Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
1. Lucie Balýová, Michal Nulíček, Petr Hájek, Ondřej Zýka, Jan Ulrych 1. února 2017
Data Governance
a datová kvalita v roce 2017:
Příprava na GDPR
2. 2
Agenda
08:30 - 09:00 Registrace, coffee & networking
09:00 - 09:05 Přivítání, úvodní slovo
09:05 - 09:35 Práva subjektů a povinnosti správců podle GDPR
09:35 - 10:05 Přístup Profinitu v oblasti Data Governance
10:05 - 10:20 Přestávka
10:20 - 11:00 Časově i finančně reálné scénáře řešení na
pokrytí požadavků GDPR
11:00 - 11:30 Diskuse u kávy
6. ROWAN LEGAL
26 let na českém trhu
4 lokality: Praha, Brno, Bratislava, Riga
Téměř 50 právníků
7x Právnická firma roku – Právo informačních technologií
Mgr. Michal Nulíček, LL.M., Mgr. Lucie Balýová: GDPR snídaně Profinit, Praha, 1. 2. 2017
8. Obecné nařízení o ochraně
osobních údajů (GDPR)
Nahrazuje zastaralou směrnici
Reflektuje vývoj technologií i práva
– automatizace procesů, masovost dat, důraz na zabezpečení
Odstraněny šedé zóny, reflektuje teorii
a case law
Jednotná aplikace v celé EU
Jednotná pravidla dozoru v EU,
spolupráce
Mgr. Michal Nulíček, LL.M., Mgr. Lucie Balýová: GDPR snídaně Profinit, Praha, 1. 2. 2017
9. Obecné nařízení o ochraně
osobních údajů (GDPR)
Evoluce, ne revoluce
– základní pojmy a principy se příliš nemění, ale přibývají nové
Nová práva subjektů údajů, compliance
Nepoměrně vyšší sankce
– Doposud max. 10 mil. Kč, nově max. 20 mil. EUR nebo 4% z obratu
Mgr. Michal Nulíček, LL.M., Mgr. Lucie Balýová: GDPR snídaně Profinit, Praha, 1. 2. 2017
10. Principy zpracování dat
– Zákonnost, korektnost / férovost a transparentnost
– Účelové omezení
– Minimalizace údajů (nezbytný rozsah relevantních údajů)
– Přesnost (přesné údaje, s opravou či výmazem neaktuálních údajů)
– Omezení uložení (doba zpracování nezbytná pro daný účel)
– Integrita a důvěrnost (zajištění bezpečnosti dat, ochrana před
neoprávněným a nezákonným zpracováním)
– Odpovědnost (a povinnost prokazování)
Důležitý výkladový princip
– Proporcionalita (recitál č. 4) – právo na ochranu osobních údajů
není absolutním právem, vždy v rovnováze s dalšími právy
Principy nařízení
Mgr. Michal Nulíček, LL.M., Mgr. Lucie Balýová: GDPR snídaně Profinit, Praha, 1. 2. 2017
11. Práva subjektů údajů
Obecně
– proces vyřizování žádostí
– lhůty
– forma
Právo
– na přístup
– na výmaz
– vznést námitku
– na omezení zpracování
– na přenositelnost
Mgr. Michal Nulíček, LL.M., Mgr. Lucie Balýová: GDPR snídaně Profinit, Praha, 1. 2. 2017
13. 13
Nové a vyšší nároky na každého správce dat
Znát jaká data
spravuji, a kde
všude jsou
Zabezpečit
provoz
správy dat
Být schopen
informovat
subjekty
a regulátory
14. 14
Start programu
Procesní
Vycházíme z business procesů organizace
a ptáme se, kde se v těchto procesech pracuje
s osobními daty.
Aplikační
Vycházíme z informačních systémů a ptáme
se, jaká osobní data se v těchto systémech
procesují.
Datový
Vycházíme ze zásad Data Managementu,
ptáme se jaká data odpovídají business modelu
organizace a kde všude tato data můžeme
nalézt a kdo je za ně zodpovědný.
