Stručný průvodce problematikou GDPR . Seznamte se v odlehčené verzi s Nařízením Evropského parlamentu a Rady Evropské unie č. 2016/679 ze dne 27.4. 2016 (ve věstníku EU zveřejněno dne 4.5. 2016) . Účinnosti nabývá 25. května 2018. Pokud hledáte způsob jak se vypořádat s GDPR připravili jsme vzor a návod jak vytvořit GDPR směrnici . Aplikace na neziskovou organizaci.
Základní terminologie
GDPR – General Data Protection Regulation (Obecné nařízení o ochraně údajů)
Subjekt údajů – fyzická osoba, o které jsou údaje zpracovávány
Správce – určuje účel a prostředky zpracování
Zpracovatel – ten kdo zpracovává osobní údaje na základě pokynů správce
Zpracování – jakákoliv operace s osobními údaji (uložení, změna, zaznamenání, výmaz, ..)
Profilování – jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu
Pseudonymizace – zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě
Genetické osobní údaje – údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby
Biometrické osobní údaje – údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje
Pověřenec pro ochranu osobních údajů – Data Protection Officer (DPO), plní funkci koordinátora a kontaktní osoby pro správce, zpracovatele, subjekty údajů a úřady
Dotčené subjekty
Každá společnost či organizace, která zpracovává osobní údaje živých fyzických osob.
Zásady GDPRG
DPR není hrozba. Chápejme nařízení jako příležitost zajistit si data před únikem a následnými škodami.
1) Zákonnost, korektnost, transparentnost
2) Účelové omezení
3) Minimalizace sběru a zpracování údajů
4) Přesnost
5) Omezení při uložení
6) Integrita a důvěrnost
7) Princip odpovědnosti
Právní tituly zpracování
Každá operace s osobními údaji má být podchycena, v rámci směrnice o nakládání s osobními údaji, relevantním právním titulem. Titul si volí sám správce a za jeho oprávněnost a zákonnost nese důsledky.
• Souhlas – používat co nejméně
• Plnění smlouvy
• Plnění právní povinnosti
• Ochrana životně důležitých zájmů
• Plnění ve veřejném zájmu
• Oprávněný zájem správce
• Souhlas – jde v podstatě o zbytkový právní titul. Problém je v nadbytečnosti používání souhlasů. Co se stane po odebrání souhlasu? Jak bude souhlas zaznamenán, včetně informace o tom kdy a jak byl udělen?
* Souhlas u pracovních smluv
* Souhlas u dětí (aplikační právní norma počítá s věkem 13 let místo klasických 16 let)
Zvláštní kategorie osobních údajů
• rasový či etnický původ
• politické názory
• náboženské vyznání
• filozofické přesvědčení
• členství v odborech
• zdravotní stav
• sexuální život nebo orientace
• genetické údaje
• biometrické údaje
Do této kategorie spadají i rozsudky v trestních věcech a trestných činech.
Práva subjektů
1) Právo na informace
2) Právo na přístup k osobním údajům
3) Právo na opravu
4) Právo na výmaz
5) Oznamovací povinnost správce v případě hrubého selhání ohrožujícího subjekt
6) Právo na omezené zpracování
7) Právo vznést námitku
8) Právo na přenositelnost – pokud dochází ke zpracování údajů na základě smlouvy / souhlasu, a pokud se zpracování provádí automatizovaně, má subjekt právo získat údaje, které poskytl správci a které se ho týkají, ve strukturovaném, běžně používaném a strojově čitelném formátu, a má právo předat tyto údaje jinému správci. Nový správce ovšem nemusí tyto údaje přijmou.
Povinnost informovat
Správce by měl transparentně informovat o způsobu nakládání s osobními údaji.
