GDPR dle Gepard services pro TIC

Prezentace na téma: "GDPR dle Gepard services pro TIC"— Transkript prezentace:

1 GDPR dle Gepard services pro TIC
A.T.I.C. ČR GDPR dle Gepard services pro TIC Regiony Lysá nad Labem, 13.dubna 2018 Mgr. Martina Landová, senior inspektor GDPR Tel.:

2 Program 1.Co jsou osobní údaje? Co jsou citlivé údaje? 2. Základní pojmy aneb mluvme společnou řečí 3. Jak souvisí osobní údaje s ochranou soukromí? 4. Které právní předpisy upravují ochranu osobních údajů? 5. Rychlé zorientování se v předpisech – kde co najdu v zákoně o ochraně osobních údajů a kde v GDPR 6. Přehled důležitých novinek v GDPR a shrnutí základních rozdílů mezi starou a novou legislativou 7. Zpracování osobních údajů – to je oč tu běží 8. Kdy mohu osobní údaje zpracovávat? 9. Řiďte se základními principy zpracování – budete mít z půlky vyhráno! 10. Na co mají subjekty údajů právo a na co ne 11. Důležité povinnosti správce a zpracovatele 12. Bezpečnost osobních údajů 13. Jak zajistit splnění povinností podle GDPR a vyhnout se sankcím? 14. Znejte rizika a mějte osobní údaje pod kontrolou 15. Pověřenec pro ochranu osobních údajů 16. Dotazy a praktická řešení

3 Program Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – „GDPR“) Vyšší sankce Dosavadní právní úprava: § 44 – 46 ZOOÚ Nejvyšší pokuta za spáchání správního deliktu právnickou osobou jako správcem nebo zpracovatelem, pokud tím ohrozí větší počet osob nebo poruší povinnosti při zpracování citlivých údajů činí Kč (kvalifikované skutkové podstaty v § 45 odst. 2 ZOOÚ) Úřad na ochranu osobních údajů/WP 29 Zákon o ochraně osobních údajů 101/ 2000

4 Úvod do GDPR

5 Úvodní informace OSOBNÍ INFORMACE
Osobní údaje jsou informace o lidech – tedy o fyzických osobách. Právní předpisy fyzické osoby v souvislosti s osobními údaji, které se k nim vztahují, označují jako subjekty údajů. Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“ Osobním údajem je jakákoliv (každá) informace (bez ohledu např. na kvalitu nebo pravdivost této informace).

6 Zvláštní kategorie osobních údajů (citlivé údaje)
Úvodní informace Zvláštní kategorie osobních údajů (citlivé údaje) Údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení členství v odborech, Zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby

7 Úvodní informace Správce
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatel který zpracovává osobní údaje pro správce. Subjekt údajů Identifikovaná nebo identifikovatelná fyzická osoba, k níž se údaje vztahují. Příjemce Osoba, které jsou osobní údaje poskytnuty.

8 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ – TO JE OČ TU BĚŽÍ
Úvodní informace ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ – TO JE OČ TU BĚŽÍ Zpracování Shromáždění Zaznamenání Uspořádání Strukturování Uložení Přizpůsobení nebo pozměnění Vyhledání Nahlédnutí Použití Zpřístupnění přenosem Šíření nebo jakékoliv jiné zpřístupnění Seřazení či zkombinování Výmaz nebo zničení

9 Ochrana osobních údajů úzce souvisí s ochranou
Úvodní informace SOUKROMÍ Ochrana osobních údajů úzce souvisí s ochranou soukromí Soukromí lze chápat jako schopnost jednotlivce zadržovat informace o své osobě, ale také hmotný a myšlenkový prostor subjektu Lze chápat také ve smyslu informačním Tedy jako právo rozhodnout o tom, komu zpřístupníme informace, které se nás týkají a právo bránit se užívání a šíření takových informací bez našeho souhlasu

10 Úvodní informace JAK SOUVISÍ OSOBNÍ ÚDAJE S OCHRANOU SOUKROMÍ? Občanský zákoník § 86 „ Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy.“

11 Úvodní informace

12 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Úvodní informace ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ GDPR reguluje zcela nebo částečně automatizované zpracování osobních údajů a neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny Zpracování je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů

13 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Úvodní informace ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Může být opakované nebo i jen jednorázové Je to jakýkoliv zásah do osobního údaje

14 KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE?
Úvodní informace KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? GDPR stanoví předpoklady, které musí být splněny, aby mohly být zpracovávány osobní údaje Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně zákonným způsobem transparentním způsobem

