Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

GDPR - obce Ing. Igor Prosecký

Podobné prezentace


Prezentace na téma: "GDPR - obce Ing. Igor Prosecký"— Transkript prezentace:

1 GDPR - obce Ing. Igor Prosecký
I3 Consultants s.r.o. Sídlo firmy: K Trninám 945/34, Praha 6 - Řepy Pobočka Brno: Scheinerova 1570/6, Brno

2 Obsah GDPR – změny oproti stávající právní úpravě
Osobní údaj, zvláštní kategorie osobních údajů, zpracování osobních údajů Přehledy základních účelů zpracování u obcí typu I a jimi zřizovaných PO Ukázka referenčního modelu účelů zpracování osobních údajů u obcí s pověřeným obecním úřadem a s rozšířenou působností Zásady zpracování osobních údajů dle GDPR Kroky k dosažení souladu s GDPR Typické nedostatky Pověřenec pro ochranu osobních údajů

3 GDPR General Data Protection Regulation
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) s účinností od v ČR nahrazuje stávající zákon o ochraně osobních údajů sjednocuje pravidla OOÚ ve 28 státech EU plus Norsko, Island a Lichtenštejnsko (31 států)

4 Související legislativa
zákon č. 262/2006 Sb., zákoník práce zákon č. 133/2000 Sb., o evidenci obyvatel zákon č. 106/1999 Sb., o svobodném přístupu k informacím zákon č. 89/2012 Sb., občanský zákoník zákon č. 181/2014 Sb., o kybernetické bezpečnosti vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti další zvláštní zákony

5 Hlavní zásady implementace GDPR
GDPR – NEZBYTNOST, KTERÁ MUSÍ BÝT ZAJIŠTĚNA SE ZÁSADOU: Minimálních nákladů Minimální energie Minimální zátěže Minimálního rozsahu nezbytné dokumentace Zachování zdravého rozumu PŘIMĚŘENOST VŮČI REÁLNÝM PODMÍNKÁM x NEVYTVÁŘET NADBYTEČNOU ADMINISTRATIVNÍ ZÁTĚŽ

6 Novinky v GDPR

7 Aplikace GDPR? Přímo aplikovatelné a účinné
Není třeba další národní zákon – nařízení má vždy přednost Připravuje se adaptační zákon – „Zákon o zpracování osobních údajů“ – v návrhu jsou pro malé obce uvedeny jen symbolické sankce Vodítka pracovní skupiny WP 29 Stanoviska ÚOOÚ Metodiky – MŠMT, MZdr, MVČR Systémové analýzy MVČR Nutné sledovat : www. uoou.cz www. mvcr.cz

8 Změna ve filosofii přístupu k ochraně OÚ
GDPR rozšiřuje a konkretizuje zásady zpracování OÚ (záznamy, zpracovatel, zabezpečení zpracování) Zásadním způsobem navyšuje odpovědnost správce (DPO, rizikovost a opatření, TOO, prokazování souladu, posouzení vlivu) Přístup k povinnostem GDPR je založen na adekvátnosti vůči rizikům (rozsah TOO) Posílení ochrany a práv subjektů údajů (informovanost, realizace práv SÚ) Ohlašování/Oznamování případů porušení zabezpečení dozorovému úřadu/subjektům údajů ÚOOÚ neregistruje, ale schvaluje

9 Definice - OÚ Co je osobní údaj dle GDPR?
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“) –obvykle jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, statní příslušnost, národnost, adresa trvalého bydliště, zaměstnání, pozice v zaměstnání, tel. spojení domů - do zaměstnání, vzdělání, znalost cizích jazyků, odborné znalosti a dovednosti, počet dětí, obrazový záznam z kamerového systému, nahrávka telefonického hovoru, vojenská služba, předchozí zaměstnání, zdravotní pojišťovna, mzda, číslo cestovního dokladu, bankovní spojení, adresní a identifikační údaje člena rodiny (manžel/manželka, dítě) údaje umožňující nepřímou identifikaci osob, tj. lokalizační údaje, IP adresy, RFID čipy kopie osobních dokladů – občanský průkaz, cestovní doklad, řidičský průkaz 9 9

