Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

GDPR Spolek veřejně prospěšných služeb

ZveřejnilOndřej Dostál

Podobné prezentace

Prezentace na téma: "GDPR Spolek veřejně prospěšných služeb"— Transkript prezentace:

1 GDPR Spolek veřejně prospěšných služeb
Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát

2 Obsah Co je to GDPR? Revoluce/Evoluce? Co jsou osobní údaje?
Zásady GDPR Práva subjektu údajů Zákonné účely zpracování Záznamy o činnostech zpracování Ohlašování narušení zabezpečení Kdo je to DPO? Takže co musíme udělat?

3 Co je to GDPR? 2016/679/EC Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) začne platit ve všech zemích EU jednotně od 25. května 2018. V ČR nahradí stávající právní úpravu, kterou je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. GDPR představuje dosud nejucelenější soubor pravidel na ochranu dat.

4 K přípravě na splnění požadavků GDPR je určeno období od dubna 2016, kdy GDPR vstoupilo v platnost, do května 2018, kdy GDPR nabude účinnosti. V tomto období musí všichni, kterých se GDPR týká, zrevidovat zavedené postupy nakládání s osobními údaji, a to jak v listinné, tak i v elektronické podobě. GDPR přináší jak změny v povinnostech správce osobních údajů, tak i v právech subjektu údajů. Bude vytvořen prováděcí zákon.

5 Revoluce? GDPR není revolucí ve zpracování osobních údajů.
Zpřesňuje a rozšiřuje definice a povinnosti při zachování většiny známých institutů. Přináší několik novinek. Nevyhnutelně se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí, a to včetně společností a institucí mimo území EU, které na evropském trhu působí.

6 Co jsou osobní údaje? Osobním údajem se rozumí jakákoli informace týkající se určeného nebo určitelného subjektu údajů, tj. jestliže subjekt údajů lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Nařízení - „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

7 Orientační rozdělení Je osobní údajem Je citlivým osobním údajem
Není osobním údajem Jméno, adresa Osobní údaje dětí Anonymní údaj Tel. číslo, Členství v odborech Údaje zesnulé osoby Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Z činnosti čistě osobní povahy Datum narození Sexuální orientace Občanství Biometrie

8 Zásady GDPR Zásada zákonnosti, korektnosti a transparentnosti Všechna zpracování osobních údajů je možné realizovat pouze na základě zákonných titulů, které musí být dostatečně specifické, korektní a transparentní. Zásada účelového omezení Osobní údaje je možné zpracovávat pouze pro určité, výslovně vyjádřené a legitimní účely. Zásada minimalizace údajů Zpracování musí být přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

9 Zásada přesnosti Správce osobních údajů je povinen aktualizovat údaje, které zpracovává. Zásada omezení uložení Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Zásada integrity a důvěrnosti Osobní údaje musí být zabezpečeny před hrozbami uvnitř organizace i vně organizace, a to ve všech podobách zpracování (automatizované i papírové). Zásada odpovědnosti Správce nese odpovědnost za dodržování všech pravidel stanovených GDPR, což musí dokumentovat a být schopen vždy doložit.

10 Práva subjektu údajů Právo na informace – jasně, srozumitelně, na začátku, v průběhu, po skončení, v případě incidentu Právo na opravu, výmaz – zásada přesnosti Právo být zapomenut – expirace, odvolání souhlasu, vzneseny námitky/protiprávní zpracování Právo na přenositelnost – např. k jinému operátorovi, strojově čitelná data Právo vznést námitku – nutno prokázat oprávněnost zpracování

11 Zákonné účely zpracování
Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

12 Záznamy o činnostech zpracování
Čl. 30 GDPR. Záznamy o činnostech zpracování, které musí být zpracovány pro všechny existující účely zpracování. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Výjimky pro malé podniky zaměstnávající do 250 osob, ale ne pro takové, které provádějí rizikové zpracování dat.