15. 15
Posouzení připravenosti – checklist příklad
Právo (Ustanovení) # Povinnost
Procesy
Aplikace
Data
Čl. 15 Právo na
přístup k OÚ
1
Na žádost potvrdit, jestli jsou OÚ, které se
SÚ týkají, zpracovávané nebo ne
x x x
2
Pokud jsou OÚ zpracovávané, na žádost
zpřístupnit informace uvedené
v čl. 155/1a) - h)
x x
3
Pokud jsou OÚ předávané do třetích zemí,
informovat o vhodných zárukách podle čl.
46
x
4
Poskytnout SÚ kopii zpracovávaných
údajů. Pokud žádá v el. podobě, poskytnout
v el. formě
x x x
5 Opravit nepřesné OÚ x x x
Povinnostivyplývajícízprávsubjektůúdajů
16. 16
GDPR a Data Management
Schopnost organizace vyhovět požadavkům GDPR je mimo jiné
úměrná vyspělosti v oblasti řízení dat:
› Je používán Logický Referenční Datový Model organizace?
› Jsou k dispozici definice informačních aktiv (IA) a na ně navázaných datových
elementů (DE)?
› Je u definovaných DE k dispozici klasifikace na osobní a citlivé údaje?
› Jsou logické DE mapovány na systémy/aplikace (obecně „physical data
repositories“)?
› Existuje organizační a personální napojení na IA a DE (vlastníci dat,
„stewardi“)?
› Je zavedený Master Data Management pro klíčová IA (zejména pro aktiva
typu Klient nebo obecně Protistrana?)
› Proběhla jednorázová a probíhá rutinní unifikace/deduplikace u těchto
klíčových aktiv?
› Je sestavován fyzický zlatý záznam pro klíčová IA ? Propisují se vyčištěná
data zpět do non-master systémů?
› Probíhá pravidelné řízení a měření datové kvality u IA a jejich DE?
17. 17
Logický referenční datový model – oblast „Party“
Master Data Management and Reference Data
Enterprise Data Model Overview
Agreement
Agreement
Party_Agreement
Case
Case
Case_Event
Programme
Campaign
Campaign Event
Communication
Party_Contact
Party
Party
- Organisation
- Person
Party_Address_Occupancy Geographic_Address
Location
Service Delivery
Party_Activity
Service_Request
Service Catalogue
Service
Finance
Reservation
Party_Reservation
Account
Accounting
Transaction
18. 18
Tři přístupy k řešení
Maximalistický
Realistický
Baseline
Revoluce v IT architektuře
› TOKENIZACE / PSEUDONYMIZACE
Metadatový registr + Integrace
› viz. dále
Procesní a organizační opatření
› nezbytné minimum
› pro větší organizace zpravidla nedostatečné
19. 19
„Znát všechna data, která spravuji…“
MATICOVÝ
METADATOVÝ MODEL
Elementyosobníchúdajů
Fyzické výskyty osobních údajů v IT systémech
Účel / Souhlas se zpracováním, Právní titul /
Segment / Produkt / Čas
20. 20
Zvolená míra detailu = rozsah projektu
Metadata
+ Golden record
Plná technická metadata:
včetně účelů, právních
titulů, sledování souhlasů,
časové dimenze atd.
