18.9.2017 seminář o gdpr - cesnet€¦ · 18.9.2017 seminář o gdpr Čl. 4 odst. 1 gdpr...
TRANSCRIPT
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
https://datafloq.com/read/7-trends-of-internet-of-things-in-2017/2530
18.9.2017 Seminář o GDPR
One Ring to rule them all,
One Ring to bring them all…
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
http://www.smartinsights.com/internet-marketing-statistics/happens-online-60-seconds/
https://pbs.twimg.com/media/C7T8TisXUAAEHiU.jpg
Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti.
Máte představu, co obsahují ty ostatní?“
Mgr. Eva Škorničková
https://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/
18.9.2017 Seminář o GDPR
GDPR se uplatní v případech, kdy je:
(bez ohledu na úplatu)
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
Čl. 4 odst. 1identifikovaná nebo identifikovatelná
fyzickou osobou
- fyzická osoba bez ohledu na její státní příslušnostnebo bydliště.
- OSVČ
- právnická osoba (zejména podniky vytvořené jakoprávnické osoby, včetně názvu, právní formy akontaktních údajů právnické osoby).
V14
18.9.2017 Seminář o GDPR
Čl. 4 odst. 1 GDPR
veškeréfyzické
osobě
zejména odkaz na určitýidentifikátor, například jméno,identifikační číslo, lokační údaje,síťový identifikátor nebo na jedenči více zvláštních prvků fyzické,fyziologické, genetické, psychické,ekonomické, kulturní nebo společenskéidentity této fyzické osoby.
Čl. § 4 ZOOU
a) osobním údajem jakákolivinformace týkající se
subjektu
zejména na základě čísla, kódu nebojednoho či více prvků, specifickýchpro jeho fyzickou, fyziologickou,psychickou, ekonomickou, kulturnínebo sociální identitu,
18.9.2017 Seminář o GDPR
veškeré (obrazové, písemné,slovní, digitální, genetické, zdravotnickéaj.),
(obsahem – např. jméno,adresa, pracovní zařazení, email aj.),
Subjekt může být identifikován:
přímo
nepřímo (např. výběr vyčleněním aj.)
jméno a příjmení
identifikační číslo
RČ
lokační údaje (geo-)
věk a datum narození
pohlaví
osobní stav
občanství
IP adresa
fotografie
prvky fyzické, fyziologické,genetické, psychické,ekonomické, kulturní nebospolečenské identity
pracovní/osobní adresa
pracovní/osobní telefonní číslo
pracovní/osobní email
ověřovací identifikační údaje
identifikační čísla vydaná státem
18.9.2017 Seminář o GDPR
V30https://www.gdpr.cz/gdpr/heslo/osobni-udaje/
rasovém či etnickémpůvodu
vyznání
politických názorech
členství v odborech čijiných organizacích
sexuální orientaci
spáchání deliktů (trestnýčin/přestupek aj.) apotrestání za ně
genetické údaje (DNA &RNA)
biometrické údaje údaje o zdravotním stavu
V34, 35, 38
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
Ochrana OÚ se nevztahuje na:
(informace, které senetýkají identifikované či identifikovatelnéfyzické osoby, ani na osobní údajeanonymizované tak, že subjekt údajů nenínebo již přestal být identifikovatelným)
Čl. 4 odst. 1, V 26-27
Zpracování OÚ tak, že
Dodatečné informace musí:
a
na ně technická a organizačníidentifikované či identifikovatelné fyzické
osobě
Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základědodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě.
Výsledek pseudonymizace:
- snížení rizik pro subjekt údajů
- pomoc správcům a zpracovatelům splnit jejich povinnosti týkající seochrany údajů
- „změkčení“ některých povinností
Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předemvyloučit jakákoliv další opatření týkající se ochrany údajů. V26, 28, 29
18.9.2017 Seminář o GDPR
Čl. 4 odst. 2
jakákoliv operace nebo soubor operací s osobními údaji nebo souboryosobních údajů,
, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
18.9.2017 Seminář o GDPR
Ochrana subjektu údajů se vztahujena pokud jsou tytoúdaje uloženy v evidenci nebo doní mají být vloženy.
V16, 18
18.9.2017 Seminář o GDPR
- pokud jsou osobní údaje získávány odsubjektu údajů, měl by subjekt údajů býtrovněž
Čl. 5 odst. 1, V39, 58, 60
18.9.2017 Seminář o GDPR
musí
- OÚ musí býtshromažďovány pro určité, výslovně vyjádřené a legitimní účely anesmějí být dále zpracovávány způsobem, který je s těmito účelyneslučitelný),
(osobní údaje musí být přiměřené a relevantníve vztahu k účelu, pro který jsou zpracovávány),
(osobní údaje musí být přesné a v případě potřebyaktualizované.
