GDPR Obecn nazen o ochran osobnch daj Pedn

GDPR – Obecné nařízení o ochraně osobních údajů Přednáší Ing. Josef Niesner

GDPR • Obecné nařízení již platí, od 25. 5. 2018 povinnost zpracování osobních údajů uvést do souladu s Obecným nařízením • Co stojí za prostudování - Zákon o ochraně osobních údajů - GDPR - Občanský zákoník • Sledovat informace na www. uoou. cz

GDPR • • Zpracovatelská smlouva Smlouva společných správců Informace, souhlasy Záznamy o činnostech zpracování Školení zaměstnanců Mapování procesů ve firmě Posouzení vlivu na ochranu osobních údajů

Osobní údaj (OU) • Vztahuje se vždy ke konkrétní osobě, ne k právnické • Je to jakákoli informace, kterou lze identifikovat přímo či nepřímo konkrétní osobu (např. RČ, telefon, BÚ, e-mail, IČO u OSVČ, fotka, genetické / fyziologické / psychické / ekonomické/kulturní/společenské prvky identity) • Př. co není OU: - Jan Novák - žena z Prahy, advokátka, zájmy – sport - muž 31 let, VŠ, Brno, věřící

Zpracování OU • Cokoliv, co se dělá s informací o určité osobě • Právní důvody zpracování OU „bez souhlasu osoby“ - zákonnost ( plnění smlouvy, důchody, mzdy, odvody…) - oprávněné zájmy (např. platební rozkaz, výplata pachtovného, …) - životní zájmy (nemocniční zařízení) - veřejný zájem (např. policejní kontrola dokladů, pasová kontrola, …)

Zpracování OU bez souhlasu • Zpracování OU bez souhlasu bude vyžadovat informační povinnost: - co, kdo - účel - doba - dobrovolně / nutně - práva • Např. sběr CV pro nábor zam-ců – na webu info, jak bude s daty naloženo zpracování docházky – do pracovní sml. inf. povinnost

Zpracování se souhlasem • Ve všech ostatních případech bude vyžadován souhlas se zpracováním OU • Souhlas musí být: - dobrovolný, - přiměřený, - bezpodmínečný, - doložitelný, - odvolatelný • Souhlas nelze podmínit plněním služby

Správce • Správce -je subjekt, který primárně odpovídá za zpracování OU - rozhoduje, které OU se budou zpracovávat • Záznamy o činnostech zpracování - pro firmy nad 250 zam. - obsahují základní inf. o zpracování (totožnost správce, účel, popis organ. a technických opatření, …)

Zpracovatel • Zajišťuje zpracování OU dle pokynů správce • Správce a zpracovatel musí přijmout opatření na zabezpečení zpracovávaných OU př. správce = pojišťovna, pojišťovák, zpracovatel = dodavatel SW pojišťovny správce = ten kdo užívá SW zpracovatel = poskytovatel SW ? ? ?

Zpracovatelská smlouva • Vtah mezi správcem a zpracovatelem • Deklarace zpracovatele o zabezpečení zpracovávaných OU (zálohy, reakční doby, výmaz dat, pseudonymizace, …) • Pseudonymizace – nahrazení části OU jiným identifikátorem, který nelze spojit s konkrétní osobou

Sankce za porušení • malé porušení 10 mil EUR nebo 2% z obratu • hrubé porušení 20 mil EUR nebo 4% z obratu (výše sankce podle toho, co je větší)

GDPR v praxi pro správce • Jaké údaje - potřebuji je všechny? • Na základě čeho – zákon / souhlas • Kde je sbírám – informoval jsem, web/databáze/ šanon • Na jak dlouho – mám nastavený filtr • Kdo / co mi pomáhá – zpracovatelská smlouva

Uplatnění Obecného nařízení • nemocnice, školy, pojišťovny, banky, …. • bezpečnostní agentury, detektivní kanceláře • marketingové agentury, poskytovatelé e-shopů • nadnárodní společnosti • velké společnosti nad 250 zam • ostatní

Shrnutí a doporučení • Započít přípravy, seznámit se s ustanovením Obecného nařízení • Proškolit vybrané zaměstnance • Provést revizi zpracování OU v organizaci • Přizpůsobit zpracování OU s Obecným nařízením

Skalský dvůr 27. a 28. 11. 2017 Děkuji za pozornost