13 Ohlašování narušení zabezpečení
Další novou povinností pro správce je ohlašování případů narušení zabezpečení osobních údajů, a to: dozorovému úřadu – jakmile se správce dozví o porušení zabezpečení osobních údajů, bude muset toto porušení bez zbytečného odkladu, a je-li to možné do 72 hodin poté, co se o něm dozvěděl, ohlásit dozorovému úřadu, ledaže by mohl doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody subjektů údajů. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění, subjektu údajů – bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro jeho práva a svobody. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro subjekt údajů, jak případné nežádoucí účinky zmírnit.

14 Kdo je to DPO? Čl. 37 GDPR. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. Pověřence může jmenovat i správce, který povinnost nemá.

15 Takže co budeme dělat? Data Protection Impact Assesment - posouzení dopadu, namísto oznamovací povinnosti Každý účel zpracování je nutné přiřadit k některému důvodu zpracování, jak jsou uvedeny v č. 6 GDPR. Získat podklady pro splnění nové povinnosti uložené v čl. 30 GDPR vést záznamy o činnostech, posouzení bezpečnostní dokumentace. Posouzení prokazatelnosti souhlasů se zpracováním a úprava znění souhlasu se zpracováním osobních údajů podle nových kritérií. Posouzení smluvních vztahů s dodavateli a služeb, kteří jsou zpracovateli, smluvní garance, identifikace případného řetězení zpracovatelů. Posouzení rozsahu, efektivity a úrovně přijatých technickoorganizačních opatření při zpracování osobních údajů.

16 Děkuji za pozornost Společná advokátní kancelář Mgr. Robert Pšenko, spolupracující advokát Kobližná 47/19, Brno

Stáhnout ppt "GDPR Spolek veřejně prospěšných služeb"

Podobné prezentace

Obecné požadavky na výstavbu

Obecné požadavky na výstavbu
Uzavírání veřejnoprávních smluv

Uzavírání veřejnoprávních smluv
Podnikání Podnikáním se rozumí soustavná činnost prováděná samostatně podnikatelem vlastním jménem a na vlastní odpovědnost za účelem dosažení zisku. Podnikatelem.

Podnikání Podnikáním se rozumí soustavná činnost prováděná samostatně podnikatelem vlastním jménem a na vlastní odpovědnost za účelem dosažení zisku. Podnikatelem.
Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta 28.11.2013.

Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta
Nástroje územního plánování

Nástroje územního plánování
Ochrana osobních údajů při poskytování informací

Ochrana osobních údajů při poskytování informací
Zákon o ochraně osobních údajů č. 101/2000 Sb

Zákon o ochraně osobních údajů č. 101/2000 Sb
Ochrana osobních údajů v České republice

Ochrana osobních údajů v České republice
Živnostenské podnikání živnostenské úřady

Živnostenské podnikání živnostenské úřady
Dopady spuštění základních registrů na subjekty územní samosprávy

Dopady spuštění základních registrů na subjekty územní samosprávy
Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.

Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.
Právo na informace Tereza Danielisová,

Právo na informace Tereza Danielisová,
Vykonavatelé vlastnického práva státu

Vykonavatelé vlastnického práva státu
Uzavírání veřejnoprávních smluv (zákon č. 500/2004 Sb., správní řád)

Uzavírání veřejnoprávních smluv (zákon č. 500/2004 Sb., správní řád)
Novela zákona č. 106/1999 Sb., o svobodném přístupu k informacím Mgr. David Kotris ISSS 2005 Hradec Králové 4. 4. 2005.

Novela zákona č. 106/1999 Sb., o svobodném přístupu k informacím Mgr. David Kotris ISSS 2005 Hradec Králové
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové 27.3.2001.

Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
JUDr. Jaroslav Stránský

JUDr. Jaroslav Stránský
Úvod do zvláštní části správního práva Správa na úseku živnostenského podnikání Pro bakaláře.

Úvod do zvláštní části správního práva Správa na úseku živnostenského podnikání Pro bakaláře.
Evidence obyvatel Zderaz 22.4. – 24.4.2009 Metodické školení.

Evidence obyvatel Zderaz – Metodické školení.
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.

Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.

Podobné prezentace

Reklamy Google