15 Zákonnost zpracování osobních údajů
Úvodní informace Zákonnost zpracování osobních údajů subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě

16 KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? Souhlas
Úvodní informace KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? Souhlas Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev svobodné vůle: Kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů Písemný, ústní, konkludentní Správce musí být schopen po celou dobu zpracování souhlas doložit

17 KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE?
Úvodní informace KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? Smlouva Osobní údaje, které jsou nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů V souvislosti úmyslem smlouvu uzavřít

18 KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? Právní povinnost správce
Úvodní informace KDY MOHU ZPRACOVÁVAT OSOBNÍ ÚDAJE? Právní povinnost správce Zpracování je nezbytné pro splnění právní povinnosti, kterou správci ukládá zákon

19 Životně důležité zájmy subjektu údajů
Úvodní informace Životně důležité zájmy subjektu údajů Pokud zpracování zjevně nemůže být založeno na jiném právním základě Situace, kdy je třeba zpracovat osobní údaje subjektu údajů v souvislosti se záchranou je života Úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci Účel musí mít základ v oprávnění nebo povinnosti správce stanovené zákonem

20 Transparentnost zpracování osobních údajů
Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování Všichni zaměstnanci správce a zpracovatele, kteří mohou přijít do kontaktu se zpracovávanými osobními údaji, by se měli s těmito zásadami seznámit a dodržovat je. Transparentnost zpracování osobních údajů Všechny informace a všechna sdělení týkající se zpracování osobních údajů musí být snadno přístupné, srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků.

21 3. Minimalizace osobních údajů
Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování 2 . Povinnost zpracovávat osobní údaje pouze pro konkrétní a legitimní účely Osobní údaje musí být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely. 3. Minimalizace osobních údajů Osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

22 Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování 4. Přesnost osobních údajů Osobní údaje musí být přesné a v případě potřeby aktualizované. 5. Integrita a důvěrnost osobních údajů Osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů. Ochrana pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

23 ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování
Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování 6. Omezení uložení osobních údajů Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány Osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely Pouze za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů

24 ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování
Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování 7. Rizikově orientovaný přístup GDPR je postaveno na rizikově orientovaném přístupu Správce a zpracovatel osobních údajů musí hodnotit zamýšlené činnosti a procesy zpracování údajů z hlediska rizik, které z těchto činností a postupů plynou pro práva a oprávněné zájmy subjektů údajů Správci a zpracovatelé jsou povinni na základě identifikovaných a zhodnocených rizik zavést přiměřené kontrolní mechanismy a opatření, které zajistí dodržování povinností stanovených GDPR a ochranu subjektů údajů

25 Úvodní informace ZÁKLADNÍ PRINCIPY ZPRACOVÁNÍ-zásady zpracování 7. Rizikově orientovaný přístup Praktickým dopadem rizikově orientovaného přístupu je nutnost zpracovávat a aktualizovat analýzu rizik, ať už jako východisko pro přijetí opatření pro zajištění souladu s GDPR a pro zajištění bezpečnosti osobních údajů, pro účely zhodnocení nutnosti provést posouzení vlivu na ochranu osobních údajů, a nebo z důvodu plánování činnosti a kontrol pověřence pro ochrnu osobních údajů. Výhodou rizikově orientovaného přístupu je možnost prioritizace úkolů podle jejich důležitosti a alokování zdrojů na činnosti a opatření, která jsou skutečně nezbytná

26 NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO Právo na přístup k osobním údajům
Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO Právo na přístup k osobním údajům Jde o informace poskytované v průběhu zpracování Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat Obsahem je vždy sdělení o účelu zpracování, osobních údajích, případě o kategoriích osobních údajů, které jsou předmětem zpracování, povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, příjemcích či jejich kategoriích. Správce má právo požadovat přiměřenou náhradu nepřevyšující náklady.

27 Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO
Právo na přístup k osobním údajům Čl. 15 – Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: Účely zpracování Kategorie dotčených osobních údajů Příjemci nebo kategorie příjemců Plánovaná doba, po kterou budou osobní údaje uloženy nebo kritéria k určení Existence práva požadovat od správce opravu nebo výmaz nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování Právo podat stížnost u dozorového úřadu Informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů Informaci, zda dochází k automatizovanému rozhodování včetně profilování

28 NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO Právo na přístup k osobním údajům
Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO Právo na přístup k osobním údajům Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

29 Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO 2. Právo být zapomenut Čl. 17 – Subjekt údajů má právo požadovat vymazání osobních údajů a správce má povinnost osobní údaje smazat, pokud zejm. Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny. Subjekt údajů odvolá souhlas. Subjekt údajů vznese námitky proti zpracování. Osobní údaje byly zpracovány protiprávně.

