Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Národní konference GDPR 2017, Praha, 23. listopadu 2017

Podobné prezentace


Prezentace na téma: "Národní konference GDPR 2017, Praha, 23. listopadu 2017"— Transkript prezentace:

1 Národní konference GDPR 2017, Praha, 23. listopadu 2017
Obecné nařízení o ochraně osobních údajů a Vy: příprava PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů Národní konference GDPR 2017, Praha, 23. listopadu 2017

2 Nalaďte se na vlnovou délku ochrany osobních údajů
Krok 1

3 Dolaďte na obecné nařízení o ochraně osobních údajů
Krok 2

4 Zůstaňte připojení a příjem udržujte …
Krok 3

5 Průběžně dolaďujte … Krok 4 Příliš stručné?

6 Krok 1: základní ladění Jste již naladěni. → Pokračujte krokem 2
Nejste naladěni, příp. máte pochybnosti → proveďte krok 1 a na základním naladění chvíli setrvejte. Doporučení: V žádném případě krok 1 nepřeskakujte! Výstraha: Pokud tak učiníte, budou Vás další kroky stát mnohem více (v úsilí i penězích)

7 Krok 1: základ ladění Právo na ochranu osobních údajů (Úmluva RE č. 108) Čl. 10 Listiny základních práv a svobod čl. 8 Charty základních práv EU: 1. Každý má právo na ochranu osobních údajů, které se ho týkají. 2. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. 3. Na dodržování těchto pravidel dohlíží nezávislý orgán.

8 Krok 2: (na)ladění na obecné nařízení
Zmapování stávajícího stavu ve zpracování osobních údajů (inventura) Identifikace požadavků vyplývajících z relevantních povinností Promítnutí stávajícího souladu oproti relevantním povinnostem z ON + identifikace potřebných změn (též GAP analýza) Stanovení priorit a implementační plán

9 Krok 2: inventura (mapování)
Kde, proč, jak a jak dlouho zpracováváme Agendy (úkoly) a útvary Aplikace, systémy Právní důvod každého z účelů souhlas subjektu údajů, smlouva s ním právní povinnost, oprávněný zájem - specificky Rizikovost zpracování Povaha údajů a operací Účel a kontext Vazby na jiná zpracování

10 Krok 2: identifikace a příprava potřebných změn
Povinnosti a jak je plním (mám plnit): aktuální opatření Upravit (nově určit) základní parametry všech samostatných zpracování (rozsah, kvalitativní limity, doba uložení vč. výmazu na žádost …) Určit organizační a technická opatření k zabez-pečení osobních údajů Určit (odhadnout) potřebu změn v čase Na pořadí záleží.

11 Účel, právní titul a zpracování jako pomocná činnost
Zpracování osobních údajů není hlavní činností Právním titulem zejm. právní povinnost správce, smlouva se subjekty údajů, oprávněné zájmy (ostatní nejsou vyloučeny) Zpracování pro plnění právní povinnosti a výkon pravomoci upraví adaptační zákon V ČR bude potřeba změn minimální, pokud správce dnes dodržuje zákon o ochraně osobních údajů a příslušné sektorové předpisy

12 Zpracování jako hlavní činnost
Obecně pravděpodobně větší potřeba změn v závislosti na právním důvodu a rizikovosti zpracování Posouzení vlivu žádoucí, popř. nutné Mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů; Za určitých podmínek nutno jmenovat pověřence pro ochranu osobních údajů

13 Krok 2: příprava a provedení změn
Stanovit priority a implementační plán Začít od priorit Dokumentovat existující a nově připravená organizační a technická opatření k zajištění souladu (nejen k zabezpečení osobních údajů): vnitřní předpisy, provozní a uživatelská dokumentace, formuláře Dokumentace incidentů, postup při ohlašování a oznamování

14 Posuzování vlivu na ochranu osobních údajů
Popis zpracování Posouzení nezbytnosti a přiměřenosti Zamýšlená opatření Posouzení rizik pro práva a svobody Dokumentace posouzení Monitorování a přezkum

15 Krok 2 – 3: outsourcing S rozsahem a složitostí informačních systémů správce a zpracování osobních údajů roste zájem o externí zajištění některých činností Pro pomocné činnosti může být externí zajištění výhodné, pro kmenové nikoli Pokud je zpracování součástí kmenové činnosti, pak mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů

16 Krok 3 (jste naladěni): úkoly
Provádět a aktualizovat organizační a technická opatření k zabezpečení osobních údajů (včetně dokumentace), podle oboru činnosti správce i podle sektorové legislativy Dodržovat zvolené parametry zpracování Poskytovat součinnost dozorovému úřadu

17 Součinnost s dozorovým úřadem
Obecná povinnost na požádání spolupracovat Záznamy o zpracování Ohlašování případů porušení zabezpečení Sdělení kontaktních údajů pověřence

18 Průběžně dolaďujte … Krok 4

19 Krok 4: Průběžné dolaďování
Změny Jádro zpracování x rozhraní, dílčí moduly Obsahové x technologické (operace x náležitosti) Posouzení (hodnocení) Posouzení vlivu (rizik) Přezkoumání opatření k zajištění souladu Prověření zabezpečení Dokumentace Vnitřní předpisy, provozní a uživatelská d. Dokumenty určené subjektu údajů

20 Bez obav zpracovávejte osobní údaje a jako subjekty údajů využívejte svých práv
Krok 5


Stáhnout ppt "Národní konference GDPR 2017, Praha, 23. listopadu 2017"

Podobné prezentace


Reklamy Google