Evropské nařízení parlamentu o ochraně osobních údajů, které má vstoupit v platnost 25. května 2018, je komplexním souborem pravidel pro ochranu osobních údajů fyzických osob. Implementaci tohoto nařízení má na starosti Ministerstvo vnitra. Regulátorem v ČR je Úřad pro ochranu osobních údajů (ÚOOÚ).

 

Záměrem evropského nařízení bylo primárně zasáhnout internetové produkty, které automaticky zpracovávají osobní údaje např. facebook, e-shopy, různé online portály či společnosti, které vytěžují osobní údaje z veřejných rejstříků a poté je prodávají marketingovým firmám.

 

GDPR(General Data Protection Regulation)

 

Koho se GDPR týká:

  • soukromý sektor, nad 250 zaměstnanců, dle charakteru podnikání,
  • veřejný sektor (veškeré organizace, které provádějí výkon).

 

V soukromém sektoru může být podmínka na počet zaměstnanců zavádějící. Pokud hlavním předmětem podnikání malé firmy o 50 zaměstnancích bude zpracování osobních údajů nebo pokud tato firma podstupuje příliš velké riziko týkající se bezpečnosti informací, též na ni dopadá GDPR plnou vahou.

 

Výmaz a „právo být zapomenut“

  • Výmaz (osobní údaje jež nejsou potřebné pro účel, pro který byly shromažďovány a nebo zpracovávány; subjekt údajů odvolává souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další zákonný důvod pro zpracování; subjekt údajů vznese námitku proti zpracování z důvodů oprávněných zájmů správce; osobní údaje byly zpracovávány protiprávně; právní povinnost stanovena právem Unie nebo členským státem; pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí).
  •  
  • Právo být zapomenut (Rozšířená forma výmazu. Pokud jsou osobní údaje vymazány, tak musí správce informovat další správce).
  • Omezení zpracování (Subjekt dat popírá přesnost údajů; zpracování je protiprávní, subjekt odmítá výmaz a žádá místo něho omezení; subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad důvody subjektu.)

 

V momentě, kdy subjekt požádá o výmaz, je třeba veškeré osobní údaje uzavřít do karantény. Data budou dočasně nedostupná, nebo může dojít k přenesení dat do separačního systému, dočasnému zablokování webové stránky a data budou pouze uložena.

Pokud z nějakého důvodu nepůjde provést výmaz (zákonné důvody, spisový plán), musí být žadatel do 30 dnů informován.

 

Osobní údaje

  • Obecná definice: „Jakákoliv informace může být osobní údaj, váže-li se k danému kontextu.“ (Př.: číslo bot někoho = osobní údaj).

  • Veškeré údaje vztahující se k identifikované nebo identifikovatelné osobě.

  • Policie – údaje, na základě kterých může policie danou osobu dohledat (vše co odlišuje jedince od ostatních).

  • Osobní informace mohou být obrazové, slovní, ale i technické např. rentgenové snímky nebo IP adresy, cookies.

  • Nevztahuje se na právnické osoby a jejich veřejně dostupné informace

     

    Citlivé osobní údaje

  • Jsou to údaje speciální kategorie, které vypovídají např. o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, zdravotním stavu, sexuální orientaci.
  • Pro evidenci citlivých osobních údajů jsou stanoveny podmínky, za kterých může být osobní údaj evidován, např. výslovný souhlas subjektů údajů se zpracováním nebo nezbytnost zpracování těchto údajů v oblasti pracovního práva, sociálního zabezpečení a sociální ochrany.
  • Zvláštní důraz je kladen na biometrické, genetické údaje a osobní údaje dětí.

 

Zpracování osobních údajů

Obecně se jedná o jakékoliv operace, které jsou prováděny s osobními údaji: shromažďování, zaznamenávání, uspořádání, strukturování, nahlédnutí, uložení, použití, šíření, výmaz nebo zničení.

 

Zákonnost zpracování

Souhlas musí být dán svobodně, ke konkrétnímu účelu, na základě přesně popsaného důvodu, proč je evidován, kde, za jakým účelem a na jak dlouho (jednoznačně).

 

Státní úřady mohou zpracovávat osobní údaje pouze na základě veřejného zájmu nebo pro splnění právní povinnosti.

 

Bezpečnost zpracování osobních údajů

Správce a zpracovatel musí zabezpečit vhodná technická a organizační opatření.

Tyto technická a organizační opatření musí odpovídat míře rizika pro práci s osobními údaji.

Opatření musí být řešena s přihlédnutím ke stavu techniky, nákladům na provedení a povaze – kontextu nakládání s osobními údaji.

 

Porušení ochrany dat

Porušení musí být hlášeno hierarchicky nahoru. Pokud narazí zpracovatel na nějaký únik, tak tento případ nahlásí svému správci a ten následně nadřízenému organu.

Případné porušení ochrany dat musí být nahlášeno do 72 hodin.

Případné porušení ochrany osobních údajů by mělo být zohledněno v nějakém scénáři v rámci studie DPIA – Data Protection Impact Assessment (Posouzení vlivu na ochranu).

 

Profilování

Jedná se o získání údajů na základě různého monitorování. Zpravidla probíhá automatizovaně, bez vědomí subjektů údajů. Profilování nemusí vysloveně organizace provádět, ale může používat produkty, které provádí profilování a odesílají data mimo organizaci.

Příklad: Automatické zapnutí GPS lokace při instalování aplikace do mobilu, přístup webovým prohlížečem na internet s automatickým monitoringem pomocí „cookies“, atd.

 

DPO (Data Protection Officer)

Povinný ve veřejném sektoru, sleduje soulad organizace s GDPR, řídí činnosti v rámci interní ochrany dat, zajišťuje školení správců a zpracovatelů, vede dokumentaci, komunikuje se subjekty údajů a nadřízenými orgány, může být interní nebo externí.

Požadavky na DPO: nesmí být vedoucím pracovníkem v oblastech, kde se s GDPR pracuje (konflikt zájmů), nesmí být kumulovaná funkce. Musí mít znalosti v oblastech práva i na úrovni EU, znalosti v oboru IT i procesního řízení. Musí mít jazykové znalosti, aby byl schopen komunikovat v rámci státu, kde pracuje a s EU.

 

DPIA – Data Protection Impact Assessment

Nutná základní analýza GDPR. Popisuje stav zacházení s osobními údaji v organizaci (popis operací, vyhodnocuje rizika, sleduje legislativu, plánuje opatření). Bez analýzy nelze komunikovat s ÚOOÚ.

 

Oblasti dopadu GDPR

  • Fyzické archivy
  • Informační systémy
  • Procesy a činnosti
  • Bezpečnost (GDPR, KYBEZ aj.)
  • Legislativa, Souhlasy

 

Co to pro Vás znamená?

  • Zavedení nové funkce. Pověřenec (DPO = Data Protection Officer).
  • Vyhodnocení aktuálního stavu.
  • Posouzení vlivu na ochranu osobních údajů (DPIA = Data Protection Impact Assessment).
  • Zavedení vhodných technických, organizačních a procesních opatření k prokázání souladu.

Copyright © 2014. All Rights Reserved.

SlideBar