GDPR (General Date Protection Regulation) Periodické školení PP 28. 8. 2019, uč. 303 Ing. Vladimír Urbánek, DPO
GDPR (General Date Protection Regulation) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Nařízení 2016/679 vstoupilo v platnost v celé EU dnem 25. května 2018. V měsíci dubnu 2019 schválila vláda ČR Prováděcí zákon č. 110/2019 Sb. a Změnový zákon č. 111/2019 Sb. k Nařízení EP a Rady EU 2016/679. GDPR PERIODICKÉ školení
Osobní údaje a jeho kategorie OSOBNÍ ÚDAJ = informace, umožňující nebo potvrzující jedinečnou identifikaci fyzické osoby KATEGORIE ÚDAJŮ: Běžné osobní údaje Zvláštní kategorie osobních údajů („citlivé údaje“) Údaje týkající se rozsudků v trestních věcech a trestných činů GDPR PERIODICKÉ školení
GDPR PERIODICKÉ školení Běžné osobní údaje Běžné osobní údaje Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (všechny údaje, které vedou nebo mohou vést k identifikaci fyzické osoby ať již přímo nebo nepřímo tedy za použití dalších údajů) adresné a identifikační: jméno a příjmení, datum narození, rodné číslo, IČ, DIČ, OP, ŘP, pas, pohlaví, osobní stav, věk, vzdělání, místo narození, adresa, trvalé bydliště, doručovací adresa... další osobní údaje: IP adresa včetně dynamických IP adres, e-mailová adresa; fotografické, video a audio záznamy, mzda, plat, příjem z důchodu informace týkající se identity: ekonomické (č. účtu, RZ auta), kulturní a společenské (dělník, lékař, učitel, vědec, člen sdružení…) GDPR PERIODICKÉ školení
Zvláštní kategorie údajů („citlivé“) Zpracování těchto osobních údajů může ohrozit základní právo člověka na soukromí již z jejich samotné povahy. Mají tedy nárok na zvláštní ochranu. údaje o zdravotním stavu (psychický i fyzický zdravotní stav) údaje o politické nebo náboženské příslušnosti údaje o filozofickém přesvědčení údaje o členství v odborech údaje o sexuální orientaci genetické informace: DNA, RNA, Rh faktor krve (pouze v okamžiku dalšího zpracování vzorku, pokud s ní pracují např. nemocnice nebo kriminalisté, nejsou zvláštní kategorii údajů) biometrické údaje: sítnice, otisk prstu, hlas (fotografie zaměstnanců resp. jejich pořizování pro zaměstnanecké průkazy sem nepatří, muselo by se s nimi dále pracovat třeba technickými prostředky pro identifikaci člověka podle obličeje) informace o rase informace o etnické příslušnosti – národnost GDPR PERIODICKÉ školení
Údaje z trestního řízení Údaje z trestního řízení – rozsudky a trestné činy Na rozdíl od zažitého vnímání citlivých údajů, není součástí zvláštních kategorií osobních údajů zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Ty jsou podle GDPR samostatnou kategorií a kromě informací o rozsudcích v trestních věcech a o trestných činech zahrnují také související bezpečnostní opatření. Podmínky zpracování jsou totožné s podmínkami zpracování běžných osobních údajů s tím rozdílem, že mohou být zpracovávány pouze pod dozorem orgánu veřejné moci nebo podle práva EU či členského státu poskytujícího vhodné záruky ochrany práv a svobod subjektů údajů. trestní delikty GDPR PERIODICKÉ školení
GDPR PERIODICKÉ školení Nařízení 2016/769 EP a R (EU) V úvodní části je zdůvodnění zavedení Nařízení, a vztah tohoto Nařízení na legislativu EU, ve 173 bodech. Vlastní Nařízení je popsáno na 119 stranách, a je členěno do následujících 11 kapitol, na stránkách: Členění nařízení do kapitol a článků: Obecné nařízení, články 1 až 4, (str. 32), Zásady, články 5 až 11, (str. 35), Práva subjektů osobních údajů, články 12 až 23, (str. 39), Správce a zpracovatel, články 24 až 43, (str. 47), Předávání osobních údajů do třetích zemí, nebo mezinárodním organizacím, články 44 až 50, (str. 60), Nezávislé dozorové úřady, články 51 až 59, (str. 65), Spolupráce a jednotnost, články 60 až 76, (str. 71), Právní ochrana, odpovědnost a sankce, články 77 až 84, (str. 80), Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování, články 85 až 91, (str. 83), Akty v přenesené pravomoci a prováděcí akty, články 92 a 93, (str. 85), Závěrečná ustanovení, články 94 až 99, (str. 86). GDPR PERIODICKÉ školení