Základní
metadata: datové
elementy
x systémy
Data Protection
Repository = Golden
record + reference
na ostatní fyzické
výskyty dat + odkazy
na DQ + logování
Technická metadata
propojená s business
metadaty (produkty,
segmenty…)
Metadata
navázaná
na unifikované
customer_id
21. 21
Typické řešení pro GDPR
Data Governance
Metadata IT provoz
Integrace
App 2
App 3
CRM
DWH
Business
Dictionary
MDM
PDR
Metadata
App 1
METADATA
EXTRACTOR
Procesy BPM
22. 22
Příklad implementačního projektu
05/2018
Discovery
02/201810/201706/201703/2017
Analysis & Design Implementation
Analysis of the primary systems or application
Analysis
Implementation of
the first process
E2E Integration
Design Implementation
Continuous Discovery
PDR
Discovery
Orchestration
Governance
The first
version
of PDR
PDR covers the first
three pilot systems
The first fully
integrated
system
Update & Change
Management
23. 23
GDPR problematika
› Rowan Legal
– Analýza souladu s GDPR
– Implementace
– Právní poradenství
– Certifikace a služby pověřence pro ochranu osobních
› Profinit
– Posouzení připravenosti v oblasti IT systémů a dat
– Spolupráce na přípravě GDPR programu (scoping, timing, …)
– „E-discovery“ fáze ve zvoleném detailu
– Spolupráce na zavedení Data Governance
– Dodávka technické infrastruktury pro realizaci Personal Data
Repository nad zvoleným metadatovým modelem
+
24. 24
Co dál?
› Výchozí stav?
– Právní analýza
– Assessment systémů a dat
› Rozhodnutí o rozsahu a míře detailu řešení, iniciace programu
› Discovery fáze / příprava metadat
› Vybudování metadatového repository
› Napojení na integrační vrstvu a business procesy
25. Profinit EU, s.r.o.
Tychonova 2, 160 00 Praha 6
Telefon
+ 420 224 316 016
Web
www.profinit.eu
LinkedIn
linkedin.com/company/profinit
Twitter
twitter.com/Profinit_EU
Děkujeme za
pozornost
Notas do Editor
Text Nařízení:
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Směrnice je již zastaralá
Nakládání s osobními údaji je v současnosti v EU regulováno směrnicí 95/46/ES, každý členský stát EU má svoji národní právní úpravu, která směrnici implementuje, u nás jde o zákon č. 101/2000 Sb., o ochraně osobních údajů
Směrnice vznikla v roce 95, internet byl v té době v plenkách. V posledních letech tedy bylo zjevné, že směrnice na jednu stranu neposkytuje dostatečnou ochranu našemu soukromí v kontextu internetu a moderních sledovacích nástrojů a zároveň vytváří umělé překážky pro rozvoj digitální ekonomiky
Proto Evropská komise v roce 2012 představila návrh nového Obecného nařízení o ochraně osobních údajů.
Reflexe vývoje v technologii i právu
nařízení reflektuje rozmach některých druhů automatizovaného zpracování – profilování (automatizované zpracování a rozhodování)
za účelem dosažení vyšší kontroly správců ve veřejném sektoru a některých správců, kteří masivně osobní údaje zpracovávají zavádí např. institut Pověřence pro ochranu údajů
V posledních letech se stává čím dál větším tématem bezpečnost osobních údajů, a to zejména kvůli frekventovaným masivním únikům dat
větší důraz na bezpečnost, notifikace bezpečnostních narušení
Vývoj v právu
Některá soudní rozhodnutí (Google Spain, IP adresa (AG: Breyer)) zavedla nová práva a upravila některé definice – nařízení toto reflektuje
Interpretace WP29 – pracovní skupina podle čl. 29 směrnice ve svých stanoviscích často extenzivně vykládala mnoho institutů – v nařízení je velké množství těchto výkladů zohledněno a kodifikováno
Hlavní účel nařízení = Posilování postavení jednotlivce
Účelem obecného nařízení o ochraně údajů je: posílit práva fyzických osob na ochranu údajů; a
(odrazem tohoto je zavedení nových práv subjektů údajů a rozšíření těch stávajících)
usnadnit volný tok osobních údajů v rámci jednotného digitálního trhu, mimo jiné prostřednictvím snižování administrativní zátěže
(odrazem snižování této administrativní zátěže je např. tzv. one-stop-shop – celkově je však reálné snížení administrativní zátěže velice diskutabilní)
Jak tedy nařízení ochranu osobních údajů mění?
Na mnoha místech nedochází k zásadním změnám (cílem není revoluce, nýbrž evoluce :) , dřívější šedé zóny jsou však ve většině případů vyjasněny směrem ke striktnějšímu výkladu, některé praktiky, které bylo dříve možné považovat za hraniční tak podle nařízení nebudou možné
Jak budou tyto změny vynucovány?
