Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Směrnice GDPR nejen v kontextu spisové služby (Seminář)

17 views

Published on

prezentace ze semináře "Směrnice GDPR nejen v kontextu spisové služby (Seminář)"

Published in: Education
  • Be the first to comment

  • Be the first to like this

Směrnice GDPR nejen v kontextu spisové služby (Seminář)

  1. 1. Obecné nařízení o ochraně osobních údajů do praxe: návod na čtení PhDr. Miroslava Matoušová, ÚOOÚ Praha 26. dubna 2017
  2. 2. Základní charakteristika Část I.
  3. 3. Pilíře • Kontinuita (zásady a klíčové instrumenty) • Přesnější a podrobnější úprava práv subjektu údajů • Propracovanější a náročnější pravidla pro správce a zpracovatele • Sjednocený nezávislý dozor • Prováděcí unijní i vnitrostátní předpisy, omezení rozsahu povinností/práv předpisy
  4. 4. Konstrukční základy ochrany osobních údajů v ON • Zásady zpracování osobních údajů (rozšířené) • Záměrná a standardní ochrana • Přístup založený na riziku • Panevropský (EU) dosah • Nezávislý dozor • Vymahatelnost
  5. 5. Zásady zpracování os. údajů • zákonnost, korektnost a transparentnost • účelové omezení • minimalizace údajů • přesnost (osobních údajů) • omezení uložení • integrita a důvěrnost • odpovědnost
  6. 6. Nové nástroje ochrany • pověřenec pro ochranu osobních údajů • ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a oznamování téhož dotčeným subjektům údajů • mechanismus jediného kontaktního místa • mechanismus jednotnosti
  7. 7. Sjednocení dozoru • ON výslovně upravuje nezávislost, podmínky pro členy, úkoly a pravomoci (vč. vyšetřovacích) dozorových úřadů a vzájemnou spolupráci dozorových úřadů, • Evropský sbor pro ochranu osobních údajů jako subjekt Unie s právní subjektivitou k dosahování jednotnosti v prosazování a vymáhání pravidel (mechanismus jednotnosti) • Jednotné sankce (podmínky ukládání správních pokut s horní hranicí 20 mil. EUR, nebo - pouze u podniků - 4% ročního obratu za předchozí finanční rok)
  8. 8. Konstrukční základy ochrany Část II
  9. 9. Záměrná a standardní ochrana • S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k pravdě- podobným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jejichž účelem je: • provádět zásady ochrany údajů účinným způsobem a • začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.
  10. 10. Záměrná a standardní ochrana (2) • vhodná technická a organizační opatření: • minimalizace zpracování osobních údajů, • co nejrychlejší pseudonymizace osobních údajů, • transparentnost s ohledem na funkce a zpracování osobních údajů, • umožnění subjektům údajů monitorovat zpracování osobních údajů a • umožnění správcům vytvářet a zlepšovat bezpečnostní prvky (zhotovitelé produktů, služeb a aplikací)
  11. 11. Záměrná a standardní ochrana (3) • povinnost posuzovat vliv jednotlivých zpracování a vyžádat si předběžnou konzultaci u dozorového úřadu • povinnost posouzení pro systematické a rozsáhlé vyhodnocování osobních aspektů, na němž se zakládají rozhodnutí s právními účinky, pro rozsáhlé systematické monitorování veřejně přístupných prostorů a rozsáhlé zpracování citlivých údajů
  12. 12. Transparentnost • Transparentnost regulatorního rámce – Dozorové úřady vůči správcovské i obecné veřejnosti • Transparentnost zpracování – Správci vůči subjektům údajů • Správci vůči dozorovým úřadům
  13. 13. Záměrná a standardní ochrana a transparentnost • Kodexy chování (dodržování schváleného kodexu chování) • Osvědčení o ochraně osobních údajů, pečetě a známky (dodržování schváleného mechanismu pro vydávání osvědčení)
  14. 14. Přístup založený na riziku • Klíčem k nastavování povinností pro správce je rizikovost, která je samozřejmě dovozována z rozsahu zpracování, zpracovávaných osobních údajů (citlivé údaje)a používaných technologií.
