Ochrana osobních údajů a bezpečnost dat –
novinky v GDPR
Mgr. Jana Pattynová, LL.M.
1. února 2017
Proč je ochrana údajů tématem?
Data jsou důležitým aktivem
Riziko vysokých sankcí dle GDPR
Data jsou klíčová v digitální transformaci
ÚVOD K OCHRANĚ ÚDAJŮ
Data jako klíčové aktivum
DATA JAKO AKTIVUM
Právní titul: jak poznám, že data jsou „moje“.
Zabezpečení není jen otázka komerční
preference ale regulační požadavek,
Data jsou zdarma, ale vyžadují právní titul a zabezpečení
APLIKACE
PRÁVO EU GDPR x NIS Vertikální
regulace
ČESKÉ PRÁVO x
Zákon o
kybernetické
bezpečnosti
Novela zákona
o kybernetické
bezpečnosti
Vertikální
regulace
Finanční instituce ✓ ✓ ✓ ✓
Telekomunikační operátoři ✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓
Poskytovatelé cloudu ✓ X ✓ X
E-shopy ✓ X ✓ X
Poskytovatelé služeb ✓ X X X
Výrobní společnosti ✓ X X X
Maloobchodní řetězce ✓ X X X
Právní úprava dat
Dozorový orgán a sankce
APLIKACE
GDPR
Zákon o
kybernetické
bezpečnosti
NIS
Novela zákona o kyber.
bezpečnosti
Dozorový úřad Vnitrostátní dozorový
úřad (ÚOOÚ)
Vedoucí dozorový úřad
Národní
bezpečnostní úřad
(NBÚ)
Národní bezpečnostní úřad
(NBÚ)
Maximální výše
pokut
20.000.000 Eur nebo
až 4 % celkového
světového ročního
obratu
100.000 Kč
5 mil. Kč
Účinnost 25. května 2018 1. ledna 2015 do května 2018
GDPR
GDPR
GDPR – Obecný přehled
Nařízení EU – přímo aplikovatelné
Vstoupí v účinnost 25. května 2018
Kodexy jednání a doporučení teprve budou vydány
Co je regulováno jako osobní údaje?
GDPR
Zřejmé: jméno, číslo dokladu totožností,
kreditní karta, kontaktní údaje, informace o
zdraví, lokalizační údaje, IP adresa, atd.
Ale také: jakékoli informace o nákupech, užívaných službách či
vlastněných zařízeních, (meta) data týkající se
předchozího chování při užívání služby, fotografie
údaje identifikující fyzickou osobu
Novinky v GDPR
Posílení práv
subjektů údajů
Jednoznačný souhlas ke
zpracování údajů
„Privacy by design“ a „privacy by
default“
„State of the art“ Ochrana
mladistvých
Online identifikátory
Přenositelnost údajů
Odvolání souhlasu a právo být zapomenut
GDPR V KOSTCE
Novinky v GDPR
Záznamy o činnostech zpracování
(místo registrace)
Vlastní vyhodnocení
dopadů zpracování na ochranu údajů
Notifikace neoprávněného
přístupu k osobním údajům
Pověřenec pro ochranu osobních
údajů
Konzultace s dozorovým
orgánem a kodexy chování
Hlavní dozorový orgán jako jedno
správní místo
Nové požadavky na zpracovatelské
smlouvy (vč. subdodavatelů)
Specifická pravidla pro zpracovatele
GDPR V KOSTCE
Souhlas nezletilých
SOUHLAS JAKO PRÁVNÍ TITUL
< 13
Pouze se souhlasem rodiče
13 – 15 Pouze se souhlasem rodiče,
ale může podléhat vnitrostátní úpravě
16+
Bez souhlasu rodiče
Životní cyklus údajů
SOUHLAS JAKO PRÁVNÍ TITUL
Požádat Vytvořit Aktualizovat Odstranit
Bez souhlasu
nebo zákonného
titulu technická
nemožnost
postoupit k
dalšímu kroku
Spojit údaje s:
subjektem,
účelem, časovým
rámcem
Spojit údaje s:
účelem, časovým
rámcem
Odstranit údaje:
všude, splnění
evidence, právo být
zapomenut,
Právo být zapomenut
Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány
Potvrzení osobě, že její údaje byly vymazány
Musí být zajištěno pro celý ekosystém zpracovatelů
? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků
SOUHLAS JAKO PRÁVNÍ TITUL
• Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný
Anonymizované údaje
(nevratně oddělené od osoby)
• Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací
• Dodatečné informace jsou uchovávány odděleně
• Technická a organizační opatření zajišťují, že osoba nebude identifikována
• Pouze správce může určit identifikaci
Pseudonymizované údaje
(dočasně oddělené od osoby)
Anonymizované vs pseudonymizované
údaje
PSEUDONYMIZACE A ANONYMIZACE
Výhody pseudonymizovaných údajů
PSEUDONYMIZACE A ANONYMIZACE
Mohou být zpracovány nad rámec původně definovaného
účelu
Pseudonymizace splňuje požadavek ochrany soukromí již od
návrhu
Pseudonymizace jako bezpečnostní opatření
Mírnější regulace: výjimky ohledně notifikace a dalších
povinností
Hlášení dle GDPR
OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ
Porušení
zabezpečení
osobních
údajů
Zpracovatel
oznámí
správci
Oznámení
ÚOOÚ
Oznámení
subjektu
údajů
Do 72 hodin, předepsaný minimální
obsah
Výjimka:
je nepravděpodobné, že
způsobí ohrožení práv a
svobod osob
Pokud je riziko ohrožení práv a svobod
Bezodkladně
Výjimky:
šifrování údajů,
jiná opatření,
nepřiměřené úsilí – veřejné
oznámení
Právo provádět audit
PRÁVO PROVÁDĚT AUDIT
Úřad pro ochranu
osobních údajů
Zákazník
(správce)
Dodavatel
(zpracovatel) př. poskytovatel
cloudu
Subdodavatel
(subzpracovatel)
Subdodavatel
(subzpracovatel)
Příležitosti
Transformační potenciál
Dodavatelé IT řešení
Poradenské a auditorské služby
Výzvy
Zajištění souladu s GDPR
Úprava obchodního modelu
Změna statusu quo
Příležitosti a výzvy GDPR
PŘÍNOS GDPR
• Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně
Datové toky
• Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik
• Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora
Analýza největších rizik a základní
krizový plán
Co by měly mít společnosti pod
kontrolou?
Příprava interní a externí dokumentace
implementující požadavky GDPR
Co pro Vás můžeme udělat?
Analýza datových toků a procesů
Analýza dopadů GDPR
Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů
zabývající se právem technologií, médií a komunikací.
Hlavní oblasti působení:
• IT smlouvy, včetně smluv na cloud produkty
• Ochrana soukromí a osobních údajů
• IoT
• M&A transakce v technologickém sektoru
• Podpora pro start-upy při vstupu na zahraniční trhy
• Outsourcing
• Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD)
• Právo duševního vlastnictví
• Média
• Telekomunikační právo
Jana Pattynová
Na Příkopě 9 110 00 Praha 1
+420 777 738 040 [email protected]