Soukromoprávní odpovědnost
zakotvena je společná a nerozdílná povinnost náhrady újmy subjektům údajů – správce bude muset nahrazovat škodu za zpracovatele či společného správce a naopak více v posledním bloku konference
Nepoměrně vyšší sankce
správní pokuty dosahují až 20 mil. EUR (cca 541 mil. Kč) nebo 4 % celosvětového ročního obratu skupiny(cokoli je vyšší)
Zároveň je povinnost u GDPR nutné spojit také s novelou zákona o trestní odpovědnosti právnických osob – nově budou společnosti v některých případech, pokud nebudou zavádět dostatečná opatření (např. bezpečnostní), trestně odpovědné za TČ neoprávněného nakládání s osobními údaji
Text Nařízení:
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Směrnice je již zastaralá
Nakládání s osobními údaji je v současnosti v EU regulováno směrnicí 95/46/ES, každý členský stát EU má svoji národní právní úpravu, která směrnici implementuje, u nás jde o zákon č. 101/2000 Sb., o ochraně osobních údajů
Směrnice vznikla v roce 95, internet byl v té době v plenkách. V posledních letech tedy bylo zjevné, že směrnice na jednu stranu neposkytuje dostatečnou ochranu našemu soukromí v kontextu internetu a moderních sledovacích nástrojů a zároveň vytváří umělé překážky pro rozvoj digitální ekonomiky
Proto Evropská komise v roce 2012 představila návrh nového Obecného nařízení o ochraně osobních údajů.
Reflexe vývoje v technologii i právu
nařízení reflektuje rozmach některých druhů automatizovaného zpracování – profilování (automatizované zpracování a rozhodování)
za účelem dosažení vyšší kontroly správců ve veřejném sektoru a některých správců, kteří masivně osobní údaje zpracovávají zavádí např. institut Pověřence pro ochranu údajů
V posledních letech se stává čím dál větším tématem bezpečnost osobních údajů, a to zejména kvůli frekventovaným masivním únikům dat
větší důraz na bezpečnost, notifikace bezpečnostních narušení
Vývoj v právu
Některá soudní rozhodnutí (Google Spain, IP adresa (AG: Breyer)) zavedla nová práva a upravila některé definice – nařízení toto reflektuje
Interpretace WP29 – pracovní skupina podle čl. 29 směrnice ve svých stanoviscích často extenzivně vykládala mnoho institutů – v nařízení je velké množství těchto výkladů zohledněno a kodifikováno
Hlavní účel nařízení = Posilování postavení jednotlivce
Účelem obecného nařízení o ochraně údajů je: posílit práva fyzických osob na ochranu údajů; a
(odrazem tohoto je zavedení nových práv subjektů údajů a rozšíření těch stávajících)
usnadnit volný tok osobních údajů v rámci jednotného digitálního trhu, mimo jiné prostřednictvím snižování administrativní zátěže
(odrazem snižování této administrativní zátěže je např. tzv. one-stop-shop – celkově je však reálné snížení administrativní zátěže velice diskutabilní)
Jak tedy nařízení ochranu osobních údajů mění?
Na mnoha místech nedochází k zásadním změnám (cílem není revoluce, nýbrž evoluce :) , dřívější šedé zóny jsou však ve většině případů vyjasněny směrem ke striktnějšímu výkladu, některé praktiky, které bylo dříve možné považovat za hraniční tak podle nařízení nebudou možné
Jak budou tyto změny vynucovány?