10 Definice – citlivý údaj
„Citlivý údaj“ = „zvláštní kategorie osobních údajů“ Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby 10 10

11 Definice – zpracování Zpracování osobních údajů
Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení 11 11

12 Jak to cítíme … (2012)

13 Jak to cítíme (2017)

14 Základní účely zpracování (obec I. stupně)
Evidence obyvatel (zákon č.133/2000 Sb., zákon č. 301/2000 Sb.) Poskytování výstupů z ISVS (zákon č. 111/2009 Sb.) Přestupková agenda (zákon č. 250, 251/2016 Sb.) Agenda místních poplatků (zákon č. 565/1990 Sb.) Evidenci stížností, podnětů a oznámení občanů (zákon č. 500/2004 Sb., zákon č. 128/2000 Sb.) Hřbitovní kniha (zákon č. 256/2001 Sb.) Zpracování a evidence materiálů pro radu a zastupitelstvo, evidence usnesení (zákon č. 128/2000 Sb.), pořizování záznamů z veřejných zasedání zastupitelstva, Blahopřání jubilantům, vítání občánků

15 Základní účely zpracování (obec I. stupně)
Zajištění voleb (zákon č. 247/1995 Sb., 130/2000 Sb., 491/20001 Sb., 62/2003 Sb., 275/2012 Sb) Smluvní vztahy (zákon č. 89/2012 Sb.) Poskytování informací (zákon č. 106/1999 Sb.) Pracovněprávní a mzdová agenda (zákon č. 262/2006 Sb, zákon č. 592/1992 Sb…) Střet zájmů (zákon č. 159/2006 Sb.) Prezentace obce Evidence úrazů (zákon č. 262/2006 Sb., NV 201/2010 Sb) Vedení účetnictví (zákon č. 563/1991 Sb.) Služby občanům (Mobilní rozhlas, SMS zprávy atd……….)

16 Základní účely zpracování (obec II a III. stupně)
Ukázka referenčního modelu účelů zpracování

17 Základní účely zpracování - vzdělávání (mateřské a základní školy)
Zápis k předškolnímu vzdělávání Zajištění předškolního vzdělávání Zápis k základnímu vzdělávání Zajištění základního vzdělávání Zájmové vzdělávání ve školní družině

18 Typické účely zpracování (mateřské a základní školy)
Poskytování služeb: Poskytnutí poradenských služeb ve školách Zajištění školního stravování Evidence čtenářů školní knihovny

19 Typické účely zpracování (mateřské a základní školy)
Ostatní: Výběrová řízení na zaměstnance, pracovněprávní a mzdová agenda, evidence uchazečů o zaměstnání, evidence úrazů, ochrana majetku a osob, prezentace příspěvkové organizace, organizace škol v přírodě, zájezdů, exkurzí, sportovních pobytových kurzů atd., projekty, žádosti o dotace, vedení účetnictví příspěvkové organizace, smlouvy a objednávky služeb.

20 Zásady GDPR Zákonnost Korektnost a transparentnost Omezení účelem
Minimalizace údajů a omezení doby uložení Přesnost Důvěrnost, integrita a dostupnost Odpovědnost správce 20 20

21 Zákonnost Právní základ pro zpracování osobních údajů
Právní povinnost (zvláštní zákony) Veřejný zájem nebo výkon veřejné moci Plnění či uzavření smlouvy (výběrová řízení….) Oprávněný zájem ( CCTV, ….) Životně důležitý zájem Souhlas (evidence uchazečů o zaměstnání, fotografie) 21 21

22 Zákonnost Právní základ pro zpracování zvláštních kategorií osobních údajů Výslovný souhlas Zpracování je nutné: Pro účely plnění povinností a výkon zvláštních práv správce v oblasti pracovního práva, sociálního zabezpečení a sociální ochrany Zdravotní a sociální péče Významný veřejný zájem Pro archivnictví ve veřejném zájmu 22 22

23 Omezení účelem Musí být předem stanoven konkrétní a legitimní účel
Údaje je možné zpracovávat jen pro daný účel Výjimky – souhlas nebo test slučitelnosti Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně Archivace ve veřejném zájmu, historický výzkum 23 23

