Společnosti si často neuvědomují, s jakým množstvím dat nakládají, kde je uchovávají a jaké související povinnosti jejich zpracování představuje. GDPR však vychází ze základního předpokladu, že data jsou všude kolem nás a že se s jejich zpracováním setkáváme na každém kroku. Proto každý, kdo s daty nakládá – ať již jednotlivec, korporace, správce či zpracovatel – musí zmapovat, jakým způsobem a jaká data zpracovává, řádně je zabezpečit, musí zohledňovat práva každého jednotlivce a řádně jej o jeho právech informovat. Pokud své povinnosti poruší, může čelit pokutám přesahujícím 20 milionů EUR.

1. Ochrana osobních údajů a bezpečnost dat –
novinky v GDPR
Mgr. Jana Pattynová, LL.M.
1. února 2017

2. Proč je ochrana údajů tématem?
Data jsou důležitým aktivem
Riziko vysokých sankcí dle GDPR
Data jsou klíčová v digitální transformaci
ÚVOD K OCHRANĚ ÚDAJŮ

3. Data jako klíčové aktivum
DATA JAKO AKTIVUM
Právní titul: jak
poznám, že data jsou
„moje“.
Zabezpečení není jen
otázka komerční
preference ale
regulační požadavek,
Data jsou zdarma, ale vyžadují právní titul a
zabezpečení

4. APLIKACE
PRÁVO EU GDPR x NIS
Vertikální
regulace
ČESKÉ PRÁVO x
Zákon o
kybernetické
bezpečnosti
Novela
zákona o
kybernetické
bezpečnosti
Vertikální
regulace
Finanční instituce ✓ ✓ ✓ ✓
Telekomunikační operátoři ✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓
Poskytovatelé cloudu ✓ X ✓ X
E-shopy ✓ X ✓ X
Poskytovatelé služeb ✓ X X X
Výrobní společnosti ✓ X X X
Maloobchodní řetězce ✓ X X X
Právní úprava dat

5. Dozorový orgán a sankce
APLIKACE
GDPR
Zákon o
kybernetické
bezpečnosti
NIS
Novela zákona o kyber.
bezpečnosti
Dozorový úřad Vnitrostátní dozorový
úřad (ÚOOÚ)
Vedoucí dozorový
úřad
Národní
bezpečnostní úřad
(NBÚ)
Národní bezpečnostní úřad
(NBÚ)
Maximální výše
pokut
20.000.000 Eur nebo
až 4 % celkového
světového ročního
obratu
100.000 Kč 5 mil. Kč
Účinnost 25. května 2018 1. ledna 2015 do května 2018

6. GDPR

7. GDPR
GDPR – Obecný přehled
Nařízení EU – přímo aplikovatelné
Vstoupí v účinnost 25. května 2018
Kodexy jednání a doporučení teprve budou
vydány

8. Co je regulováno jako osobní údaje?
GDPR
Zřejmé: jméno, číslo
dokladu totožností,
kreditní karta,
kontaktní údaje,
informace o zdraví,
lokalizační údaje, IP
adresa, atd.
Ale také: jakékoli
informace o nákupech,
užívaných službách či
vlastněných
zařízeních, (meta) data
týkající se předchozího
chování při užívání
služby, fotografie
údaje identifikující fyzickou osobu

9. Novinky v GDPR
Posílení práv
subjektů údajů
Jednoznačný
souhlas ke
zpracování údajů
„Privacy by
design“ a „privacy
by default“
„State of the art“
Ochrana
mladistvých
Online
identifikátory
Přenositelnost
údajů
Odvolání
souhlasu a právo
být zapomenut
GDPR V KOSTCE

10. Novinky v GDPR
Záznamy o
činnostech
zpracování
(místo registrace)
Vlastní
vyhodnocení
dopadů zpracování
na ochranu údajů
Notifikace
neoprávněného
přístupu k osobním
údajům
Pověřenec pro
ochranu osobních
údajů
Konzultace s
dozorovým
orgánem a kodexy
chování
Hlavní dozorový
orgán jako jedno
správní místo
Nové požadavky
na zpracovatelské
smlouvy (vč.
subdodavatelů)
Specifická pravidla
pro zpracovatele
GDPR V KOSTCE

11. Souhlas nezletilých
SOUHLAS JAKO PRÁVNÍ TITUL
< 13
Pouze se souhlasem
rodiče
13 – 15
Pouze se souhlasem
rodiče, ale může podléhat
vnitrostátní úpravě
16+
Bez souhlasu rodiče