  15. 15. Přístup založený na riziku (2): zabezpečení zpracování •S přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování vhodná technická a organizační opatření a začlení do zpracování nezbytné záruky. •Při posuzování úrovně bezpečnosti se zohlední zejm. rizika ze zpracování (náhodné/protiprávní zničení, ztráta, pozměňová- ní, neoprávněné zpřístupnění osobních údajů, neoprávněný přístup).
  16. 16. Přístup založený na riziku (3): ohlašování a oznamování porušení zabezpečení os. údajů • Porušení zabezpečení ohlásí správce bez zbytečného odkladu a pokud možno do 72 hod. od okamžiku, kdy se o něm dozvěděl, dozorovému úřadu, ledaže je nepravděpodobné, že by mělo za následek riziko pro práva a svobody fyzických osob. • Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko /…/, oznámí správce porušení bez zbytečného odkladu subjektu údajů. Oznámení se nevyžaduje, jestliže: a) náležitá technická a organizační ochranná opatření byla použita u údajů dotčených porušením, zejm. ta, která činí údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, např. šifrování; b) správce přijal následná opatření, která zajistí, že vysoké riziko /…/ se již pravděpodobně neprojeví.
  17. 17. Přístup založený na riziku (4): Posouzení vlivu • Pokud je pravděpodobné, že určitý druh zpracování, zejm. při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. • Posouzení je nutné zejména v těchto případech: a)systematické a rozsáhlé vyhodnocování osobních aspektů fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí s právními účinky nebo mají na fyzické osoby podobně závažný dopad; b) rozsáhlé zpracování zvláštních kategorií údajů (citlivé)nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
  18. 18. Přístup založený na riziku (5): Předchozí konzultace • Správce konzultuje před zpracováním s dozorovým úřadem, pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. • Pokud se dozorový úřad domnívá, že by zamýšlené zpracování porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí.
  19. 19. Přístup založený na riziku (6): Pověřenec pro ochranu osobních údajů Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
  20. 20. Přístup založený na riziku (7): Předávání osobních údajů do třetích zemí a mezinár. organizacím • Hodnocení třetí země (Komise): zásady právního státu, standardy lidských práv, nezávislý dozor, mezinárodní závazky. • Předávání založená na vhodných zárukách • Výjimky: subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a k navrhovanému předání vydal svůj výslovný souhlas • Předání, která nejsou opakovaná a týkají se pouze omezeného počtu subjektů údajů, lze uskutečnit pro účely závažných oprávněných zájmů správce, pokud nad těmito zájmy nepřevažují zájmy/práva a svobody subjektu údajů
  21. 21. Přístup založený na riziku (8): záznamy o činnostech zpracování • Povinnost vést záznamy o činnostech zpracování se nepoužije pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodob- ně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
  22. 22. Přístup založený na riziku (9): pseudonymizace • osobní údaje již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, uchovávaných odděleně a technická a organizační opatření zajišťují, že nebudou přiřazeny identifikova- né/identifikovatelné fyzické osobě • vhodná záruka: – snižuje rizika pro práva subjektu údajů – změkčuje některé povinnosti správců (a zpracovatelů): práva subjektu údajů podmíněna schopností správce subjekt údajů identifikovat
  23. 23. Specifika veřejné správy v ČR Část V
  24. 24. Zásada zákonnosti (1) • Zpracování je zákonné, pouze pokud a pouze v odpovídajícím rozsahu: • c) zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje; • e) zpracování nezbytné pro splnění úkolu prováděné- ho ve veřejném zájmu nebo při výkonu veřejné moci; • Členské státy mohou zachovat/zavést konkrétnější ustanovení tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování.
