GDPR JUDR. Mgr. Barbora Vlachová Odborný Networking 11.5.2018, Česká asociace Právniček

Prameny ochrany osobních údajů Čl. 8 Listiny základních práv EU Čl. 7 a 10 Listiny základních práv a svobod Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – pouze do účinnosti GDPR Zákon č. 101/2000 Sb., o ochraně osobních údajů Nařízení EP a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR)

Obecné nařízení o ochraně osobních údajů (GDPR) Platnost nařízení od 24. 5. 2016 Účinnost nařízení od 25. 5. 2018 Vyjednávání o textu probíhalo více než 4 roky Kontinuita s původní právní úpravou, ale reflexe nových trendů ochrany osobních údajů přímo závazné jak pro členské státy, tak pro všechny FO a PO územní působnost – i společnosti, které nemají své sídlo v EU, ale zpracovávají osobní údaje občanů EU

Zásady zpracování osobních údajů zákonnost, korektnost a transparentnost účelové omezení minimalizace údajů přesnost (osobních údajů) omezení uložení integrita a důvěrnost odpovědnost

Osobní údaj Osobní údaj - veškeré informace o identifikované nebo identifikovatelné fyzické osobě (fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity) zvláštní podmínky pro zpracování specifických osobních údajů Požadavky na zpracování: zákonnost, korektnost, transparentnost, jen údaje přiměřené, relevantní a omezené na nezbytný rozsah

Zpracování jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

Souhlas se zpracováním osobních údajů Svobodný, výslovný, vědomý a jednoznačný projev vůle, daný prostřednictvím prohlášení, nebo jasnou souhlasnou akcí Souhlasy se získané před účinností GDPR budou platné jen v tom případě, pokud jsou s ním v souladu Právo subjektu kdykoli svůj souhlas odvolat

Správce a zpracovatel osobních údajů fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (i správce mimo EU, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb - musí jmenovat zástupce, který nese odpovědnost) zpracovatel: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

Právní tituly zpracování osobních údajů uzavření nebo plnění smlouvy se subjektem údajů; splnění právní povinnosti; splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; oprávněný zájem správce; souhlas subjektu údajů; ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.

Účel zpracování osobních údajů Omezení účelem –stanoven před zpracováním Další zpracování (za jiným účelem, než za jakým byla data shromážděna) -při slučitelnosti Automaticky slučitelný účel: Vědeckého či historického výzkumu nebo pro statistické účely Archivace ve veřejném zájmu

Práva subjektu údajů přístup ke svým osobním údajům výmaz („právo být zapomenut“) nebo na omezení zpracování kopie osobních údajů, přenositelnost být informován o vhodných zárukách oprava nepřesných nebo neúplných údajů

Nejvýznamnější novinky GDPR Pověřenec pro ochranu osobních údajů Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a oznamování téhož dotčeným subjektům údajů Sjednocení dozoru nad ochranou osobních údajů Povinnost provést posouzení vlivu na ochranu osobních údajů

Kdy musí být jmenován pověřenec ochrany osobních údajů zpracování provádí orgán veřejné moci či veřejný subjekt hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů ostatní organizace mohou pověřence jmenovat dobrovolně na základě vlastního uvážení

Požadavky na osobu pověřence znalost národního a unijního práva v oblasti ochrany dat a hluboké znalosti GDPR praktické zkušenosti aplikace požadavků ochrany dat znalost prováděných zpracovatelských operací znalost informačních technologií a bezpečnosti dat znalost dané oblasti podnikání a organizace schopnost propagovat kulturu ochrany dat v organizaci

Jak zabezpečit požadavky s GDPR Analýza stávající práce s osobními údaji Prověrka slučitelnosti procesů zpracování s GDPR Návrh opatření pro zabezpečení zpracování osobních údajů v souladu s GDPR Vytvoření nebo aktualizace vnitřních předpisů nakládání s osobními údaji Vytvoření technického řešení Revize dokumentů

Dozor a sankce Dozorový úřad – Úřad pro ochranu osobních údajů Sankce: Široké pravomoci dozorového úřadu Vyšetřovací pravomoci Nápravné pravomoci Povolovací a poradní pravomoci Sankce: •Současný stav = max. 10 mil. Kč •GDPR = až do 20 mil. EUR nebo 4 % celosvětového ročního obratu

Děkuji za pozornost. Vlachova@ak-vlachova.cz www.ak-vlachova.cz