Soukromoprávní odpovědnost
zakotvena je společná a nerozdílná povinnost náhrady újmy subjektům údajů – správce bude muset nahrazovat škodu za zpracovatele či společného správce a naopak více v posledním bloku konference
Nepoměrně vyšší sankce
správní pokuty dosahují až 20 mil. EUR (cca 541 mil. Kč) nebo 4 % celosvětového ročního obratu skupiny(cokoli je vyšší)
Zároveň je povinnost u GDPR nutné spojit také s novelou zákona o trestní odpovědnosti právnických osob – nově budou společnosti v některých případech, pokud nebudou zavádět dostatečná opatření (např. bezpečnostní), trestně odpovědné za TČ neoprávněného nakládání s osobními údaji
Text Nařízení:
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Směrnice je již zastaralá
Nakládání s osobními údaji je v současnosti v EU regulováno směrnicí 95/46/ES, každý členský stát EU má svoji národní právní úpravu, která směrnici implementuje, u nás jde o zákon č. 101/2000 Sb., o ochraně osobních údajů
Směrnice vznikla v roce 95, internet byl v té době v plenkách. V posledních letech tedy bylo zjevné, že směrnice na jednu stranu neposkytuje dostatečnou ochranu našemu soukromí v kontextu internetu a moderních sledovacích nástrojů a zároveň vytváří umělé překážky pro rozvoj digitální ekonomiky
Proto Evropská komise v roce 2012 představila návrh nového Obecného nařízení o ochraně osobních údajů.
Reflexe vývoje v technologii i právu
nařízení reflektuje rozmach některých druhů automatizovaného zpracování – profilování (automatizované zpracování a rozhodování)
za účelem dosažení vyšší kontroly správců ve veřejném sektoru a některých správců, kteří masivně osobní údaje zpracovávají zavádí např. institut Pověřence pro ochranu údajů
V posledních letech se stává čím dál větším tématem bezpečnost osobních údajů, a to zejména kvůli frekventovaným masivním únikům dat
větší důraz na bezpečnost, notifikace bezpečnostních narušení
Vývoj v právu
Některá soudní rozhodnutí (Google Spain, IP adresa (AG: Breyer)) zavedla nová práva a upravila některé definice – nařízení toto reflektuje
Interpretace WP29 – pracovní skupina podle čl. 29 směrnice ve svých stanoviscích často extenzivně vykládala mnoho institutů – v nařízení je velké množství těchto výkladů zohledněno a kodifikováno
Hlavní účel nařízení = Posilování postavení jednotlivce
Účelem obecného nařízení o ochraně údajů je: posílit práva fyzických osob na ochranu údajů; a
(odrazem tohoto je zavedení nových práv subjektů údajů a rozšíření těch stávajících)
usnadnit volný tok osobních údajů v rámci jednotného digitálního trhu, mimo jiné prostřednictvím snižování administrativní zátěže
(odrazem snižování této administrativní zátěže je např. tzv. one-stop-shop – celkově je však reálné snížení administrativní zátěže velice diskutabilní)
Jak tedy nařízení ochranu osobních údajů mění?
Na mnoha místech nedochází k zásadním změnám (cílem není revoluce, nýbrž evoluce :) , dřívější šedé zóny jsou však ve většině případů vyjasněny směrem ke striktnějšímu výkladu, některé praktiky, které bylo dříve možné považovat za hraniční tak podle nařízení nebudou možné
Jak budou tyto změny vynucovány?
Soukromoprávní odpovědnost
zakotvena je společná a nerozdílná povinnost náhrady újmy subjektům údajů – správce bude muset nahrazovat škodu za zpracovatele či společného správce a naopak více v posledním bloku konference
Nepoměrně vyšší sankce
správní pokuty dosahují až 20 mil. EUR (cca 541 mil. Kč) nebo 4 % celosvětového ročního obratu skupiny(cokoli je vyšší)
Zároveň je povinnost u GDPR nutné spojit také s novelou zákona o trestní odpovědnosti právnických osob – nově budou společnosti v některých případech, pokud nebudou zavádět dostatečná opatření (např. bezpečnostní), trestně odpovědné za TČ neoprávněného nakládání s osobními údaji
Nařízení staví na následujících principech: zákonnost, korektnost a transparentnost; účelové omezení; minimalizace dat; přesnost, omezení uložení; integrita a důvěrnost; odpovědnost
Obecný výčet principů se nachází v čl. 5, nicméně principy se odráží v mnoha „praktických“ ustanovení v celém nařízení.