12. Životní cyklus údajů
SOUHLAS JAKO PRÁVNÍ TITUL
Požádat Vytvořit Aktualizovat Odstranit
Bez souhlasu
nebo zákonného
titulu technická
nemožnost
postoupit k
dalšímu kroku
Spojit údaje s:
subjektem,
účelem, časovým
rámcem
Spojit údaje s:
účelem, časovým
rámcem
Odstranit údaje:
všude, splnění
evidence, právo být
zapomenut,

13. Právo být zapomenut
 Všechny údaje týkající se
příslušné osoby musí být
nezvratně a kompletně
vymazány
 Potvrzení osobě, že její
údaje byly vymazány
 Musí být zajištěno pro celý
ekosystém zpracovatelů
? Některé údaje by mohly být
uchovány k prokázání
souladu, vymáhání nároků
SOUHLAS JAKO PRÁVNÍ TITUL

14. • Informace, které nesouvisejí s identifikovanou
nebo identifikovatelnou osobou, nebo osobní
údaje poskytnuté anonymně takovým
způsobem, že subjekt údajů již není
identifikovatelný
Anonymizované údaje
(nevratně oddělené od
osoby)
• Nemohou být přičitatelné konkrétní osobě bez
použití dodatečných informací
• Dodatečné informace jsou uchovávány
odděleně
• Technická a organizační opatření zajišťují, že
osoba nebude identifikována
• Pouze správce může určit identifikaci
Pseudonymizované údaje
(dočasně oddělené od
osoby)
Anonymizované vs pseudonymizované
údaje
PSEUDONYMIZACE A ANONYMIZACE

15. Výhody pseudonymizovaných údajů
PSEUDONYMIZACE A ANONYMIZACE
Mohou být zpracovány nad rámec původně definovaného
účelu
Pseudonymizace splňuje požadavek ochrany soukromí již
od návrhu
Pseudonymizace jako bezpečnostní opatření
Mírnější regulace: výjimky ohledně notifikace a dalších
povinností

16. Hlášení dle GDPR
OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ
Porušení
zabezpečení
osobních
údajů
Zpracovatel
oznámí
správci
Oznámení
ÚOOÚ
Oznámení
subjektu
údajů
 Do 72 hodin, předepsaný minimální
obsah
 Výjimka:
 je nepravděpodobné, že
způsobí ohrožení práv a
svobod osob
 Pokud je riziko ohrožení práv a svobod
 Bezodkladně
 Výjimky:
 šifrování údajů,
 jiná opatření,
 nepřiměřené úsilí – veřejné
oznámení

17. Právo provádět audit
PRÁVO PROVÁDĚT AUDIT
Úřad pro ochranu
osobních údajů
Zákazník
(správce)
Dodavatel
(zpracovatel)
př. poskytovatel
cloudu
Subdodavatel
(subzpracovatel)
Subdodavatel
(subzpracovatel)

18. Příležitosti
 Transformační potenciál
 Dodavatelé IT řešení
 Poradenské a auditorské
služby
Výzvy
 Zajištění souladu s GDPR
 Úprava obchodního
modelu
 Změna statusu quo
Příležitosti a výzvy GDPR
PŘÍNOS GDPR

19. • Základní mapa, odkud data přicházejí, kam
jsou posílána a jak jsou tyto datové toky
podloženy právně
Datové toky
• Pochopení oblastí, ve kterých společnost
není schopna nebo ochotna zajistit soulad s
požadavky GDPR a komunikace souvisejících
rizik
• Představu základních kroků v případě
krizového scénáře, zejména úniku dat,
případně auditu regulátora
Analýza největších
rizik a základní
krizový plán
Co by měly mít společnosti pod
kontrolou?

20. Příprava interní a externí dokumentace
implementující požadavky GDPR
Co pro Vás můžeme udělat?
Analýza datových toků a procesů
Analýza dopadů GDPR

21. Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů
zabývající se právem technologií, médií a komunikací.
Hlavní oblasti působení:
• IT smlouvy, včetně smluv na cloud produkty
• Ochrana soukromí a osobních údajů
• IoT
• M&A transakce v technologickém sektoru
• Podpora pro start-upy při vstupu na zahraniční trhy
• Outsourcing
• Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD)
• Právo duševního vlastnictví
• Média
• Telekomunikační právo
Jana Pattynová
Na Příkopě 9
110 00 Praha 1
+420 777 738 040
jana.pattynova@pierstone.com