Definice základních pojmů GDPR Osobní údaj: Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Ad b) jsou fyzické osoby, které lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby Genetický údaj: OÚ týkající se zděděných nebo získaných genetických znaků fyzické osoby, který poskytuje jedinečné informace o její fyziologii či zdraví a který vyplývá zejména z analýzy biologického vzorku dotčené fyzické osoby. Biometrický údaj: OÚ vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, který umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje. Údaje o zdravotním stavu: OÚ týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. Zpracování: Jakákoliv operace nebo soubor operací s OÚ nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení výmaz nebo zničení. Omezení zpracování: Označení uložených OÚ za účelem omezení jejich zpracování v budoucnu. Profilování: Jakákoliv forma automatizovaného zpracování OÚ spočívající v jejich použití k hodnocení některých osobních aspektů, vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkající se jejího pracovního výkonu, ekonomické situace, zdravotního vztahu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu. GDPR PERIODICKÉ školení
GDPR PERIODICKÉ školení Pseudonymizace: Zpracování OÚ tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované identifikovatelné fyzické osobě. Ve škole se jedná o zveřejnění výsledků písemných přijímacích zkoušek z MA a ČJ, na webových stránkách školy nebo na úřední desce ve škole. Evidence: Jakýkoliv strukturovaný soubor OÚ, přístupný podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska. Správce: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování OÚ. Jsou-li účely a prostředky tohoto zpracování určeny právem Unie nebo členského státu, může toto právo určit dodatečně správce nebo zvláštní kritéria pro jeho určení. Zpracovatel: Fyzická nebo právnická osoba, orgán veřejné moci agentura nebo jiný subjekt, který zpracovává OÚ pro správce. Příjemce: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou OÚ poskytnuty, ať již se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat OÚ v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto OÚ těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování. Třetí strana: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani není osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování OÚ. Souhlasem: Subjektu údajů je jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášení či jiným způsobem potvrzení své svolení ke zpracování svých OÚ. Porušení zabezpečení osobních údajů: Porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovaných OÚ. Dozorový orgán: Nezávislý orgán státní moci zřízen členským státem, v ČR - Úřad na ochranu osobních údajů. GDPR PERIODICKÉ školení
Novinky v oblasti zpracování osobních údajů GDPR Nový přístup v oblasti ochrany osobních údajů Obecné nařízení na ochranu osobních údajů (GDPR) je ucelený soubor pravidel na ochranu dat v EU. Cílem je hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje. Před vydáním „Nařízení“ zveřejnila EK, prostřednictvím „Informačního přehledu“ - leden 2016, z iniciativy euro komisařky Věry Jourové, tuto informaci: „V dubnu 2011 došlo v jedné technologické společnosti k závažnému narušení bezpečnosti, které ohrozilo účty 77 milionů zákazníků. Došlo k úniku jmen, e-mailových i poštovních adres, dat narození, hesel a informací nutných k přihlášení, nákupní historie a informace o kreditních kartách.“ GDPR PERIODICKÉ školení
Důvody pro reformu ochrany osobních údajů EK prostřednictvím tohoto zpravodaje zdůrazňuje silnější ochranu a reformu ochrany údajů. Některých obchodní firmy nutí své zákazníky k poskytování osobních údajů, pokud chtějí získat nějaký výrobek nebo službu, a ti nemají jinou možnost, než své osobní informace poskytnout. EK dále uvedla, že v roce 2011: 50% evropských uživatelů internetu se obává, že se stane obětí podvodu kvůli zneužití svých osobních údajů 70% se domnívá, že jsou jejich údaje využívány za jiným účelem, než za jakým byly shromážděny téměř všichni Evropané si přejí být informováni o případné ztrátě svých osobních údajů 15% osob si myslí, že mají informace, které poskytují online, plně pod kontrolou 31% osob si myslí, že nad nimi nemají vůbec žádnou kontrolu Od té doby došlo k velkému rozmach internetového obchodování a růstu uživatelů elektronické komunikace. Eurostat odhadoval, že v roce 2011 v Evropě denně využívalo internetu 250 milionů uživatelů. GDPR PERIODICKÉ školení
