Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
General Data Protection Regulation
Obecné nařízení o ochraně osobních údajů KŘÍŽ A PARTNEŘI 1
2
Použité zkratky GDPR - Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ZOOÚ – zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů OÚ – osobní údaj(e) Úřad – Úřad pro ochranu osobních údajů 2 2
3
GDPR účinnost nabývá 25. května 2018, GDPR je přímo závazné na území ČR i EU zásadní změny ve způsobu užívání, správě a ochraně osobních údajů neupravuje žádné přechodné období pro uvedení zpracování OÚ do souladu s novou úpravou všechny subjekty se musí na GDPR dostatečně předem připravit, aby zpracování osobních údajů probíhalo od 25. května 2018 podle GDPR v základních rysech vychází ze stávající směrnice č. 95/46/ES v mnohém je nová úprava přísnější a podrobnější 3 3
4
Působnost GDPR nakládání s údaji identifikovatelných fyzických osob
platí pro soukromý i veřejný sektor 4 4
5
Působnost GDPR místní působnost: správce / zpracovatel z EU
pro třetí země (a mzn. organizace) – provozovna v EU nabídka zboží či služeb fyzickým osobám v EU monitorování chování fyzických osob v EU
6
Základní principy zpracování
minimalizace údajů (nezbytný rozsah relevantních údajů) přesnost (přesné údaje, oprava či výmaz neaktuálních údajů) omezení uložení OÚ po dobu nezbytně nutnou integrita a důvěrnost (zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním) 6 6
7
Právní základ pro zpracování OÚ
Souhlas subjektu údajů se zpracováním jeho OÚ Právní tituly pro zpracování (podobné úpravě v ZOOÚ) bez nutnosti získat souhlas: plnění smlouvy splnění právní povinnosti ochrana životně důležitých zájmů subjektu údajů veřejný zájem, výkon veřejné moci oprávněný zájem Národní legislativa (zvl. pr. pp.) = splnění právní povinnosti. Správce však musí i při tomto zpracování dodržet veškeré další podmínky vztahující se k ochraně dat atp. 7 7
8
Souhlas subjektu údajů
definice souhlasu v základních rysech stejná, ale doplňují se pravidla pro jeho získání svobodný projev vůle výslovný projev vůle vědomý projev vůle jednoznačný projev vůle nepodmíněný projev vůle projev vůle učiněný prostřednictvím prohlášení nebo jasnou souhlasnou akcí NE mlčky NE konkludentně 8 8
9
Souhlas subjektu údajů
žádost o souhlas musí být předložena způsobem, který je od jiných skutečností jasně odlišitelný, srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků souhlas musí být možno subjektem odvolat (o čemž musí být subjekt informován) pokud současné souhlasy nesplňují podmínky GDPR, musí správce obdržet nové souhlasy 9 9
10
Práva subjektů údajů zakotveno mnoho nových práv
právo na informace a přístup k OÚ právo na opravu právo na výmaz (právo být zapomenut) právo na omezení zpracování OÚ (pro profilaci subjektů údajů - absol.) právo na přenositelnost údajů (portabilita) právo vznést námitku (např. proti rozh. na automat. zpracování OÚ - pro účely přímého mkt.) uvedená práva mohou být právní úpravou členských států omezena (čl. 23 GDPR) / omez. GDPR 10 10
11
Pověřenec pro ochranu os. údajů I.
DPO (Data Protection Officer) povinný pro orgány veřejné správy hlavní činnost spol. - rozsáhlé pravidelné a systematické monitorování osob - rozsáhlé zpracování zvláštních kategorií údajů WP29 - výkladové stanovisko – proč ne dobrovolně, aktualizovat 11 11
12
Pověřenec pro ochranu os. údajů II.
