Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
General Data Protection Regulation GDPR
Obecné nařízení o ochraně osobních údajů (2016/679/EU)
2
GDPR - obecné nařízení o ochraně osobních údajů
O co se jedná a proč je GDPR potřeba? GDPR - obecné nařízení o ochraně osobních údajů GDPR je nařízení EU Jednotná úprava pro celou Evropu Přímo aplikovatelné – není potřeba dalších zákonů v rámci členských zemí EU Harmonizuje pravidla 28 států EU a EFTA zemí – Norsko, Island, Lichtenštejnsko 31 národních zákonů bude zrušeno Bylo schváleno Evropským parlamentem po 4 letém vyjednávání Nahrazuje Směrnici 95/46 EC s účinností od a v ČR zákon 101/2000 SB. – ZOOÚ Nejkomplexnější soubor pravidel na ochranu dat na světě
3
Odkud se GDPR vzalo? Právní úprava dat
4
Každého, kdo zpracovává osobní údaje fyzických osob žijících v EU
Vztahuje se GDPR i na mne? GDPR – koho se týká … Každého, kdo zpracovává osobní údaje fyzických osob žijících v EU Za zpracování osobních údajů se považuje jakákoliv operace s osobními údaji Uložení Nahlédnutí Pozměnění Setřídění Vyhledání Vymazání Zničení Použití Šíření Přizpůsobení Přenos atd.
5
Co přesně jsou ty „osobní údaje“?
GDPR – osobní údaje Osobním údajem je jakákoliv informace o fyzické osobě, pokud lze tuto osobu identifikovat Základní kategorie osobních údajů (jméno, , věk, telefon, IP adresa, cookies, fotografie, atd.) Zvláštní kategorie Rasa nebo etnický původ Politické názory Náboženství a filozofické přesvědčení Členství v odborech Genetické a biometrické údaje Zdravotní stav Sexuální život a orientace Osobní údaje dětí Informace o trestních deliktech nebo pravomocném odsouzení
6
GDPR – subjekty procesu
Kdo je kdo při zpracování osobních údajů? GDPR – subjekty procesu Správce – osoba určující účel a způsob zpracování osobních údajů Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování zpracováním může pověřit třetí osobu Zpracovatel – osoba pověřená správcem k zpracování osobních údajů Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Subjekt – fyzická osoba, které se zpracovávané údaje týkají Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba)
7
GDPR – subjekt osobních údajů
Kdo je tedy ten subjekt a na co má právo? GDPR – subjekt osobních údajů Subjekt – fyzická osoba, které se zpracovávané údaje týkají Práva subjektu Právo na přístup Právo na opravu Právo na výmaz Právo na omezení zpracování Právo na přenositelnost údajů Právo vznést námitku Tato práva se vztahují na všechny osobní údaje, včetně nestrukturovaných!! Práva jsou zneužitelná -> PRIVACY NOTICE – upravuje postup, jakým subjekt může uplatnit svoje práva
8
GDPR – správce a zpracovatel
Jaký je vztah správce a zpracovatele a jaké jsou jejich povinnosti? GDPR – správce a zpracovatel Správce – osoba určující účel a způsob zpracování osobních údajů Primární zodpovědnost Nové povinnosti Zpracovatel – osoba pověřená správcem k zpracování osobních údajů Sdílená zodpovědnost Řetězení zpracovatelů Smlouva o zpracování údajů Jedna osoba může být zároveň správcem i zpracovatelem
9
GDPR – principy Zákonnost Omezení účelem
Jak mají tedy správci a zpracovatelé postupovat? GDPR – principy Zákonnost Omezení účelem Minimalizace údajů a omezení uložení Přesnost Férovost a transparentnost Integrita a důvěrnost Odpovědnost
10
Co to je princip zákonnosti?
GDPR – zákonnost Každé zpracování osobních údajů musí mít Právní základ, který pokrývá Účel zpracování Kategorii zpracovávaných osobních údajů Způsob zpracování Právní základ pro zpracování základní kategorie osobních údajů Plnění či uzavření smlouvy Právní povinnost Oprávněný zájem Souhlas (svobodný, konkrétní, informovaný a jednoznačný) Veřejný zájem či výkon veřejné moci Životně důležitý zájem
11
Co to je princip zákonnosti?
GDPR – zákonnost Právní základ pro zpracování zvláštních kategorií osobních údajů Výslovný souhlas Povinnosti dle pracovního práva Životně důležité zájmy Pracovně-lékařské posudky Zjevně zveřejněné údaje (subjektem) Výkon nebo obhajoba právních nároků Významný veřejný zájem Veřejný zájem při ochraně veřejného zdraví či archivaci
12
Co to je princip omezení účelem?
GDPR – omezení účelem Osobní údaje mohou být shromažďovány pouze pro vymezené, výslovně vyjádřené a legitimní účely Pro každé zpracování musí být předem stanoven konkrétní a legitimní účel Právní základ se vztahuje vždy k jednotlivým účelům Údaje je možné zpracovávat pouze pro daný účel a kompatibilní účely Údaje shromážděné pro různé účely nelze spojovat. Musí být evidovány a zpracovány odděleně.