GDPR PERIODICKÉ školení Úniky osobních údajů S rozvojem inteligentních přenositelných zařízení pro komunikaci na síti se počet uživatelů prudce zvyšuje a je známo rčení: „Kdo není na síti – neexistuje“. Největší úniky dat v uplynulých 7 letech. Toto jsou důsledky rozvoje komunikace s e-obchody v podobě úniků dat. Zdroj ČT 24 z pořadu o GDPR. Toto jsou důsledky porušení Nařízení EU v roce 2019: Byly uděleny následující pokuty firmám v ČR: EC PROFIA - 800 000,- Kč; Česká Pošta - 250 000,- Kč a v Itálii: Facebook - 10 milionů Euro!!!!!!!!. GDPR PERIODICKÉ školení
Nový přístup k ochraně osobních údajů Nový přístup k ochraně osobních údajů je založen na dvou principech: Princip odpovědnosti = škola má odpovědnost za dodržování zásad zpracování, která jsou uvedena v článku 5 odst. 1 Obecného nařízení, a zároveň musí správce být schopen tento soulad doložit. Princip založený na riziku = škola musí přihlížet k pravděpodobným rizikům pro práva a svobody fyzických osob, a tomu musí přizpůsobit i zabezpečení osobních údajů. GDPR PERIODICKÉ školení
Soulad s GDPR!!! musí správce OÚ na vyžádání ÚOOÚ doložit písemně!!!! Co musí škola dle Nařízení plnit v souladu s GDPR Zpracovávat OÚ (čl. 6 – 8 Nařízení), většinu OÚ zpracováváme podle zákona (Školský zákon) Zpracovávat citlivé údaje (čl. 9 Nařízení), pokud poskytnou informace Zákonní zástupci, nebo PPP Poskytovat informace o ochraně OÚ (čl. 12 Nařízení), subjekty OÚ Naplňovat právo na přístup k OÚ (čl. 15 Nařízení), subjekty OÚ Realizovat právo na opravu OÚ (čl. 16 Nařízení), subjekty OÚ Akceptovat právo na výmaz OÚ (čl. 17 a 18 Nařízení), přitom dodržovat spisový a skartační řád Právo vznést námitku proti zpracování OÚ (čl. 21 Nařízení), subjekty OÚ Realizovat prevenci a výchovu k ochraně OÚ (zahrnout do ŠVP, dle metodiky MŠMT ke GDPR) Obecné zásady pro zpracování OÚ (čl. 5 Nařízení) Soulad s GDPR!!! musí správce OÚ na vyžádání ÚOOÚ doložit písemně!!!! GDPR PERIODICKÉ školení
Jaká opatření musí škola realizovat Organizační a technická opatření k zabezpečení OÚ ve škole (čl. 32 – 36 Nařízení) jsou realizována v těchto oblastech a dokumentech: spisový a skartační rád školy, školní řád a organizační řády odborných učeben a pracovišť, školní matrika a kniha úrazů, organizace výchovy a vzdělávání, webové stránky a sociální sítě – fotografie a další mediální záznamy, mimoškolní akce, kamerový systém, smlouvy s dodavateli služeb a software, zabezpečení výpočetní techniky, PC učeben a odborných učeben s PC technikou, poskytování dotací z operačních programů, pracovní náplně zaměstnanců, školní jídelna a domovy mládeže. GDPR PERIODICKÉ školení
Škola je správce OÚ i zpracovatel Škola je správcem i zpracovatelem osobních údajů a zajišťuje i další procesy v souladu s GDPR: Záznamy o činnostech zpracování (čl. 30 Nařízení) Ohlašování případu porušení zabezpečení OÚ dozorovému úřadu (čl. 33 a 34 Nařízení) do 72 hod Jmenuje pověřence pro ochranu OÚ (čl. 37 až 39 Nařízení) Řeší porušení mlčenlivosti Vybírá poplatky za poskytnuté informace, odmítá žádosti. Škola se musí řídit Nařízením 2016/679 Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a prováděcím zákonem č. 110/2019 Sb. ze dne 24. dubna 2019. GDPR PERIODICKÉ školení
Většina z Vás je zpracovatelem OÚ! Zpracovatel musí pořizovat Záznamy o činnostech zpracování (čl. 30 Nařízení) Co je nutné zaznamenávat povinně: jméno a kontaktní údaje správce a pověřence, jméno a příjmení subjektu údajů, účel zpracování, popis kategorií subjektů OÚ a kategorií OÚ, kategorie příjemců, kterým byly nebo budou OÚ poskytnuty, informace o případném předání OÚ do třetí země nebo i mimo EU, plánovaná lhůta pro výmaz jednotlivých kategorií údajů, je-li to možné, obecný popis technických a organizačních bezpečnostních opatření, je-li to možné, V jaké situaci je nutné záznam pořídit: při zpracování OÚ (třídní kniha, výchovná opatření), při předávání OÚ v podobě seznamu účastníků vzdělávací akce při návštěvách kina, exkurzi do firmy, zájezdu v ČR nebo do zahraničí (řádně zvažte, zda se opravdu jedná o osobní údaje), Při zpracování vysvědčení (v průběhu vzdělávání, při ukončení - maturitní a výuční list), při předávání výsledků vzdělávání firmám, návrhy na stipendia a další předávání sociálním partnerům, spřáteleným školám doma i v zahraničí, přepravcům, ubytovatelům apod. Ukázka záznamu pořízení OÚ: GDPR PERIODICKÉ školení
Děkuji za pozornost Prostor pro Vaše dotazy. Netvořte zbytečně papírové dokumenty, které nepotřebujete !!!!! Prostor pro Vaše dotazy. GDPR PERIODICKÉ školení