24 Minimalizace údajů a omezení doby uložení
Nelze požadovat údaje: Nepřiměřené Nerelevantní Nejsou nezbytné Nelze uchovávat po neomezenou dobu, smazat jakmile: Pomine právní základ (odvolán souhlas, skončí smlouva…) Je naplněn účel zpracování Archivace na základě jiného právního základu Minimalizace Z hlediska rozsahu zpracovávaných údajů Z hlediska přístupu osob k nim Z hlediska doby uložení 24 24

25 Přesnost Pro verifikaci přesnosti musí být přijata veškerá rozumná opatření Nepřesné údaje musí být smazány nebo opraveny V podmínkách obce a školy není potřeba proaktivní dotazování 25 25

26 Korektnost a transparentnost
Transparentnost – poskytnutí informací SÚ způsobem Stručným Srozumitelným Snadno přístupným způsobem Za použití jasných a jednoduchých jazykových prostředků Cíl – usnadnění výkonu práv subjektů údajů Je stanoven konkrétní výčet informací, které musí být subjektu poskytnuty (správce, kontakt na pověřence, účel, právní základ, příjemci, třetí země, doba uložení, práva včetně práva na odvolání souhlasu, pokud je právním titulem, případné využití pro další účel…) Je stanoven čas, kdy musí být informace poskytnuty (do zahájení shromažďování) 26 26

27 Transparentnost – práva SÚ
Právo na přístup (kopie, první zdarma) Právo na opravu (oprava nebo doplnění nepřesných údajů) Právo na výmaz (být zapomenut – údaje už nejsou potřeba nebo je odvolán souhlas, nebo je akceptována námitka, nebo se jednalo o protiprávní zpracování, pokud není další ukládání nutné pro splnění právní povinnosti správce) Právo na omezení zpracování (do doby vyřešení práva na opravu nebo doplnění) Právo na přenositelnost (portabilita – podmínka souhlas nebo smlouva, zpracování automatizovaně) Právo vznést námitku (oprávněný zájem a veřejný zájem nebo výkon veřejné moci) Právo nebýt předmětem automatizovaného rozhodování, včetně profilování 27

28 Důvěrnost, integrita, Dostupnost
Nutnost provedení analýzy (posouzení) rizik z hlediska požadavků na zajištění odpovídající úrovně důvěrnosti, integrity a dostupnosti zpracovávaných osobních údajů Je potřeba zohlednit: Povahu zpracování Rizikovost zpracování Náklady – přiměřenost Dostupné technologie …… Návrh přiměřených organizačních a technických opatření Všechny faktory se mohou v čase měnit, nutnost pravidelné aktualizace a testování 28 28

29 Důvěrnost, integrita, Dostupnost
Ohlašování porušení zabezpečení (bezpečnostní incident) Do 72 hodin dozorovému orgánu Povahu narušení Rizika pro subjekty údajů Přijatá opatření Kontaktní údaje pro pověřence Typy incidentů Bez rizika - X Nízké riziko – dozorový úřad Vysoké riziko – dozorový úřad a dotčené subjekty údajů Příčina porušením Důvěrnosti Integrity Dostupnosti nebo odolnosti 29 29

30 Odpovědnost správce Správce je povinen zajistit soulad s GDPR a být schopen jej prokázat (proaktivní prokázání naplnění všech zásad a požadavků GDPR) a navíc: Pověřenec pro ochranu osobních údajů Posuzování vlivu na ochranu osobních údajů a předchozí konzultace, následné schválení Dokumentace postupů, pravidel Zpracovatelé 30 30

31 Zásadní dopady na obec Pověřenec pro ochranu osobních údajů
Záznamy o činnostech zpracování Prostředky zpracování Možnost uplatnění práv SÚ (nutno vyhodnotit jaká práva a v jakých účelech) Posouzení vlivu na ochranu osobních údajů Ohlašování narušení bezpečnosti dozorovému úřadu / SÚ (rozhodovací proces, způsob oznamování SÚ) Nástroje, mechanismy a procesy k identifikaci narušení bezpečnosti Řízení přístupu Rozsah, kvalita a způsob ochrany dat Předávání údajů dalším správcům Definice zpracovatelů a zpracovatelské smlouvy 31 31

