Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec 23. 11. 2017.

ZveřejnilAlena Tomanová

Podobné prezentace

Prezentace na téma: "GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec 23. 11. 2017."— Transkript prezentace:

1 GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec

2 Rizika a GDPR Řízení rizik lze považovat za jeden ze základních prvků GDPR Zmínka o rizicích Článek 24 – Odpovědnost správce – přijmout opatření s přihlédnutím k rizikům Článek 25 – Záměrná a standardní ochrana osobních údajů – přijmout opatření s přihlédnutím k rizikům Článek 32 – Zabezpečení zpracování Odst. 1 – přijmout opatření s přihlédnutím k rizikům, Odst. 1 – opatření mají odpovídat rizikům, Odst. 2 – posuzování úrovně bezpečnosti zohlední zejména rizika Článek 35 – Posouzení vlivu na ochranu osobních údajů – rozhodnutí zda provádět se váže na výši rizika spojeného se zpracováním Odst. 7 – je nutné zpracovat posouzení rizik pro práva a svobody a opatření k řešení těchto rizik Článek 39 – pověřenec při plnění povinností bere ohled na rizika spojená s operacemi zpracování

3 Zabezpečení osobních údajů – Čl. 32
S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: pseudonymizace a šifrování osobních údajů; schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

4 Posouzení vlivu na ochranu osobních údajů – Čl. 35 - obecná pravidla
Musí se provádět před zahájením zpracování! Provedení posouzení vlivu na ochranu osobních údajů je neustálý – a nikoli jednorázový – proces. Správce odpovídá za zajištění posouzení vlivu na ochranu osobních údajů Správce si musí rovněž vyžádat posudek pověřence pro ochranu osobních údajů Zpracovatel musí být nápomocen Ve vhodných případech se vyžaduje i stanovisko subjektů osobních údajů Ve vhodných případech se vyžaduje i stanovisko nezávislých odborníků Doporučení zveřejnit část posouzení – popis a souhrn – není povinnost

5 Kdy je posouzení povinné
Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob Povinné zejména v případě: systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; rozsáhlé systematické monitorování veřejně přístupných prostor.

6 Kdy je posouzení povinné
Kriteriální hodnocení na základě posouzení zda zpracování nespadá do následujících devíti kategorií: Hodnocení nebo bodování, včetně profilování a předpovídání, zejména z „aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu“ Automatizované rozhodování, které má právní nebo podobně závažný dopad Systematické monitorování: zpracování, které je používáno k pozorování, monitorování nebo kontrole subjektů údajů, včetně údajů shromážděných prostřednictvím sítí nebo „rozsáhlé systematické monitorování veřejně přístupných prostorů“ Citlivé údaje nebo údaje vysoce osobní povahy: sem spadají i zvláštní kategorie osobních údajů ve smyslu článku 9

7 Kdy je posouzení povinné
Údaje zpracovávané v rozsáhlém měřítku: počet dotčených subjektů údajů vyjádřený konkrétním číslem, nebo jako podíl příslušné populace; objem údajů a/nebo rozsah jednotlivých zpracovávaných údajů; délka nebo trvání činnosti zpracování údajů; zeměpisný rozsah činnosti zpracování. Přiřazování nebo slučování datových souborů, pokud například pocházejí ze dvou nebo více operací zpracování údajů prováděných pro různé účely Údaje týkající se zranitelných subjektů údajů Nové použití nebo využití nových technologických nebo organizačních řešení, jako např. kombinace použití otisků prstů a rozpoznávání obličejů pro zlepšení omezení fyzického přístupu atd. Pokud samotné zpracování „brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy“

8 Kdy není posouzení povinné
Posouzení není povinné pokud povaha, rozsah, kontext a účel zpracování jsou velmi podobné zpracování, pro které bylo posouzení vlivu na ochranu osobních údajů už provedeno. pokud operace zpracování zkontroloval dozorový úřad před květnem 2018 za konkrétních podmínek, které se nezměnily, pokud má zpracování právní základ v právu EU nebo členského státu, pokud je zpracování uvedeno na nepovinném seznamu operací zpracování (sestaveném dozorovým úřadem) Také v již schválených zpracování, pokud nedošlo ke změně rizik