• Totožnost a kontaktní údaje správce
• Jaké jsou účely zpracování
• Uvést příjemce nebo kategorie příjemců osobních údajů
• Informovat o právech subjektů
• V případě pověřence uvést kontakty na pověřence
• Správce má se zpracovatelem smluvní vztah
• Zpracovatel nesmí bez vědomí správce pověřit dalšího zpracovatele
Povinnost správce a právo na výmaz údajů
1) Dovršení účelu zpracování
2) Odvolání souhlasu
3) Protiprávní zpracování údajů
Výjimky z povinnosti výmazu
1) Právo na svobodu projevu a informací
2) Právní povinnost zpracovávat osobní údaje
3) Veřejný zájem (zdraví, archivace)
Povinnost hlášení incidentů
1) Narušení bezpečnosti – do 72 hodin od chvíle kdy to správce/zpracovatel zjistí
2) Koho informovat
• správce
• ÚOOÚ
• v případě závažného nebezpečí a ohrožení práva a svobody subjektu Subjekt
3) O čem informovat * povaha narušení + cca počet uniklých osobních údajů * kontakt na pověřence (DPO – Data Protection Officer) * pravděpodobné důsledky * popis opatření
4) Kdy není třeba informovat? Pokud není riziko ohrožení.
Pověřenec pro ochranu OÚ
• orgány veřejné moci a veřejné subjekty (školy)
• při rozsáhlém a systemickém zpracování OÚ (velké e-shopy, registry)
• při rozsáhlém zpracování zvláštních kategorií OÚ (trestní věci)
• organizace nad 250 zaměstnanců
• informace a poradenství, monitoring, kontakt s dozorovým úřadem, ..
Pověřenec nemůže dostávat žádné pokyny týkající se výkonu úkolů v oblasti OÚ.
Nemůže být propuštěn ani sankcionován správcem za v souvislosti s plněním svých úkolů.
Pověřenec stojí v podstatě na straně subjektů údajů. Může v organizaci vykonávat i další činnosti.
Projekt implementace
• Plán projektu
• Analýza aktivit a procesů
• Analýza stavu bezpečnosti (GAP analýza)
• Realizace implementace
• Ověření a kontrola
Implementace
• Odpovědná osoba – tým
• Outsorcing – vlastní zdroje
• Termíny
Analýza aktivit a procesů
– Osobní údaje a procesy práce s údaji
– Právní dokumenty
– Zabezpečení
Osobní údaje a práce s údaji
1) Koho se OÚ týkají
2) Kde se OÚ získávají
3) Jaké OÚ se získávají
4) Účel zpracování
5) Právní titul
6) Citlivost a rizikovost
7) Kde se OÚ uchovávají
8) Forma uchování
9) Délka uchování
10) Zabezpečení
11) Osoby s přístupem
12) Komu se OÚ předávají
13) Reflexe práv subjektů
Právní dokumenty
• Analýza právních dokumentů (pracovní smlouvy, souhlasy se zpracováním OÚ, smlouvy se zákazníky, smlouvy o zpracování, smlouvy s IT, interní předpisy, obchodní podmínky)
• Souhlasy se zpracováním (nadbytečnost, zaznamenávání (kdy, jak) a archivace souhlasů, řešení v případě odvolání souhlasu, souhlas u dětí)
GAP analýza – analýza stavu bezpečnosti
• rizikovost zpracování + zabezpečení
• soulad rozsahu zpracování
• soulad právních dokumentů
• soulad právních titulů
• soulad možností realizace práv + soulad procesů
• DPIA-Data Protection Impact Assessment- posouzení vlivu na ochranu osobních údajů
• DPO-Pověřenec
Realizace implementace
• Omezení rozsahu údajů
• Zabezpečení
• Procesy
• Popis právních titulů
• Tvorba a úprava právních dokumentů
• Jmenování pověřence
• Školení zaměstnanců
Nejčastější slabá místa
1) Zpracování na základě doložených pokynů správce
2) Doba trvání, povaha zpracování, typ OÚ
3) Mlčenlivost
4) Technicko-organizační bezpečnostní opatření
5) Dodržování podmínek zapojení dalšího zpracovatele
6) Součinnost se správcem
7) Neproškolené osoby vstupující do kontaktu s OÚ
Vymahatelnost a sankce
Národní autorita pro nařízení je ÚOOÚ
Evropskou autoritou je Pracovní skupina WP 29
Sankce musí být účinné, přiměřené a odrazující
Výše sankce až 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4% celkového ročního obratu celosvětově, za předchozí finanční rok, podle toho která hodnota je vyšší.
Martin Chudoba
TIXIK s.r.o.
tel.: 602 525 236
Zájemcům o problematiku GDPR a postavení e-mailů nabízíme související článek Je e-mailová adresa skutečně osobní údaj?