Zásada zákonnosti, férovosti a transparentnosti
se promítá do právních titulů, tzn. že je možné zpracovávat osobní údaje pouze na základě jednoho z nařízením stanovených právních základů
tento právní titul ( nebo také právní základ, právní důvod) musí mít správce vždy pro každý účel zpracování
zásada se promítá také do způsobu získávání souhlasu nebo do oblasti informační povinnosti.
V souladu s principem transparentnosti musí být např. subjektům údajů zřejmé, jaké osobní údaje jsou shromažďovány, užívány nebo jiným způsobem zpracovávány a v jakém rozsahu jsou osobní údaje zpracovávány (nebo budou v budoucnosti zpracovávány). V souladu s principem transparentnosti musí být dále také informace týkající se zpracování osobních údajů jednoduše dostupné a jednoduše srozumitelné a musí být při jejich poskytování užíván jednoznačný a srozumitelný jazyk. V souladu se zásadou zákonnosti potom musí být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo jiném základě stanoveném v Nařízení nebo jiném předpise členského státu nebo právu Unie.
Zásada účelového omezení
osobní údaje mohou být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
účel je hlavním určovatelem dalších parametrů – zpracovatel bude mít tedy např. 3 účely – 1. poskytování služby, 2. nabízení produktů a služeb, 3. zajišťování síťové bezpečnosti – pro každý z těchto účelů musí mít právní titul, tedy např. pro 1. právní základ plnění smlouvy, pro 2. a 3. oprávněný zájem
dále potom bude muset pro tyto účely splnit informační povinnost a vést o nich evidenci zpracování
Tato zásada se promítá také např. do dalšího zpracování (posouzení slučitelnosti čl. 6 odst. 4)
Další zpracování je situace, kdy správce zpracovává osobní údaje za jiným účelem, než za jakým byly původně shromážděny.
V současné úpravě je toto dovozeno výkladem WP29, v nařízení je to výslovně upraveno
Obecně je k dalšímu zpracování zapotřebí souhlas subjektu údajů – bez souhlasu lze dále zpracovávat, pokud je nový účel slučitelný s tím původním
Slučitelnost účelů se bude posuzovat na základě několika faktorů, které jsou v nařízení vyjmenovány – posuzují se okolnosti shromáždění údajů, možné důsledky zamýšleného zpracování, existence bezpečnostních záruk, apod.
o posouzení musí být pořízen záznam, aby jeho provedení mohl být kdykoliv správce schopen doložit
Minimalizace údajů (nezbytný rozsah relevantních údajů)
Zásada, která říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány
praktický odraz např. v záměrné ochraně osobních údajů (více v pozdějším bloku konference), právu na výmaz, apod.
Přesnost (přesné údaje, s opravou či výmazem neaktuálních údajů)
osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny
praktický odraz v právu subjektu údajů na opravu, na výmaz, na omezení zpracování
tato povinnost zároveň znamená, že správci by měli být velmi obezřetní např. při nákupu databází a přesnost údajů kontrolovali v rámci due diligence
Omezení uložení (doba zpracování nezbytná pro daný účel)
údaje nesmí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány
výjimka pro archivaci ve veřejném zájmu pro účely vědeckého či historického výzkumu nebo pro statistické účely
Integrita a důvěrnost (zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním)
údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
praktické ustanovení zabezpečení osobních údajů (čl. 32)
Odpovědnost (a povinnost prokazování)
Velmi důležitý princip
praktické ustanovení - zejména čl. 24
Správce odpovídá za dodržení všech těchto principů, soulad musí být schopen dokázat – proto např. bude muset uchovávat kvalitní záznamy o všech provedených posouzeních, které provádí
zároveň dává nařízení k plnění této povinnosti správcům a zpracovatelům nástroje v podobě kodexů chování či osvědčení o ochraně osobních údajů (více v jiném bloku konference)
Důležitý výkladový princip
Proporcionalita (recitál č. 4) – právo na ochranu osobních údajů není absolutním právem, vždy musí být v rovnováze s dalšímu právy