  25. 25. Zásada zákonnosti (2) • Zpracování je zákonné, pouze pokud a pouze v odpo- vídajícím rozsahu: • f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce/třetí strany - netýká se zpracování prováděného orgány veřejné moci při plnění jejich úkolů
  26. 26. Posouzení vlivu • Při výkonu oprávnění (samosprávná působ- nost) a povinností (samosprávná i přenesená působnost) nemají instituce veř. správy povinnost podle čl. 35 a 36 • Adaptační zákon provede čl. 35(10): posouzení vlivu na ochranu osobních údajů je a bude součástí obecného posouzení dopadů v souvislosti s přijetím právního základu
  27. 27. Zabezpečení zpracování S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu, účelu zpracování, rizikům pro práva a svobody fyz. osob, provedou správce a zpracovatel vhodná technická a organizační opatření, odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb; d) pravidelného testování, posuzování a hodnocení účinnosti zavedených opatření
  28. 28. Zabezpečení zpracování (2) • Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.
  29. 29. Povinnosti zakládající u správce potřebu vnitřních předpisů Část V
  30. 30. Povinnosti, jejichž plnění si žádá vnitřní předpis správce • Komunikace se subjekty údajů • Plnění „vnitřních“ povinností správce • Spolupráce s dozorovým úřadem • Platí zejména pokud nejsou podrobnosti stanoveny zvláštním právním předpisem
  31. 31. Komunikace se subjekty údajů(1) • Podle čl. 13 -22 pro výkon práv subjektu údajů – formy a formáty odpovídající základní komunikaci – formuláře (?) – potvrzení totožnosti žádajícího subjektu údajů – (standardizované) ikony • Podle čl. 34 – pro plnění oznamovací povinnosti – šablony (ve všech významech) – Vazba na záznamy podle čl. 30 a posouzení vlivu podle čl. 35
  32. 32. Plnění „vnitřních“ povinností správce (compliance) • podle čl. 6 – 12 • Podle čl. 32 (zabezpečení zpracování) • podle čl. 44 – 49 • vlastní posouzení vlivu na ochranu osobních údajů podle čl. 35 a případně • předběžná konzultace podle čl. 36
  33. 33. Zabezpečení zpracování S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu, účelu zpracování, rizikům pro práva a svobody fyz. osob, provedou správce a zpracovatel vhodná technická a organizační opatření, odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb; d) pravidelného testování, posuzování a hodnocení účinnosti zavedených opatření
  34. 34. Komunikace s dozorovým úřadem • Podle čl. 30 (na požádání poskytnout záznamy o činnostech zpracování) • Podle čl. 31 na požádání spolupracovat při plnění úkolů dozorového úřadu • Podle č. 33 ohlašovací povinnost (zjištěné porušení zabezpečení)
  35. 35. Vnitřní předpis nebo jiná forma úpravy • Podle čl. 30 (záznamy o činnostech zpracování) • Podle čl. 37 - 39 (jmenování pověřence, postavení a úkoly) • podle čl. 40 (kodexy chování)
  36. 36. Porovnání vybraných povinností Část IV
  37. 37. Zabezpečení osobních údajů § 13 zák. 101/2000 Sb. • Obecná formulace + konkrétní formulace dílčích povinností: – dokumentační povinnost – 4 povinnosti pro automatizované zpracování • Plošná platnost, pouze u obecné povinnosti přijmout provést opatření dán prostor Čl. 32 až 34 nař. 2016/679 • Obecná povinnost umožňuje zohlednit stav techniky, náklady na provedení, kontext a účel • Nová ohlašovací povinnost • Nová oznamovací povinnost • Změkčená dokumentační povinnost (v čl. 30)
  38. 38. Zabezpečení osobních údajů • elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly os. údaje zaznamenány nebo jinak zpracovány: - podle zák. č. 101/2000 Sb. absolutní povinnost - podle ON v závislosti na kontextu a účelech zpracování a rizikům pro práva svobody fyz. osob Pozn: povinnost podle čl. 25 směrnice 2016/680