32 Co je nutné udělat nejdříve – „příprava mapy zpracování osobních údajů“
V jakých agendách a procesech jsou zpracovávány osobní údaje? (např. při výkonu státní správy, samosprávy, interních procesech, při zajištění komunikace s občanem, řešení dotací atd.) Proč jsou tyto osobní údaje v dané agendě nebo procesu zpracovávány? (nutí k tomu obec nějaký zákon nebo veřejný zájem, jsou shromažďovány za účelem podpisu smlouvy nebo potřeby oprávněného zájmu obce, nebo jsou zpracovávány na základě souhlasu dotčené osoby?) Jsou všechny zpracovávané osobní údaje opravdu nutné pro naplnění účelu, pro které jsou v agendě nebo procesu shromažďovány? (typicky nadbytečnými údaji v mnoha agendách jsou národnost, rodné číslo, číslo občanského průkazu atd.) Kolik osobních údajů je v dané agendě zpracováváno? (řádově stovky, tisíce atd.; je nutné hodnotit dle počtu dotčených osob, údaj je důležitý pro případné hodnocení rizika při zpracování) Jak dlouho budou osobní údaje uchovávány? (je určeno skartačním plánem nebo je potřeba stanovit nějakou odpovídající lhůtu?) Kdo osobní údaje v agendě zpracovává? (vlastní zaměstnanci nebo např. extérní subjekt a jeho zaměstnanci) Jakými prostředky jsou údaje v agendě zpracovávány? (manuálně, v listinné podobě nebo elektronicky formou strukturovaných dat v nějaké aplikaci nebo formou nestrukturovaných dat např. na pevném disku počítače, sdíleném úložišti atd.) Jsou osobní údaje z agendy někomu předávány a pokud ano, na základě čeho? (např. orgánům finanční správy, vyššímu správnímu celku, soudu, policii atd. na základě zvláštních zákonů) 32 32

33 Co je nutné udělat nejdříve –posouzení pravidel ochrany osobních údajů
fyzická bezpečnost (vstup do objektu, klíčový režim a evidence klíčů, zajištění serverovny a aktivních prvků sítě, dostatek uzamykatelných skříní, režim úklidu kanceláří atd.) administrativní bezpečnost (evidence dokumentů, pravidla pro kopírování dokumentů, pravidla pro předávání a likvidaci dokumentů atd.) personální bezpečnost (zejména přidělování a odebírání přístupových oprávnění do aplikací v rámci životního cyklu zaměstnance nebo dodavatele služby) počítačová bezpečnost (pravidla pro elektronickou komunikaci, pro ukládání a sdílení dat, ochranu paměťových médií, zabezpečení přenosných zařízení, řízení přístupů k datům obsaženým v aplikacích a sdílených discích, auditní záznamy k těmto přístupům, evidence a přidělování vzdálených přístupů k aplikacím nebo informačním systémům, využívání administrátorských práv atd.) 33 33

34 Co je nutné udělat - dále
Zavedení evidence osobních údajů, která je v terminologii označena jako „Záznamy o činnostech zpracování“ a má svou podobu stanovenu čl. 30 GDPR. Podklady pro tuto evidenci tvoří výstupy z inventury osobních údajů Stanovení postupu pro případné řešení situace, kdy dojde nebo může dojít k porušení zabezpečení osobních údajů (bezpečnostnímu incidentu) s přihlédnutím k nutnosti ohlášení incidentu v časovému limitu do 72 hodin od jeho zjištění Úřadu pro ochranu osobních údajů (zde bude vhodné provést dopředu analýzu možných dopadů na práva a svobody dotčených osob, jejichž údaje jsou v rámci agendy zpracovávány). Cílem by mělo být posouzení, jak velikou újmu může subjektům údajů způsobit případná ztráta nebo jiné porušení důvěrnosti, případně integrity nebo dostupnosti jejich údajů Příprava postupů pro uplatňování práv subjektů údajů. Obec musí odpovědět do 30 dní od podání žádosti a ztotožnění žadatele; předpokládanou zátěží může být zejména uplatňování práva na přístup ke zpracovávaným osobním údajů Vyhodnocení potřebnosti stávajících souhlasů se zpracováním osobních údajů, vyřazení nerelevantních a u aktuálních zajištění jejich souladu s požadavky GDPR spočívajícího zejména v  informovanosti subjektu údajů 34 34

