Co je GDPR
Evropské nařízení General Data Protection Regulation (GDPR) přináší nová pravidla ochrany osobních údajů. Od května 2018 mají občané větší kontrolu nad svými údaji a podniky prospěch z rovných podmínek. Zákon 101/2000Sb je minulostí. Musíte však plnit celou řadu nových povinností, např. vést záznamy o zpracování.
Koho se týká
GDPR přináší celou řadu nových povinností
Díky EU nařízení o ochraně osobnách dat vznikají nové adaptační zákony a ruší se ty, co souvisí se zákonem 101/2000Sb. Na mnohé organizace čeká řada nových povinností, jako např.:
- Hlášení incidentů na ÚOOÚ
- Audit Posouzení vlivu na ochranu osobních údajů"
- Jmenování Pověřenec pro ochranu osobních údajů
Jakýkoliv subjekt, jehož data ukládáte bude mít od 25. května obrovská práva, např. být zapomenut. Zcela likvidační jsou pokuty.
GDPR dokumentace
Jak GDPR vzory pomohou se zajištěním shody v oblasti zpracování osobních údajů?
GDPR Dokumentaci jste povinni předložit ÚOOÚ (Úřadu pro ochranu osobncíh údajů na vyžádání). Řádně zdokumentovat, že vaše organizace splňuje nová pravidla pro ochranu osobních údajů, je tak jeden z nejnáročnějších požadavků.
Jakmile u vás bude z jakéhokoliv důvodu zahájena kontrola z dozorového úřadu ÚOOÚ, jeden ze základních požadavků GDPR, se kterým budete konfrontováni, je řádné zdokumentování zpracovávaných osobních údajů, jejich účelů a záznamů o činnostech.
Jedna z nových, ale zároveň také klíčových povinností je např. vést záznamy o činnostech zpracování. Zdokumentovat pro jaké účely, jaké údaje a za jakých podmínek zpracováváte. Potřebujete mít správně nastavené vnitřní směrnice, seznámení zaměstnanců s pokyny v oblasti zpracování a řadu dalších dokumentů.
Pověřenec pro ochranu osobních údajů
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR) řadě organizací ukládá povinnost vytvořit pozici pověřence pro ochranu osobních údajů a obsadit ji kvalifikovanou osobou.
Pověřencem pro ochranu osobních údajů může být určen interní zaměstnanec, stejně jako externí odborník. Skupina podniků nebo veřejnoprávních subjektů může navíc jmenovat jednoho pověřence, který bude úkoly vyplývající z GDPR plnit pro všechny z nich.
Organizace však vždy musí zajistit, aby pověřenec pro ochranu osobních údajů nebyl ve střetu zájmů, tzn. aby sám o některé zpracování rozhodoval a nastavoval jeho konkrétní parametry.
Kdy jmenovat Pověřence?
Je vaše právní povinnost jmenovat pověřence pro ochranu osobních údajů? Nebo spadáte do kategorie těch, kterým je to "doporučeno" jako součást GDPR compliance programu? Subjektů, pro které vyplývá povinnost jmenovat pověřence pro ochranu osobních údajů přímo z právních předpisů, především GDPR, nebo pro které to je z různých způsobů vhodné a výhodné, bude celá řada. Jmenovitě:
Orgán veřejné správy nebo samosprávy a další veřejné instituce, které vykonávají veřejnoprávní agendu či vedou správní nebo obdobné řízení. Pověřence tak musí jmenovat:
- Ministerstva
- Kraje, statutární města, obce, školy
- Bezpečnostní složky (Policie České republiky, státní zastupitelství, celní správa)
- Ústřední správní úřad či nezávislý orgán veřejné moci (Státní úřad inspekce práce, Český statistický úřad, ČNB ...)
- Samosprávné komory (Česká lékařská komora, Komora auditorů, Exekutorská komora či Česká komora architektů ...)