),
, pro které jsou zpracovávány),
(technické a organizační zabezpečení osobníchúdajů).
Čl. 5 odst. 1, V39, 58, 60
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
Profilování je jakákoli forma
Zejména k:
- rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu,
- ekonomické situace,
- zdravotního stavu,
- osobních preferencí,
- zájmů,
- spolehlivosti,
- chování,
- místa, kde se nachází, nebo
- pohybuČl. 4 odst. 4
Profilování není zakázáno. Je však důležité, aby se dělo v předvídaných případech a nazákladě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finančnísubjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.
https://www.uoou.cz/gdpr-v-nbsp-otazkach-a-nbsp-odpovedich/d-23790/p1=4720
Aby bylo zpracování zákonné, měly by býtosobní údaje zpracovávány
nebo s ohledem na
Právní základ či legislativní opatření ≠ nutně legislativní akt přijatý parlamentem.
Právní základ či legislativní opatření musí být jasné a přesné a jejich použití by mělo býtpředvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvoraEvropské unie (dále jen „Soudní dvůr“) a Evropského soudu pro lidská práva.
Čl. 6, V 40 a 41
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
Souhlasu subjektu údajů
Jiný legitimní základ
Vlastní souhlas Smlouva- Vlastní plnění- Provedení
opatření před uzavřením smlouvy
Splnění právní povinnosti, která se na správce vztahuje
Zájem:- ochrana životně důležitých
zájmů subjektu údajů nebo jiné fyzické osoby
- plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
- oprávněný zájem příslušného správce či třetí strany
Čl. 6, V40
(pro splnění této podmínky musí měl by subjektúdajů znát alespoň totožnost správce a účely zpracování, knimž jsou jeho osobní údaje určeny).
(souhlas je svobodný pouze pokud má subjektúdajů svobodnou volbu nebo může souhlas odmítnout čiodvolat, aniž by byl poškozen).
Čl. 7, V32
18.9.2017 Seminář o GDPR
(ne součást smlouvy či EULA)
(prohlášení o souhlasu navržené správcemmělo být poskytnuto ve srozumitelném a snadno přístupnémznění za použití jasného a jednoduchého jazyka a nemělo byobsahovat nepřiměřené podmínky).
(Má-li subjekt údajů vyjádřit souhlas na základě žádosti podanéelektronickými prostředky,
).V 32 a 42
18.9.2017 Seminář o GDPR
při návštěvě internetové stránky,
technického
prohlášení či které v této souvislosti
předem zaškrtnuté políčko
nečinnost
veškeré činnosti zpracování prováděné pro stejný účel nebo stejnéúčely
v případě více účelů by měl by být souhlas udělen pro všechnyV 32
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
základ v právní normě Unie nebo členského státu
stanovit účel zpracování
určit správce,
typ osobních údajů, které mají být zpracovány,
dotčené subjekty údajů,
subjekty, kterým lze osobní údaje sdělit,
účelové omezení,
doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování
dotčený subjekt údajů má právo vznést námitku proti zpracováníosobních údajů, které se týkají jeho konkrétní situace.
V45, 69
18.9.2017 Seminář o GDPR
Zpracování na základě životně důležitého zájmujiné fyzické osoby má
Jde například o:
- humanitární účely,
- monitorování epidemií a jejich šíření
- případy přírodních a člověkem způsobenýchkatastrof.
V46
18.9.2017 Seminář o GDPR
zohlednit přiměřené očekávání subjektu údajů na základě jeho vztahuse správcem
, včetnětoho, zda subjekt údajů může v okamžiku shromažďování osobníchúdajů důvodně očekávat, že ke zpracování pro tento účel může dojít.
Zpracování pro účely přímého marketingu.
předání osobních údajů v rámci skupiny podniků pro vnitřníadministrativní účely (OÚ o zaměstnancích i zákaznících)
V47, 48
(kdo, co, kde, kdy, jak dlouho, proč, kam?…) Účely zpracování Kategorie údajů Příjemci Doba uchování Existence práva na výmaz, omezení, námitku či stížnost Informace o zdroji Profilování/automatizované rozhodování(Řešeno již stávající právní úpravou)
(Nově řešeno GDPR).
18.9.2017 Seminář o GDPR
Fyzická osoba by měla mít .
zánik účelu
odvolání souhlasu (
námitka
protiprávní zpracování
právní povinnost
údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.
Čl. 17, V65
18.9.2017 Seminář o GDPR
Pokud je zpracování:
má subjekt právo získat osobní údaje, které se ho týkají, a ježposkytl správci,
a předat jejinému správci, i bez souhlasu původního správce.
