Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Obecné nařízení o ochraně osobních údajů a Vy: příprava PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů Národní konference GDPR 2017, Praha, 23. listopadu 2017
2
Nalaďte se na vlnovou délku ochrany osobních údajů
Krok 1
3
Dolaďte na obecné nařízení o ochraně osobních údajů
Krok 2
4
Zůstaňte připojení a příjem udržujte …
Krok 3
5
Průběžně dolaďujte … Krok 4 Příliš stručné?
6
Krok 1: základní ladění Jste již naladěni. → Pokračujte krokem 2
Nejste naladěni, příp. máte pochybnosti → proveďte krok 1 a na základním naladění chvíli setrvejte. Doporučení: V žádném případě krok 1 nepřeskakujte! Výstraha: Pokud tak učiníte, budou Vás další kroky stát mnohem více (v úsilí i penězích)
7
Krok 1: základ ladění Právo na ochranu osobních údajů (Úmluva RE č. 108) Čl. 10 Listiny základních práv a svobod čl. 8 Charty základních práv EU: 1. Každý má právo na ochranu osobních údajů, které se ho týkají. 2. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. 3. Na dodržování těchto pravidel dohlíží nezávislý orgán.
8
Krok 2: (na)ladění na obecné nařízení
Zmapování stávajícího stavu ve zpracování osobních údajů (inventura) Identifikace požadavků vyplývajících z relevantních povinností Promítnutí stávajícího souladu oproti relevantním povinnostem z ON + identifikace potřebných změn (též GAP analýza) Stanovení priorit a implementační plán
9
Krok 2: inventura (mapování)
Kde, proč, jak a jak dlouho zpracováváme Agendy (úkoly) a útvary Aplikace, systémy Právní důvod každého z účelů souhlas subjektu údajů, smlouva s ním právní povinnost, oprávněný zájem - specificky Rizikovost zpracování Povaha údajů a operací Účel a kontext Vazby na jiná zpracování
10
Krok 2: identifikace a příprava potřebných změn
Povinnosti a jak je plním (mám plnit): aktuální opatření Upravit (nově určit) základní parametry všech samostatných zpracování (rozsah, kvalitativní limity, doba uložení vč. výmazu na žádost …) Určit organizační a technická opatření k zabez-pečení osobních údajů Určit (odhadnout) potřebu změn v čase Na pořadí záleží.
11
Účel, právní titul a zpracování jako pomocná činnost
Zpracování osobních údajů není hlavní činností Právním titulem zejm. právní povinnost správce, smlouva se subjekty údajů, oprávněné zájmy (ostatní nejsou vyloučeny) Zpracování pro plnění právní povinnosti a výkon pravomoci upraví adaptační zákon V ČR bude potřeba změn minimální, pokud správce dnes dodržuje zákon o ochraně osobních údajů a příslušné sektorové předpisy
12
Zpracování jako hlavní činnost
Obecně pravděpodobně větší potřeba změn v závislosti na právním důvodu a rizikovosti zpracování Posouzení vlivu žádoucí, popř. nutné Mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů; Za určitých podmínek nutno jmenovat pověřence pro ochranu osobních údajů
13
Krok 2: příprava a provedení změn
Stanovit priority a implementační plán Začít od priorit Dokumentovat existující a nově připravená organizační a technická opatření k zajištění souladu (nejen k zabezpečení osobních údajů): vnitřní předpisy, provozní a uživatelská dokumentace, formuláře Dokumentace incidentů, postup při ohlašování a oznamování
14
Posuzování vlivu na ochranu osobních údajů
Popis zpracování Posouzení nezbytnosti a přiměřenosti Zamýšlená opatření Posouzení rizik pro práva a svobody Dokumentace posouzení Monitorování a přezkum
15
Krok 2 – 3: outsourcing S rozsahem a složitostí informačních systémů správce a zpracování osobních údajů roste zájem o externí zajištění některých činností Pro pomocné činnosti může být externí zajištění výhodné, pro kmenové nikoli Pokud je zpracování součástí kmenové činnosti, pak mít nejméně 1 osobu znalou věci a sledující ochranu osobních údajů
16
Krok 3 (jste naladěni): úkoly
Provádět a aktualizovat organizační a technická opatření k zabezpečení osobních údajů (včetně dokumentace), podle oboru činnosti správce i podle sektorové legislativy Dodržovat zvolené parametry zpracování Poskytovat součinnost dozorovému úřadu
17
Součinnost s dozorovým úřadem
Obecná povinnost na požádání spolupracovat Záznamy o zpracování Ohlašování případů porušení zabezpečení Sdělení kontaktních údajů pověřence
18
Průběžně dolaďujte … Krok 4
19
Krok 4: Průběžné dolaďování
Změny Jádro zpracování x rozhraní, dílčí moduly Obsahové x technologické (operace x náležitosti) Posouzení (hodnocení) Posouzení vlivu (rizik) Přezkoumání opatření k zajištění souladu Prověření zabezpečení Dokumentace Vnitřní předpisy, provozní a uživatelská d. Dokumenty určené subjektu údajů
20
Bez obav zpracovávejte osobní údaje a jako subjekty údajů využívejte svých práv
Krok 5
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.