Organizace, která provádí rozsáhlé a pravidelné zpracování osobních údajů včetně monitorování a profilování dotčených osob. Nevytvoření pozice pověřence pro ochranu osobních údajů, její nesprávné organizační zařazení nebo její obsazení osobou, která nemá dostatečné znalosti práva a praxe zpracování osobních údajů, může být posouzeno jako porušení GDPR pod hrozbou sankce až 10 milionů nebo 2 % z celosvětového obratu dané skupiny podniků, podle toho, která částka je vyšší.
Tato nejširší kategorie zahrnuje společnosti napříč odvětvími:
- Telco operátoři
- Personální agentury
- Dodavatel či distributor energií
- Provozovatelé věrnostních systémů
- Bytová družstva, správy bytových fondů
- Banky, Pojišťovny, nebankovní poskytovatel úvěrů
- Poskytovatel cloudových nástrojů pro rozsáhlé zpracování dat
- Provozovatelé kamerových, či zabezpečovacích systémů, které zachycují veřejné prostory
- eShopy, online reklamní nástroje využívající cookies, či jiné nástroje pro sledování uživatelů
Do této kategorie spadají všechny instituce, jejichž činnost spočívá ve zpracování citlivých osobních údajů (o zdravotním stavu, biometrických či genetických údajů, údajů o rasovém či etnickém původu, o sexuální orientaci ...) Pověřence tam musí mít
- Zdravotní pojišťovny
- Genetické laboratoře
- Střední a větší zdravotnické zařízení (poliklinika, nemocnice)
- Provozovatel systémů pro biometrickou identifikaci či autentizaci
Pověřence pro ochranu osobních údajů mohou jmenovat i další organizace, kterým tato povinnost přímo z právní úpravy nevyplývá. Vytvoření funkce pověřence a její obsazení kvalifikovaným zaměstnancem podle požadavků GDPR může být důležitou součástí compliance programu, a přispět tak k doložení souladu činnosti organizace s právními požadavky.
Dobrovolné jmenování pověřence pro ochranu osobních může být významným pozitivním signálem o tom, že daná organizace klade důraz na řádné zpracování osobních údajů a zajištění jeho souladu s právními požadavky jak pro klienty, tak pro zaměstnance či dodavatele dané organizace.
Dostatečně nastavený a v praxi vymáhaný compliance program může být i nástrojem pro zamezení trestní odpovědnosti dané právnické osoby.
V jakých případech je doporučeno jmenováním pověřence jako pozitivní signál k ÚOOÚ?
- Všude tam, kde existuje větší riziko útoku na dat
- Při zpracování osobních dat (klientů, zaměstnanců) ve větším rozsahu
- Ve vysoce regulovaném prostředí, např. banka se zaměřením na korporátní klientelu
- U obecně citlivých informací (obchodní tajemství, informace chráněné zvláštní mlčenlivostí)
- U skupiny menších podniků, na které jednotlivě povinnost jmenovat pověřence nedopadá, ale které v souhrnu provádějí komplexní a rozsáhlejší zpracování dat
Práva a povinnosti Pověřence
Každá organizace, která pověřence jmenuje, je odpovědna nejen za to, že vybrala dostatečně kvalifikovanou osobu, ale že pověřenci přidělí zdroje k tomu, aby svoji kvalifikaci i nadále udržoval a rozvíjel.
Pověřenec pro ochranu osobních údajů musí mít alespoň základní znalosti práva i praxe v oblasti zpracování osobních údajů. A měl by mít i základní schopnost orientace v informační bezpečnosti, nastavování a řízení procesů a provádění auditu. Zdá se to jako náročný úkol, ale na tuto pozivi vás připravíme v mezinárodně certifikovaném kurzu, který nevyžaduje žádné vstupní předpoklady.
Co vše spadá do agendy pověřence pro ochranu osobních údajů? Z titulu Pověřence pro ochranu osobních údajů na vás může organizace uložit řadu úkolů. Participace na vzdělávání zaměstnanců, revize interních směrnic a smluv (které se týkají zpracování osobních údajů). Vedení záznamů o zpracování a reportování případů, kdy došlo k porušení bezpečnosti dat na ÚOOÚ.