- zpracování nezbytné ve veřejném zájmu, nebo
- při výkonu veřejné moci
Čl. 20, V68
18.9.2017 Seminář o GDPR
fyzická nebo právnická osoba
povahu, rozsah, kontext a účely zpracování a
riziko pro práva a svobody fyzických osob
doložit, že zpracování OÚ je prováděno v souladu s GDPR
V74
18.9.2017 Seminář o GDPR
fyzická nebo právnická osoba
Správce by měl zpracováním pověřit pouze zpracovatele, kteříposkytují dostatečné záruky (odbornost, znalosti, spolehlivostaj.) =
Jedním z prvků, jimiž lze doložitdostatečné záruky:
kodex chování (Čl. 40)
schválený mechanismus pro vydávání osvědčení (Čl. 42)
Čl. 28,V81
18.9.2017 Seminář o GDPR
(Čl. 30)
(Čl. 35)
(Čl. 31 a násl.)
(Čl. 33)
(Čl. 34)
(Čl. 37)
Čl. 24 a násl., V82
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
je-li to možné, je-li to možné, obecný
uvedených v čl. 32 odst. 1.
Výjimky:zpracování není jejich hlavní
činností a neexistuje riziko pro práva a svobody subjektu údajů Zpracování není příležitostné Nejsou zpracovány citlivé osobní údaje
Čl. 30
vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku s přihlédnutím:
Implementace prostředků, jak v době určení, tak při zpracování samotném, aby byly splněny požadavky GDPR (např. pseudonymizace, minimalizace OÚ, transparentnost aj.)
Zajištění, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Opatření zejména zajistí, aby osobní údaje
nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. (množství, rozsah, doba, dostupnost)
Čl. 25
15.6.2017 GDPR
nemusí neprodleně v situaci, kdy je zapotřebí zavést vhodnáopatření s cílem zabránit tomu, aby porušení zabezpečení osobníchúdajů pokračovalo nebo aby docházelo k podobným případůmporušení.
nemusí, pokud zajistil správce nápravu, nebo to není praktickymožné.
(). V85-87
18.9.2017 Seminář o GDPR
jež by mohly mít údajů a u nichž
(biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních)
v případě
případě
popis zamýšlených operací zpracování
posouzení nezbytnosti a přiměřenosti operací z hlediska účelu ( )
Čl. 35, V84, 87, 90-94
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům
monitorování souladu s GDPR poskytování poradenství na požádání spolupráce s dozorovým úřadem zvyšování povědomí a odborné přípravy pracovníků
zapojených do operací zpracování a souvisejících auditů působení jako kontaktní místo pro dozorový úřad
Čl. 37 a 39
18.9.2017 Seminář o GDPR
https://www.gdpr.cz/wp-content/uploads/2017/09/Metodick%C3%A9-doporu%C4%8Den%C3%AD-k-%C4%8Dinnosti-obc%C3%AD.pdf
18.9.2017 Seminář o GDPR
(Teoreticky největší objem dat majících povahuOÚ. Jejich „citlivost“ ve srovnání s PO?)
18.9.2017 Seminář o GDPR
provedení auditu, kde všude se pracuje s OÚ ve vztahu k GDPR
Stanovení podmínek dle GDPR (jasné srozumitelné atd.)
Stanovení účelu pro každé zpracování OÚ
Možnost nesouhlasu subjektu údajů
18.9.2017 Seminář o GDPR
Neexistuje jedno pravidlo, vzor, nástroj, řešení či postup
aplikovatelný pro každou společnost a každou situaci či každou organizaci.
18.9.2017 Seminář o GDPR
https://www.uoou.cz/gdpr/ds-3938/p1=3938
Dokumenty k GDPR
https://www.uoou.cz/dokumenty%2Dk%2Dgdpr/ds-4720/archiv=0&p1=3938
GDPR a role ÚOOÚ
https://www.uoou.cz/gdpr%2Da%2Drole%2Duoou/ds-4726/archiv=0&p1=3938
Pracovní skupina WP29
https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750
GDPR v otázkách a odpovědích
https://www.uoou.cz/gdpr%2Dv%2Dnbsp%2Dotazkach%2Da%2Dnbsp%2Dodpovedich/d-23790/p1=4720
Desatero omylů o GDPR
https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=4720
https://www.gdpr.cz
18.9.2017 Seminář o GDPR
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&qid=1488972453767&from=CS
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu
těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV(JHAD)
http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016L0680
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/681ze dne 27. dubna 2016
o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti
http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016L0681
Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY o respektování soukromého života a ochraně
osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích)
https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR
18.9.2017 Seminář o GDPR