30 NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO 2. Právo být zapomenut
Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO 2. Právo být zapomenut Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technologických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace. Ustanovení umožňuje jednotlivcům, aby na základě jejich žádosti provozovatelé webových prohlížečů odstranili některé osobní údaje z vyhledávače a zároveň informovali správce údajů, kteří údaje zpracovávají, aby vymazali veškeré odkazy na tyto osobní údaje včetně jejich kopií.

31 Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO 3. Právo na přenositelnost údajů (portabilitu) Čl. 20 – Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, pokud zpracování - je založeno na souhlasu nebo smlouvě - se provádí automatizovaně Ustanovení umožňuje subjektu údajů požadovat vydání zpracovávaných údajů ve strukturovaném, běžně používaném a strojově čitelném formátu, za účelem přechodu k jinému poskytovateli služeb

32 Úvodní informace NA CO MAJÍ SUBJEKTY ÚDAJŮ PRÁVO 4. Právo odvolat souhlas Čl. 7 odst. 3 – Subjekt údajů má právo svůj souhlas kdykoliv odvolat. Odvolat souhlas musí být stejně snadné jako jej poskytnout. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován.

33 Úvodní informace DŮLEŽITÉ POVINNOSTI SPRÁVCE I ZPRACOVATELE Povinnost vést záznamy o zpracování Čl. 30 – Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Záznamy obsahují zejm.: Jméno a kontaktní údaje správce a pověřence pro ochranu osobních údajů Účely zpracování Popis kategorií subjektů údajů a kategorií osobních údajů Kategorie příjemců Je-li to možné plánované lhůty pro výmaz Je-li to možné obecný popis technických a organizačních bezpečnostních opatření

34 Úvodní informace DŮLEŽITÉ POVINNOSTI SPRÁVCE I ZPRACOVATELE Povinnost vést záznamy o zpracování Výjimka: Nepoužije se na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, Zpracování není příležitostné nebo Zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

35 Úvodní informace DŮLEŽITÉ POVINNOSTI SPRÁVCE I ZPRACOVATELE Povinnost vést záznamy o zpracování Povinnost vypracovat posouzení vlivu na ochranu osobních údajů Posouzení zahrnuje alespoň: Systematický popis zamýšlených operací zpracování a účely zpracování Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů Posouzení rizik pro práva a svobody subjektů údajů Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením

36 BEZPEČNOST OSOBNÍCH ÚDAJŮ Povinnost zabezpečit osobní údaje
Úvodní informace BEZPEČNOST OSOBNÍCH ÚDAJŮ Povinnost zabezpečit osobní údaje Správce a zpracovatel osobních údajů jsou povinni tyto údaje chránit. Za tímto účelem musí zavést vhodná technická a organizační opatření - Přiměřeně k rizikům Správce a zpracovatel při zavádění opatření přihlédnou také ke stavu techniky, nákladům na jejich zavedení, povaze, rozsahu, kontextu a účelům zpracování osobních údajů

37 BEZPEČNOST OSOBNÍCH ÚDAJŮ Povinnost zabezpečit osobní údaje
Úvodní informace BEZPEČNOST OSOBNÍCH ÚDAJŮ Povinnost zabezpečit osobní údaje Pokud je to vhodné, správce a zpracovatel osobních údajů zajistí: Pseudonymizaci a šifrování osobních údajů Neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování Obnovitelnost a dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů Pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních Zaměstnanci jsou povinni dodržovat bezpečnostní postupy a opatření stanovené zaměstnavatelem týkající se zabezpečení dat, včetně osobních údajů

38 Úvodní informace z GDPR
Hlavní povinnosti GDPR: Písemné doložení souladu Periodické provádění analýzy – práva subjektů, ochrana údajů Realizace práv fyzických osob Vedení a zabezpečení evidenci osobních údajů Detekování, analyzování a ohlašování narušení bezpečnosti Provádění interních auditů

39 Kroky pro dosažení souladu vyplývající z GDPR

40 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
Dosažení souladu - jednorázové: Evidence osobních údajů Bezpečnost osobních údajů Bezpečnost datových uložišť Vztah se zpracovateli a třetími stranami Práva subjektů údajů Záznamy o zpracování Pověřenec (DPO – data protection officer)

41 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
JAK ZAJISTIT SPLNĚNÍ POVINNOSTÍ PODLE GDPR A VYHNOUT SE SANKCÍM? Kde začít? Vymezte v organizaci odpovědnost za ochranu osobních údajů. Vytvářejte mezi zaměstnanci povědomí o povinnostech v oblasti ochrany osobních údajů (školení) Zjistěte, jaké osobní údaje spravujete. Aktualizujte informace, které musíte poskytovat subjektům osobních údajů o zpracování osobních údajů. Prověřte, zda vaše stávající postupy zajistí dodržení všech práv subjektů údajů a ošetření souvisejících rizik.