9 Posouzení rizik Možnost zpracovat analýzu rizik dle standardů ISO nebo ISO 27000 Nezbytné kroky Identifikace hrozeb; Posouzení potenciální újmy; Pravděpodobnost újmy; Závažnost újmy. Nutnost posuzovat z pohledu subjektu údajů Příklady možné újmy: Hmotná i nehmotná – diskriminace, krádež či zneužití identity, finanční ztráta, poškození pověsti, …

10 Posouzení rizik - metodika
Možnost použít jako základ metodiku z vyhlášky 316/2015 Sb. Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. např. - riziko (R) = dopad (D) × hrozba (H) × zranitelnost (Z) Úprava pro potřeby GDPR Do funkce přidán další parametr – újma subjektu osobních údajů (U) Výsledná funkce může vypadat R = D x H x Z x U / 4 Obdobný model je možné i pro jiné typy výpočtů rizika

11 Co dělat po posouzení Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední se dodržování schválených kodexů chování pokud jsou nebo stanovisko subjektu údajů Usoudí-li, že je vysoké zbytkové riziko – předchozí konzultace s dozorovým úřadem Může trvat až doba 14 týdnů

12 Kdy je posouzení povinné

13 Cyklický proces posouzení

14 Co musí posouzení obsahovat
Systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; Posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1 Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

15 Vzorový příklad Dopravní podnik a plošný kamerový systém v tramvajích
Popis záměru provozovat kamerový systém v tramvajích, vysvětlení přínosů a záměru tohoto řešení vybráno Zdůvodnění proč je uvedené řešení nezbytné Výpis škod a incidentů za definované předchozí období Přehled aktivit k omezení škod a incidentů v předchozím období Popis jak samotné zpracování bude probíhat Posouzení rizik Popis opatření k zajištění náležité úrovně bezpečnosti včetně přehledu dokumentace a popisu opatření, určení rolí, kontrolní plán, seznamy vytvářených záznamů atd.

16 Relevantní odkazy Plné znění nařízení – Článek 35 a 36
Vodítka k provádění posouzení vlivu Pokyny týkající se pověřence pro ochranu osobních údajů

17 Děkuji za pozornost Marian Němec

Stáhnout ppt "GDPR v praxi Kdy a proč to bez klíčové analýzy dopadů na osobní údaje (DPIA) nepůjde a jak na ni Marian Němec 23. 11. 2017."

Podobné prezentace

Obecné požadavky na výstavbu

Obecné požadavky na výstavbu
Oběh dokumentů mezi ústředními orgány státní správy k 31.12.2002 Ing. Jan Duben Vedoucí projektového týmu březen 2003.

Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
Nástroje územního plánování

Nástroje územního plánování
TEORETICKÉ OTÁZKY BEZPEČNOSTI

TEORETICKÉ OTÁZKY BEZPEČNOSTI
Řízení rizik ve veřejné správě legislativní rámec

Řízení rizik ve veřejné správě legislativní rámec
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina

7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Ochrana osobních údajů při poskytování informací

Ochrana osobních údajů při poskytování informací
Ochrana osobních údajů v České republice

Ochrana osobních údajů v České republice
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.

Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
3. přednáška, 24.10.2012 Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.

3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR

Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.

Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Prosazování ochrany osobních údajů v prostředí podnikatelského subjektu 14. sympozium EDI(FACT a eB) 17. dubna 2008.

Prosazování ochrany osobních údajů v prostředí podnikatelského subjektu 14. sympozium EDI(FACT a eB) 17. dubna 2008.
Proces řízení rizik.

Proces řízení rizik.
Právo na informace Tereza Danielisová,

Právo na informace Tereza Danielisová,
Propojení zákona o integrované prevenci a zákona o hospodaření energií Ing. František Plecháč Státní energetická inspekce.

Propojení zákona o integrované prevenci a zákona o hospodaření energií Ing. František Plecháč Státní energetická inspekce.

Podobné prezentace

Reklamy Google