35 Co je nutné udělat - dále
Zajištění informační povinnost obce, a to jak vůči zaměstnancům, tak vůči občanům. Jmenování pověřence pro ochranu osobních údajů a ohlášení jeho kontaktních údajů na Úřad pro ochranu osobních údajů do data nabytí účinnosti GDPR. Stanovení a zdokumentování postupů pro zpracování a ochranu osobních údajů minimálně v rozsahu povinností správce, pověřence, vedoucích zaměstnanců a zaměstnanců a pravidel pro ochranu osobních údajů v listinné i elektronické podobě. 35 35

36 Záznamy o činnostech zpracování
Za vedení zodpovídá pověřenec Obsah: Jméno a kontaktní údaje správce a pověřence Účel zpracování Právní základ a titul Kategorie subjektů údajů a osobních údajů Kategorie příjemců Předávání do cizích zemí Doba uchování (lhůta pro likvidaci nebo výmaz) Popis technických a organizačních opatření k jejich ochraně 36 36

37 Zpracovatel – obsah smlouvy
Definovat zpracovatele (v současnosti různé výklady k pojetí zpracovatele a to zejména v oblasti dodávky služeb ICT) Upravit stávající smluvní vztahy dle následujících parametrů: obsahuje smlouva veškeré potřebné náležitosti, zejména stanovení: předmětu, doby trvání, povahy a účelu zpracování, typů OÚ a kategorie subjektů údajů zajištění mlčenlivosti zaměstnanců garance bezpečnosti údajů v odpovídajícím rozsahu jako u správce potřebná součinnost při výkonu práv subjektů údajů umožnění auditu (kontroly, inspekce) zákaz pověření dalšího zpracovatele bez předchozího souhlasu správce zajištění procesu ohlašovací povinnosti správci při bezpečnostním incidentu 37 37

38 Typické nedostatky Nedostatek uzamykatelných skříní pro ukládání spisů s osobními údaji Není přehled o přidělených klíčích od kanceláří (klíčový režim) Zasílání osobních údajů em bez odpovídajícího zabezpečení Smlouvy s dodavateli služeb IT neodpovídají požadavkům ochrany osobních údajů Schvalování přidělení přístupových oprávnění provádí pracovníci informatiky Administrátorská práva jsou přidělována běžným uživatelům Využívání komerčních úložišť externích subjektů, která jsou zdarma pro ukládání osobních údajů (GoogleDrive, DropBox….) 38 38

39 Jmenování pověřence pro ochranu osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), Článek 37 Jmenování pověřence pro ochranu osobních údajů Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: 1. zpracování provádí orgán veřejné moci či veřejný subjekt Obec, škola – orgán veřejné moci 39 39

40 Způsoby jmenování pověřence pro ochranu osobních údajů
1. Pověřenec v pracovněprávním vztahu (zaměstnanec) pracovní smlouva dohoda o pracovní činnosti (alternativa pro malé obce) zaměstnanec zařazený do obecního úřadu - úředník ve smyslu zákona č. 312/2002 Sb., o úřednících územních samosprávných celků Nemusí prokazovat odbornou způsobilost dle zákona č. 312/2002 Sb. Obsazení místa však na základě §4 zákona č. 312/2002 Sb. Zaměstnanec zařazený mimo obecní úřad - nemá postavení úředníka 40 40