zaměstnanec nebo externě - smlouva o poskytování služeb odpovídá jen nejvyššímu managementu (nezávislost) požadavky expertní znalost práva a praxe ochrany OÚ zaměstnanec / extérní dodavatel služeb nezávislost, mlčenlivost náplň (hlavní) dohled na dodržování GDPR kontaktní osoba při jednání s Úřadem 12 12
13
Zabezpečení GDPR přesné technické nároky neuvádí - vysoké standardy technologické ochrany osobních údajů (enkryptování, omezení přístupu atp.) vyhodnocení a nastavení technických a organizačních opatření ISO - PIA/ nástroje / běžně - ÚOOÚ Princip rizika: Proces trvalého a systematického řízení rizik - zohlednit stav techniky, náklady na provedení, kontext atd., PIA posoudit rizika spojená se zpracováním – vysoké riziko: anonymizace, prevence, ochrana
14
Incident – porušení zabezpečení OÚ
Princip odpovědnosti (Čl. 24) správce, zpracovatele podle GDPR: dodržovat, prokazovat soulad (i důvodů nedodržení) Riziko ohrožení práv a svobod subjektu údajů Ohlašovací povinnost: postup, obsah, výjimky a lhůty – Úřadu (a subjekt údajů) Nehrozí vysoké riziko práv a svobod, přijata dříve tech. opatření, nepřiměřené úsilí Vést evidenci všech incidentů (i x riziko)
15
Sankce dle ZOÚÚ možná sankce do 10 mil. Kč, v praxi řádově nižší
dle GDPR 2 kategorie sankcí - zvýšení možné sankce až do 20 mil. EUR nebo 4% ročního celosvětového obratu (podle toho, co je vyšší) Čl. 83, 84 (pro informaci – pro orgány veřejné moci a veřejné subjekty mohou členské státy stanovit pravidla, zda a do jaké míry je možné jim ukládat pokuty – zatím nejasné) 15 15
16
Doporučený postup I. Vyhodnotit data: jaká, kým, proč a jakým způsobem zpracovává v rámci společnosti. Seznámit se s aktuální podobou souhlasů, smluvních klauzulí a podmínek, s postupy při zpracování a ochraně osobních údajů. Vyhodnotit body 1. a 2. v poměru k požadavkům GDPR. Implementovat navržené změny pro soulad s GDPR. Zajistit prověření nových postupů v praxi, zpětnou vazbu od oddělení, testy postupů pravidelně opakovat, v návaznosti na zpřesňování výkladu některých ustanovení GDPR audit opakovat –hodnocení nastavených procesů, vnitřních směrnic, obsahu dokumentů - případně opět přizpůsobit 16 16
17
Doporučený postup II. Revize způsobu a zpracování osobních údajů týkajících se: marketingu a reklamy – jednotliví členové uskupení (např. zákaznické dotazníky a databáze, profilování) databáze klientů jednotlivých členů uskupení v návaznosti na typ zboží / služeb zaměstnanců jednotlivých členů uskupení (smlouvy se zaměstnanci) obchodních sítí jednotlivých členů uskupení (údaje smluvních stran - fyzických osob, apod.) Ověřit povinnost ustanovit DPO
18
Doporučený postup III. Princip odpovědnosti: Záznamy, právní posouzení
Správce prokázat, že data byla zpracovávána v souladu s GDPR (v některých případech nutné vest záznamy o procesech a rozhodnutích – více, než 250/citlivé OÚ). Osvědčení o zpracovávání osobních údajů v souladu s GDPR (některé podmínky upravují členské státy) Kodexy uskupení (i pro mimo EU Čl. 46 – když závazné vymahatelné)
19
Podstatné na závěr – budoucí vývoj
Není univerzální nástroj Vágnost řady ustanovení - vývoj GDPR, národní úprava (výkladová stanoviska WP29, implementační zákon, stanoviska Úřadu) Problematika národní úpravy členskými státy př. dohledové orgány, DPO, transfer dat, odpovědnost, sankce, povinnosti a limity práv… iniciativa uskupení
20
Advokátní kancelář Kříž a partneři s.r.o.
JUDr. Michal Morawski JUDr. Veronika Křížová. LL.M. Kontakt:
21
Závěr a diskuze 21 21
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.