Rizika, možnosti a meze uzavírání smluv developerů s obcemi
Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR
1.
2. Změny v ochraně osobních
údajů v souvislosti s novým
nařízením GDPR
Mgr. Kristýna Delmar
Barcamp Brno 2017
3. Přehled přednášky
• OSOBNÍ ÚDAJE
• POVINNOSTI SPRÁVCE A ZPRACOVATELE
• POVĚŘENEC PRO OCHRANU OSOBNÍCH
ÚDAJŮ
• VHODNÝ POSTUP PRO PŘÍPRAVU NA
ÚČINNOST
4. Kdo jste? Týká se Vás GDPR?
4
Markeťáci Personalisté
Dodavatelé
software
Zákazníci
9. Údaje nepožívající ochranu při
zpracování
• Právnické osoby
• Anonymizované údaje – pozor na
pseudonymizované údaje
• Osobní údaje zemřelých osob
• Údaje získané v rámci činnosti čistě osobní
povahy, které nemají obchodní či institucionální
charakter.
9
10. Správce/zpracovatel osobních údajů
„Správcem“ se rozumí fyzická nebo právnická osoba, orgán
veřejné moci, agentura nebo jiný subjekt, který sám nebo
společně s jinými určuje účely a prostředky zpracování
osobních údajů; jsou-li účely a prostředky tohoto zpracování
určeny právem Unie či členského státu, může toto právo určit
dotčeného správce nebo zvláštní kritéria pro jeho určení
„Zpracovatelem“ se rozumí fyzická nebo právnická osoba,
orgán veřejné moci, agentura nebo jiný subjekt, který
zpracovává osobní údaje pro správce
10
12. Povinnosti správce
• Oznamovací povinnost bude zrušena a nahrazena
povinností provést tzv. posouzení dopadu na ochranu
osobních údajů.
• Povinnost oznámit dozorovému orgánu k posouzení
neboli k předběžné konzultaci.
• Povinnost vést záznamy o všech zpracováních, za
která nesou odpovědnost.
• Povinnost ohlašování případů narušení bezpečnosti
osobních údajů (tzv. data breaches).
12
13. Povinnosti správce (a zpracovatele)
• Pověřenec pro ochranu osobních údajů
• Povinnost důkladně informovat subjekt osobních údajů
(OÚ) o způsobu zpracovávání osobních údajů – důraz
na souhlas subjektu
• Právo přenositelnosti
• Právo být zapomenut
• Právo být informován o zneužití os. údajů
13
14. Práva subjektů OÚ
• Právo na přístup
• Právo na opravu
• Právo na přenositelnost údajů („portabilita“)
• Právo vznést námitku
• Právo na omezení zpracování
• Právo na výmaz (právo „být zapomenut“)
• Omezení práv a povinností
14
16. Pověřenec
• Nezávislý garant správného nakládání
s osobními údaji
• Forma spolupráce
• Komu odpovídá?
• Zvláštní ochrana pověřence
16
17. KDO MUSÍ POVĚŘENCE MÍT?
• Orgán veřejné moci
• Hlavní činnosti jsou operace vyžadující rozsáhlé
pravidelné a systematické monitorování osob.
• Hlavní činnosti spočívají v rozsáhlém zpracování
zvláštních kategorií údajů,
• Ostatní pověřence mít mohou.
17
18. Hlavní činnost vs. Podpůrná činnost
• Související se
základními
obchodními a
provozními činnostmi
• Neodmyslitelná
součást činnosti
správce/zpracovatele
• Zpracování zdravotních
údajů pacientů v
nemocnicích
• Činnosti podpůrného
charakteru zajišťující
samotný chod
organizace a přímo
nesouvisející s činností
hlavní
• Vedení evidence za
účelem vyplácení mezd
18
22. Účel zpracování a omezení
• Omezení účelem – stanoven před zpracováním
• Další zpracování (za jiným účelem, než za jakým
byla data shromážděna) - při slučitelnosti
• Automaticky slučitelný účel:
• Vědeckého či historického výzkumu nebo
pro statistické účely
• Archivace ve veřejném zájmu
22
23. Souhlas se zpracováním
• Je titulem pro zpracování osobních údajů
• GDPR upravuje definici a je obtížnější jej získat
pravená definice:
• svobodný, výslovný, vědomý a
jednoznačný projev vůle, daný
prostřednictvím prohlášení, nebo jasnou
souhlasnou akcí (affirmative action)
• Souhlas nelze udělit mlčky, konkludentně
23
24. Jiné důvody pro zpracování OÚ
kromě souhlasu
•Plnění smlouvy
•Splnění právní povinnosti,
•Ochrana životně důležitých zájmů SÚ,
•Veřejný zájem, výkon veřejné moci,
24
25. Zpracování citlivých údajů
• Obecně zákaz zpracování
• Právní důvody:
a) výslovný souhlas subjektu údajů
b) plnění povinností v oblasti pracovního práva a práva v
oblasti sociálního zabezpečení a sociální ochrany, pokud je
to dáno právem Unie či členského státu
c) ochrana životně důležitých zájmů subjektu údajů
d) zpracování se týká osobních údajů zjevně zveřejněných
subjektem údajů;
e) zpracování je nezbytné pro určení, výkon nebo obhajobu
právních nároků nebo pokud soudy jednají v rámci
svých soudních pravomocí;
Veřejný zájem atd. ………
25
27. • Audit stávající práce s osobními údaji
• Vytvoření nebo aktualizace interních procesů a
předpisů
• Nastavení zabezpečení práce se stávajícími
údaji
• Technické řešení
• Revize dokumentace
• Revize vztahů s externími zpracovateli
27
28. Vynucování a sankce
• Velké množství pravomocí dozorových
úřadů
• Sankce:
• Současný stav = max. 10 mil. Kč
• GDPR = Výrazné zpřísnění sankcí – až do
20 mil. EUR nebo 4 % celosvětového
ročního obratu
28