42 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
JAK ZAJISTIT SPLNĚNÍ POVINNOSTÍ PODLE GDPR A VYHNOUT SE SANKCÍM? Aktualizujte/vytvořte postupy pro vyřizování požadavků subjektů údajů. Identifikujte právní tituly pro zpracování osobních údajů, která provádíte. Prověřte, zda postupy k získávání a dokumentování souhlasu ke zpracování osobních údajů vyhovují požadavkům GDPR. Vytvořte krizové plány pro případy porušení zabezpečení osobních údajů. Při navrhování nových či při úpravě stávajících procesů a služeb hned od počátku zohledňujte požadavky GDPR a v případě, že identifikujete vysoké riziko pro práva subjektů údajů, proveďte posouzení vlivu na ochranu osobních údajů.

43 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
ZNEJTE RIZIKA A MĚJTE OSOBNÍ ÚDAJE POD KONTROLOU Analýza rizik - Správce a zpracovatel osobních údajů musí hodnotit zamýšlené činnosti a procesy zpracování údajů z hlediska rizik, které z těchto činností a postupů plynou pro práva a oprávněné zájmy subjektů údajů -Správci a zpracovatelé jsou povinni na základě identifikovaných a zhodnocených rizik zavést přiměřené kontrolní mechanismy a opatření, které zajistí dodržování povinností stanovených GDPR a ochranu subjektů údajů

44 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
ZNEJTE RIZIKA A MĚJTE OSOBNÍ ÚDAJE POD KONTROLOU Identifikace rizik Proces nalézání, rozpoznávání a popisování rizik Identifikace rizik by měla být systematická, celkovou odpovědnost za zajištění procesu identifikace rizik by mělo mít vrcholové vedení Předpoklady: znalost organizace, strategických a operativních cílů a činnosti organizace, právního, společenského, politického a kulturního prostředí, v kterém působí Rizika podléhají změně, stejně jako cíle a prostředí organizace (vnitřní o vnější), např. - nová regulace - používání a stále větší spoléhání se na nové technologie

45 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
ZNEJTE RIZIKA A MĚJTE OSOBNÍ ÚDAJE POD KONTROLOU Identifikace rizik - Identifikovaná rizika je třeba klasifikovat a zaznamenat do registru rizik - popis rizika - přiřazení vlastníka rizika (primárně odpovědný za řízení rizika) - posouzení inherentního rizika (úroveň rizika bez jeho ošetření) – dopad, pravděpodobnost, skóre informace o opatřeních, která jsou na riziko aktuálně aplikována - hodnota zbytkového rizika (zbývající úroveň rizika po jeho ošetření) - zhodnocení, zda je riziko přijatelné - informace o dalších opatřeních, která mají být přijata Informace o způsobech monitorování rizika

46 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
ZNEJTE RIZIKA A MĚJTE OSOBNÍ ÚDAJE POD KONTROLOU Identifikace rizik Míra závažnosti rizika Pravděpodobnost Nepravděpodobné Možné Katastrofický Rušivý Problematický Vysoká Velmi vysoká Extrémní Středně-nízká Střední Vysoká Velmi nízká

47 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
ZNEJTE RIZIKA A MĚJTE OSOBNÍ ÚDAJE POD KONTROLOU Reakce na rizika: - Ošetření – zavedení opatření - Tolerování – akceptace rizika (informovaná a důvodná, rizika nízké závažnosti) - Přenesení rizika – přenesení nebo sdílení rizika s třetí stranou (např. pojištění, outsourcing nemusí nutně znamenat přenesení rizika – viz např. správce a zpracovatel osobních údajů) - Vyhnutí se riziku – ukončení činnosti, která je riziková (podstoupená rizika nejsou úměrná přínosům)

48 Kroky pro dosažení souladu vyplývající z GDPR z GDPR
POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ Úkoly pověřence Šetření stížností v oblasti ochrany osobních údajů Informování a zvyšování povědomí o ochraně osobních údajů Spolupráce s dozorovým úřadem Kontaktní místo pro dozorový úřad

49 Prostor pro otázky a diskuze

50 Martina Landová tel