41 Způsoby jmenování pověřence pro ochranu osobních údajů
2. Pověřenec v jiném právním vztahu k obci (externě spolupracující osoba) Soukromoprávní smlouva mezi obcí a pověřencem o poskytování služeb (§1746 odst, 2 zákona č. 89/2012 S., občanský zákoník) Označení odpovědné osoby nebo osob, které budou funkci pověřence vykonávat Označení fyzické osoby jako hlavní kontaktní osoby pro subjekty údajů a Úřad pro ochranu osobních údajů Výčet úkolů, které bude pověřenec plnit Ujednání představující záruky nezávislosti výkonu funkce pověřence Závazek mlčenlivosti a vyloučení střetu zájmů 41 41

42 Způsoby jmenování pověřence pro ochranu osobních údajů
3. Sdílený pověřenec (vhodné zejména pro malé obce) Více obcí uzavře smlouvu s jediným pověřencem Pouze „personální“ sdílení, nutno posoudit z hlediska jeho kapacitních možností ve vztahu k požadavku dosažitelnosti Obec uzavře smlouvu o spolupráci s jinou obcí, která pro ni pověřence zajistí Koordinační veřejnoprávní smlouva mezi obcemi (§159 a 160 zákona č. 500/2004 Sb.) V postavení pověřence jiná obec, nikoliv její zaměstnanec Dobrovolný svazek obcí V postavení pověřence je dobrovolný svazek obcí Smlouvu mezi svazkem a obcí nahrazují stanovy svazku s příslušnými ustanoveními k zajištění role pověřence Pokud bude svazek uzavírat smlouvu s extérním pověřencem, postačuje pouze tato jediná smlouva 42 42

43 Odpovědnost za dodržování obecného nařízení a národní legislativy
MÁ VŽDY SPRÁVCE OSOBNÍCH ÚDAJŮ, POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ NENESE OSOBNÍ ODPOVĚDNOST! 43 43

44 Postavení pověřence pro ochranu osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), Článek 38 Postavení pověřence pro ochranu osobních údajů 1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. (INFORMOVANOST, ZAPOJENÍ) 2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí. (PODPORA VEDENÍ A ZDROJE) 3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.(NEZÁVISLOST) 44 44

45 Postavení pověřence pro ochranu osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), Článek 38 Postavení pověřence pro ochranu osobních údajů 4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení. (PŘÍSTUP K ZAMĚSTNANCŮM, PORADENSTVÍ) 5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu. (MLČENLIVOST) 6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů. (IDENTIFIKACE NESLUČITELNÝCH POZIC) 45 45

46 Úkoly pověřence pro ochranu osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), Článek 39 Úkoly pověřence pro ochranu osobních údajů 1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly: a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů; b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů; c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35; 46 46

47 Úkoly pověřence pro ochranu osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), Článek 39 Úkoly pověřence pro ochranu osobních údajů d) spolupráce s dozorovým úřadem a e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci. 2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování. 47 47

48 Pověřenec pro ochranu osobních údajů – role v organizaci, kvalifikace
Pomocník a konzultant v systému ochrany osobních údajů Nenese osobní odpovědnost za nedodržování nařízení Úkoly vykonává nezávislým způsobem Měl by být přímo podřízen vedení obce Odborník s dostatečnými vědomostmi v oblasti práva a praxí v oblasti ochrany osobních údajů Odpovídající znalost informačních technologií a bezpečnosti Zásadní – dokonalá znalost organizace a její působnosti Etické předpoklady Mlčenlivost 48 48

49 DPO Úřad ÚOOÚ ICT FB PB Zvláštní zákony Klíčový režim HW, SW SLA
Starosta, Tajemník Občané, klienti ÚOOÚ DPO Vedoucí zaměstnanci ICT FB PB Záznamy o činnostech Uplatnění práv Kontaktní místo Monitoring souladu Ochrana DPIA Oznamování narušení bezpečnosti helpdesk Zvláštní zákony HW, SW SLA Klíčový režim Vstupy STO CCTV, DS, PS Úklid Příjem Změna Odchod Vzdělávání

50 Poradenská společnost v oblasti bezpečnosti informací a ochrany osobních údajů
I3 Consultants s.r.o. K Trninám 945/34 Praha 6 – Řepy


Stáhnout ppt "GDPR - obce Ing. Igor Prosecký"

Podobné prezentace


Reklamy Google