  39. 39. Sdružování osobních údajů § 5 odst. 1 písm. h) zák. 101 • Správce je povinen nesdružovat osobní údaje, které byly získány k rozdílným účelům • Nepoužije se pro zpracování podle § 3 odst. 6 ON explicitně „nezná“ • Sdružování omezeno zásadami zákonnosti, korektnosti a transparentnosti • Omezení podpořeno pov. podle čl. 13 a 14 (informace subjektu údajů) • Bude platit i pro veřejnou správu (aktivní legislativa, projektová činnost)
  40. 40. Politické x odborné čtení ON Část III
  41. 41. Definice osobního údaje • omezení na údaje identifikující • rozšíření pojmu • Definice v § 4 zák. č. 101/2000 Sb., čl. 2 směrnice 95/46/ES a čl. 4 ON • rozsudky Breyer (C-582/14) a Scarlet Extended SA (C- 70/10) • rozsudky Schrems (C-362/14), Tele2Sverige (C-203/15), Tele2/Watson (C-698/15) …
  42. 42. Subjekt údajů má kontrolu nad svými údaji • Subjektu údajů se nově přiznává kontrola nad svými údaji • Subjekt údajů je (výlučným) vlastníkem svých osobních údajů – (privátní autonomie) • Souhlas pouze jedním ze 6 právních titulů • Rozšířená práva: přenositelnost • Detailnější úprava (výmaz) • Omezení práv: – v samotném ON – přípustné právem Unie/ČS (čl. 23)
  43. 43. Právo být zapomenut • „Na pravou míru“ uvedeno přímo v ON: – Čl. 17 Právo na výmaz („právo být zapomenut“) pokud je dán jeden ze 6 důvodů – Nepoužije se, při zpracování nezbytném pro jeden ze 4 důvodů (výkon práva na svobodu projevu a informace, splnění právní povinnosti, veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veř. zájmu, vědeckého/historického výzkumu nebo statistické účely a pro určení, výkon nebo obhajobu právních nároků)
  44. 44. Souhlas subjektu údajů • zásadní institut evropského modelu ochrany osobních údajů • žádost o vyjádření souhlasu jasně odlišena od jiných skutečností, srozumitelná a snadno přístupná (jasné a jednoduché jazykové prostředky) • svobodnost: plnění smlouvy, vč. poskytnutí služby nesmí být podmíněno souhlasem se zpracováním, které není pro plnění dané smlouvy nutné • nevyužit přístup založený na riziku
  45. 45. Ochrana cestuje s osobními údaji • V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany -preambule (10) • Podmínky zákonnosti zpracování: možnost ČS zavést konkrétnější ust. podle čl. 6(1)c) a e) • Omezení rozsahu povinností a práv podle čl. 5,12-22 a 34 právem Unie/ČS (čl. 23) • Právo ČS uvádějící právo na ochranu os. údajů podle ON do souladu s právem na svobodu projevu a informací (čl. 85)
  46. 46. Předmět právní úpravy • Je upravována jen ochrana fyzických osob v souvislosti se zpracováním údajů? • Ne: upravováno jsou i jiné aspekty zpracování osobních údajů. • Upravovány rovněž podnikatelské aktivity spojené se zpracováním • podmínky zakládající zákonnost zpracování – čl. 6(1) nejm. písm. c), e) a f) • povinnost provést technická/organizační opatření k zabezpečení os. údajů- čl. 32, zejm. odst. 1 písm. b) • Přenositelnost: předání přímo jedním správcem druhému (čl. 20(1) a(2)
  47. 47. METODICKÉ DOKUMENTY WP29 S čím správcům pomůže komunita ochránců?
  48. 48. Vodítka: vydaná a vydávaná • První a druhé vydání: • Pověřenec pro ochranu osobních údajů • Přenositelnost osobních údajů • Určení vedoucího dozorového úřadu pro správce nebo zpracovatele • První vydání: • Posouzení vlivu na ochranu osobních údajů a zjišťování, zda zpracování „bude mít za následek vysoké riziko“pro účely ON
  49. 49. Vodítka: připravovaná • vydávání osvědčení (certifikace) • souhlas subjektu údajů • profilování • transparentnost • oznamování porušení (rev. stanoviska 03/2014) • předávání osobních údajů • Interní EDPB: správní pokuty, mezinárodní spolupráce, postup v naléhavých případech
  50. 50. www.uoou.cz https://www.uoou.cz/obecne- narizeni-eu/ds-3938/p1=3938

×