13
GDPR – minimalizace údajů a omezení uložení
Co to je princip minimalizace údajů a omezení uložení? GDPR – minimalizace údajů a omezení uložení Je možné zpracovávat pouze údaje nezbytné pro stanovený účel Nelze požadovat a zpracovávat údaje, které: Nejsou přiměřené Nejsou relevantní Nejsou nezbytné s ohledem na zpracování dat
14
GDPR – minimalizace údajů a omezení uložení
Co to je princip minimalizace údajů a omezení uložení? GDPR – minimalizace údajů a omezení uložení Je možné zpracovávat pouze údaje po nezbytně dlouhou dobu Údaje je třeba anonymizovat nebo smazat v případe že: Odpadne právní základ pro jejich zpracování Je naplněn účel zpracování – je ukončena služba, která vyžadovala zpracování Je třeba mít politiku uchovávání a mazání dat
15
Co to je princip přesnosti?
GDPR – přesnost Osobní údaje musí být přesné a v případě potřeby aktualizované Správce musí přijmout veškerá přiměřená opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny Přesnost údajů je potřeba ve vybraných případech aktivně ověřovat Zastaralé údaje je třeba mazat Subjektu údajů je potřeba umožnit výkon jeho práv Kritická data, jsou data, která mají na subjekt údajů významný dopad
16
GDPR – férovost a transparentnost
Co to je princip férovosti a transparentnosti? GDPR – férovost a transparentnost Subjekt musí být o zpracování osobních údajů transparentně informován Zdroj údajů = subjekt Informovat je potřeba vždy, pokud subjekt informace již nemá Jiný zdroj údajů Informovat nejpozději do 1 měsíce nebo při první komunikaci či zpřístupnění jinému příjemci Výjimky z informování – nemožnost, nepřiměřené úsilí, zpracování na základě povinnosti, pokud jsou záruky
17
GDPR – integrita a důvěrnost
Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Osobní údaje musí být náležitě zabezpečeny Pomocí vhodných technických nebo organizačních opatření před Neoprávněným zpracováním Protiprávním zpracováním Náhodnou ztrátou Zničením Poškozením
18
GDPR – integrita a důvěrnost
Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Technická a organizační opatření Úměrnost – je třeba vzít v úvahu Povahu zpracování Náklady Dostupné technologie Rizika Faktory se v čase mění -> analýzu je třeba průběžně aktualizovat Opatření, která je potřeba zvážit Pseudonymizace Šifrování Obnova dostupnosti Pravidelné testování a hodnocení
19
GDPR – integrita a důvěrnost
Co to je princip integrity a důvěrnosti? GDPR – integrita a důvěrnost Nová povinnost – hlášení incidentů Dozorovému úřadu (ÚOOÚ) do 72 hodin, jinak zdůvodnění Dotčeným subjektům údajů, pokud je riziko vysoké Obsah hlášení Povaha bezpečnostního narušení Počet ovlivněných subjektů a datových záznamů Kontaktní údaje na DPO nebo jinou osobu, která poskytne více informací Pravděpodobné následky Učinění či navrhovaná opatření Firmy musí mít nastaveny procesy pro řešení incidentů – krátká lhůta
20
GDPR – odpovědnost (accountability)
Co to je princip odpovědnosti? GDPR – odpovědnost (accountability) Správce je povinen zajistit soulad s GDPR a být schopen jej prokázat Musí přijmout vhodná technická a organizační opatření Povinnosti správce Záměrná a standardní ochrana (data protection by design / by default) DPO – pověřenec pro ochranu osobních údajů Posuzování vlivu na ochranu osobních údajů (DPIA) Dokumentace Povinnosti při předávání údajů dalším správcům a zpracovatelům
21
GDPR – povinnosti správců a zpracovatelů
Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Záznamy o zpracování Pokud >= 250 zaměstnanců Zpracování je rizikové nebo pravidelné nebo zahrnuje zvláštní kategorie údajů nebo údaje o trestních rozhodnutích Nutná potřebná dokumentace Povinnost součinnosti s dozorovým orgánem (předložení)
22
GDPR – povinnosti správců a zpracovatelů
Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Povinnosti správce Vztah s jiným správcem nebo zpracovatelem musí být smluvně upraven Písemná forma (včetně elektronické) Předmět, trvání, povaha a účel zpracování, druhy OÚ a kategorie údajů Vázanost instrukcemi Zajištění mlčenlivosti Přijetí opatření k zabezpečení Součinnost při výkonu práv Poskytnutí všech informací k doložení souladu GDPR, umožnění auditu Zákaz pověření dalšího zpracovatele bez souhlasu správce Zpracovatel může být pouze osoba zaručující soulad s GDPR Pokud zpracovatel sám určí prostředky a účel zpracování, stává se správcem Jmenování DPO
23
GDPR – povinnosti správců a zpracovatelů
Můžeme se tedy ještě jednou vrátit ke správcům a zpracovatelům? GDPR – povinnosti správců a zpracovatelů Povinnosti zpracovatele Zavedení bezpečnostních opatření Vedení záznamů o zpracování Hlášení bezpečnostních incidentů správci Jmenování pověřence pro ochranu osobních údajů za stejných podmínek jako správce
24
GDPR – sankce Udělovány rozhodnutím dozorového úřadu
Je to všechno hrozně složité, musím to podstupovat? GDPR – sankce Udělovány rozhodnutím dozorového úřadu Jednotná výše sankcí v rámci EU Za porušení většiny povinností pokuta do výše 10 mil. EUR nebo 2% z celosvětového obratu Za závažná porušení povinností pokuta do výše 20 mil. EUR nebo 4% z celosvětového obratu
25
Už nemůžu, už bude konec? Děkuji za pozornost ……
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.