Další agenda:
- Zástupce pro komunikaci s ÚOOÚ
- Kontaktní bod pro všechny zainteresované ve zpracování osobních údajů
- Monitorování aktivit v souvislosti s dodržováním GDPR, spolupráce na auditech
- Poskytování interního "poradenství" zpracování osobních údajů pro vedení, ale i zaměstnance
Jmenováním pověřence pro ochranu osobních údajů však povinnosti organizace pro zajištění souladu s GDPR nekončí, ale spíše začínají. Organizace, ať už správce nebo zpracovatel osobních údajů, musí mj. zajistit, že pověřenec bude včas a v dostatečném rozsahu zapojen do všech procesů mající vztah ke zpracování osobních údajů a nastavování jeho parametrů, že bude mít dostatečné zdroje k plnění svých úkolů, že bude při jejich plnění nezávislý a že bude mít ve věcech ochrany dat přístup k vedení organizace.
GDPR Audit
Váš první krok je GDPR Audit. Online a zdarma.
Tento nástroj vás srozumitelnou formou provede auditem organizace tak, abyste si bez externích poradců udělali přehled o vyspělosti procesů, zaměřili se na klíčové problémy a správně stanovili prioritu při jejich řešení.
Jaké jsou klíčové přínosy?
- Je dostupný online a zdarma
- Díky popisům a nápovědám zvládnete audit svépomocí
- Získáte objektivní přehled o stavu připravenosti vaší organizace.
- Dokážete přesně specifikovat kde a v jakém rozsahu potřebujete pomoci.
GDPR Audit Tool důkladně filtruje zjištění souladu do profesionálně připravených odpovědí v takové úrovni, abyste identifikovali co nejpřesněji podstatné aspekty a nevyhovujících oblastí zpracování osobních údajů.
Co jsou osobní údaje
Osobní údaje jsou i zdánlivě banální data, např. jméno, adresa, telefonní číslo.
Mezi další kritická data patří GPS pozice, zdravotní údaje a mnoho dalších informací, které identifikují, nebo popisují konkrétního jedince.
GDPR EUR Lex
Aktuální verzi GDPR nařízení, právních předpisů a dalších dokumentů najdete na webové službě EUR-Lex.
Provozovatelem je Úřad pro publikace Evropské Unie. V předpisech je možno vyhledávat podle názvu, čísla dokumentu, celexového čísla apod.
Sankce až 20.000 000 €
V případě porušení/nedodržení povinností nebo odmítnutím spolupráce se státním kontrolním orgánem, se zpracovatel dat vystavuje sankci až do hodnoty 20 mil. EUR případně do 4% celosvětového ročního obratu společnosti. Sankci je samozřejmě možné uložit opakovaně.
Vše o GDPR ve 20 minutách
Spoluautor kurzu Pověřenec pro ochranu osobních údajů, GDPR Approved Trainer
Článek 38
Postavení pověřence pro ochranu osobních údajů
Vycházející z Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.
Článek 39
Úkoly pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d) spolupráce s dozorovým úřadem a
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.
Správce osobních údajů
Povinností Správce je dodržování pravidel tak, jak jsou stanovena v Obecném nařízení
Jde zejména o agendu zpracování osobních údajů v souladu s GDPR. V případě potřeby (kontroly, auditu) musí být Správce schopen doložit dodržování těchto procesů. Aby mohl Správce osobní údaje zpracovávat, musí nejprve
- dostatečně zabezpečit osobní údaje
- disponovat Právním důvodem zpracování osobních údajů
- plnit další povinnosti stanovené EU Nařízením GDPR (které vás naučíme v tomto školení)
Základní principy a povinnosti
Právo být zapomenut
Right to be forgotten
Snazší přístup k datům
Easier access to one's data
Právo na přenositelnost dat
Right to data portability
Ochrana dat jako základní požadavek na design a výchozí stav
Security by design and by default
Snazší vymahatelnost práva
Stronger enforcement of the rules
Informovanost v případě bezpečnostního incidentu
The right to know when one's data has been hacked.
