsem byl/a seznámen/a, všechny údaje jsou přesné a pravdivé a jsou poskytovány dobrovolně. Účel zpracování osobních údajů V souladu s § 5 zákona č. 101/2000 Sb. o ochraně osobních údajů jsou všechny údaje uvedené v tomto formuláři shromažďovány a zpracovávány výhradně pro účely zasílání obchodních sdělení subjektu údajů prostřednictvím elektronických prostředků podle zákona č. 480/2004 Sb., o některých službách informační společnosti, a to do doby, kdy subjekt údajů přímo a účinně zašle správci informaci o tom, že si nepřeje, aby mu byly obchodní informace správcem nadále zasílány), maximálně však na dobu 5 (pěti) let. Sumarizované údaje z tohoto formuláře mohou být použity správcem pro statistické účely, a to pro vnitřní potřebu správce. Prohlášení správce Správce prohlašuje, že bude shromažďovat osobní údaje v rozsahu nezbytném pro naplnění stanoveného účelu a zpracovávat je pouze v souladu s účelem k němuž byly shromážděny. Zaměstnanci správce nebo jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem a další osoby jsou povinni zachovávat mlčenlivost o osobních údajích, a to i po skončení pracovního poměru nebo prací. Zdroj: https://www.studentagency.cz/souhlas.html
Svobodný souhlas Svobodný souhlas je na úrovni dalších oprávnění Souhlas nemůže být podmínka poskytnutí služby Souhlas nemůže být schován do obchodních podmínek Souhlas nemůže být všeobecný Souhlas musí být svobodnou vůlí osoby Správce by pro 99% svých činností neměl souhlas potřebovat (pokud se tím neživí) Svobodný souhlas
2.) Chci dál využívat data 1.) Nemám souhlas 2.) Chci dál využívat data Souvislost Povahu Přiměřenost 3.) Posoudím Test slučitelnosti
Práva člověka 1.) Právo na potvrzení o zpracování 2.) Právo na opravu 3.) Právo na výmaz 4.) Právo na omezení zpracování 5.) Právo na přenos 6.) Právo vznést námitku proti zpracování 7.) Právo podat stížnost u ÚOOÚ
Pověřenec Jsem veřejný subjekt nebo orgán veřejné moci Provádím zpracování vyžadující rozsáhlé pravidelné a systematické monitorování Provádím rozsáhlé zpracování zvláštních kategorií údajů
ÚOOÚ Hlásí se dopředu Musím mu hlásit únik údajů do 72 hodin (a také dotčeným lidem) Pokud je malé riziko, můžu si to nechat pro sebe
Zásady směrnice Zákonnost – dodržovat současné zákony Transparentnost – pouze s pravdivým důvodem a informovat o tom Minimalizace údajů – pouze potřebné nebo zákonem dané Přesnost – pouze přesné údaje Omezení uložení – jen po co nejkratší dobu Integrita a důvěrnost – povinnost zabezpečit data Přiměřenost – úměrně rozsahu
Takže je to celé jen euronesmysl? Snížení administrativy Podnikatelská etika a garance služeb Kontrola nad procesy ve firmě a dodavateli Jednotné po celé EU Konkurenční výhoda Vítězství Evropské komise nad americkými giganty Je to takové ISO naruby
Jak GDPR vyřešit Udělat Vstupní analýzu Vzniklý Seznam úkolů dle kritičnosti vyřešit Udělat Výstupní analýzu Pravidelně překontrolovat (ročně, půlročně, při velkých změnách) Jak GDPR vyřešit
Prakticky Vypracovat Směrnici o nakládání s osobními údaji 1 Vyhotovit Zpracovatelské smlouvy se všemi dodavateli 2 Doplnit pracovní smlouvy o Dodatky o mlčenlivosti 3 Proškolit zaměstnance o bezpečnosti práce s daty 4 Na webu založit sekci Zásady ochrany osobních údajů 5 Informovat o používání cookies 6 Vypracovat Záznam o zpracování pro kamery a informovat o nich 7 Chovej se tak, jak bys chtěl, aby se ostatní chovali k tvým datům 8
Kolik to stojí Nic – ale můžu přijít o zakázky, může mě vytrestat konkurence, můžu ztratit zákazníky, můžu dostat pokutu 50.000 – 250.000 – renomované právní kanceláře Vám na míru zpracují řešení, které bude vyžadovat ještě jednou takovou sumu na nákup IT systémů a zařízení
Kompletní zpracování a implementace Noxidar s pomocí IT firmy Secure Data a právní kanceláře Dvořák Hager & Partners vyhotoví jednoduché a použitelné řešení s minimálními dalšími náklady (využije se co je a udělá se tak, aby to bylo proveditelné) Balíček MINI – Živnostník bez zaměstnanců 4.990,- Balíček STANDARD – Malá firma do 10 lidí, e-shop, účetní, doktor, IT 9.990,- Balíček MAXI – Střední firma nad 10 lidí 14.990,-
Otázky?
Tomáš Válek 774652082 tomas.valek@noxidar.cz Webový nástroj pro orientaci – www.gdprkalkulacka.cz