46
Ochrana osobních údajů a bezpečnost dat – novinky v GDPR
Ochrana osobních údajů a bezpečnost dat – novinky v GDPR
ÚVOD K OCHRANĚ ÚDAJŮ
PRÁVNÍ
Právní úprava dat
PRÁVO EU GDPR x NIS Vertikální regulace
ČESKÉ PRÁVO
x
Zákon o kybernetické bezpečnosti
Novela zákona o
kybernetické bezpečnosti
Vertikální regulace
Finanční instituce ✓ ✓ ✓ ✓
Telekomunikační operátoři ✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓
Poskytovatelé cloudu ✓ X ✓ X El. tržiště ✓ X ✓ X Poskytovatelé služeb ✓ X X X Výrobní společnosti ✓ X X X Maloobchodní řetězce ✓ X X X
ÚVOD K OCHRANĚ ÚDAJŮ
Právní úprava dat Zákon o ochraně osobních údajů (101/2000 Sb.) = ZOOÚ Směrnice o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES)
Zákon o kybernetické bezpečnosti (181/ 2014 Sb.) Zákon o některých aspektech informační společnosti (480/2004 Sb.) Zákon o elektronických komunikacích (127/2005 Sb.)
Nařízení o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (2016/679/EU) = GDPR ▪ Účinné od 25. 5. 2018 pro celou EU
Mezinárodní úprava ▪ Úmluva o ochraně osob se zřetelem na automatizované zpracování
osobních údajů (Rada Evropy, ETS 108) ▪ Dohoda mezi EU a USA – Privacy Shield (namísto původní dohody o Safe
Harbor) ▪ Rozhodnutí Evropské Komise o předávání údajů
ÚVOD K OCHRANĚ ÚDAJŮ
GDPR – obecný přehled
Nařízení EU – přímo aplikovatelné
Vstoupí v účinnost 25. května 2018
Kodexy jednání a doporučení teprve budou vydány
ÚVOD K OCHRANĚ ÚDAJŮ
Rozšířený dopad GDPR
▪ Dopad na podnik ve významu čl. 101 a čl. 102 SFEU – tj. může dopadat např. na celý koncern (podnikatelská seskupení – interpretace dle soutěžního práva, sankce založeny na obratu skupiny)
▪ Místní příslušnost pro aplikaci GDPR
➢ Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD)
➢ Jakákoliv skutečná a provozovaná aktivita – alespoň v jednom čl. státě
ZÁKLADNÍ POJMY
Osobní údaje
Identifikační číslo, lokační údaje, síťový identifikátor
Fyzická, fyziologická, genetická, psychická, ekonomická, kulturní
nebo společenská identita
Informace o
identifikované nebo identifikovatelné fyzické
osobě
Přímá či nepřímá
identifikace odkazující na určitý identifikátor
ZÁKLADNÍ POJMY
Citlivé údaje
Rasový, národnostní či
etnický původ
Genetické a biometrické údaje pro účely jedinečné identifikace fyzické osoby
Ke zpracování
je potřeba výslovný
souhlas nebo jiný nezbytný
zákonem určený účel
Politické názory, náboženské vyznání,
filosofické přesvědčení, členství v odborech
Údaje o zdravotním stavu
nebo údaje o sexuálním životě či sexuální
orientaci fyzické osoby
ZÁKLADNÍ POJMY
Co je tedy regulováno jako osobní údaje?
údaje identifikující fyzickou osobu
Zřejmé: jméno, číslo dokladu
totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP
adresa, atd.
Ale také:
jakékoli informace o nákupech, užívaných službách, vlastněných zařízeních, (meta)data týkající se předchozího
chování při užívání služby, fotografie
ZÁKLADNÍ POJMY
Zpracování osobních údajů
Shromažďování,
ukládání, zaznamenání, uspořádání, použití
Zpřístupnění, seřazení či zkombinování, omezení,
výmaz nebo zničení
Jakákoliv operace nebo
soubor operací s osobními údaji nebo
soubory osobních údajů
Prováděny pomocí či bez pomoci automatizovaných
postupů
ZÁKLADNÍ POJMY
Subjekty
Subjekt údajů
Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba)
Správce
Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování Zpracováním může pověřit třetí osobu
Zpracovatel
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
ZÁKLADNÍ PRINCIPY
Hlavní zásady ochrany osobních údajů
Zpracovávány zákonným, transparentním a korektním způsobem
Shromažďování pro určité, výslovně vyjádřené a legitimní účely
Přiměřené, relevantní a omezené na nezbytný rozsah pro daný účel (minimalizace)
Přesné a v případě potřeby aktualizované
Uchovávání ve formě umožňující identifikaci subjektů údajů pouze po dobu nezbytnou pro účely zpracování
Zpracování pouze takovým způsobem, který zajistí náležité zabezpečení
Ochrana pomocí vhodných technických nebo organizačních opatření – před neoprávněným či protiprávním zpracováním, před náhodnou ztrátou, zničením nebo poškozením
Správce odpovídá za dodržení zásad a musí být schopen soulad doložit (accountability)
Záměrná a standardní ochrana osobních údajů (privacy by design and by default)
ZÁKLADNÍ PRINCIPY
Novinky v GDPR
Povinnost oznámit neoprávněný
přístup k osobním údajům
Širší teritoriální a
věcný dopad
Vyšší pokuty (až 4% celosvětového
obratu celého podniku)
Pověřenec pro
ochranu osobních údajů
Privacy by design
and by default
Vedoucí dozorový
úřad jako ‘one- stop-shop’
Zrušení systému
registrací u ÚOOÚ
Povinnost správce provést posouzení vlivu na ochranu osobních údajů
ZÁKLADNÍ PRINCIPY
Novinky v GDPR
Posílení práv
subjektů údajů
Jednoznačnost souhlasu pro
všechna zpracování (opt in)
Širší informační
povinnost
Pseudonymizace
dat
Nové náležitosti zpracovatelské smlouvy (vč.
řetězení)
Kodexy a certifikáty
Evropský sbor pro ochranu osobních
údajů
Odpovědnost
zpracovatele za způsobenou újmu
PRÁVNÍ TITULY
Souhlas a jeho náležitosti
Pro konkrétní účel, nikoliv paušální Informovaný pro „jakékoli“ zpracování
Odlišný od jiných
záležitostí
Jednoznačný/vý slovný
(vždy opt-in)
Jasný, svobodný
Udělený na určitou dobu
Již udělené souhlasy musí být harmonizovány
PRÁVNÍ TITULY
Souhlas nezletilých
< 13 Pouze se souhlasem rodiče
13 – 15 Pouze se souhlasem rodiče,
ale může podléhat vnitrostátní úpravě
16+ Bez souhlasu rodiče
PRÁVNÍ TITULY
Jak může být souhlas prokázán? Správci údajů musí být kdykoliv schopni dokázat, že:
Souhlas souvisí s
konkrétním údajem
Souhlas byl udělen příslušnou osobou
Osoba udělující souhlas byla informována o účelu
zpracování
Souhlas byl udělen na příslušnou dobu a
pokrývá dobu, v rámci níž jsou údaje zpracovávány
PRÁVNÍ TITULY
Povinnost vymazat údaje ▪ Údaje o příslušné osoby musí být nezvratně a kompletně vymazány
➢ při odvolání souhlasu ➢ pokud již nejsou potřebné pro účely zpracování ➢ pokud subjekt údajů vznese námitky (a nepřevažují oprávněné důvody pro
zpracování)
▪ Potvrzení osobě, že její údaje byly vymazány ▪ Zajištění pro celý ekosystém zpracovatele – objektivní meze
(přiměřené kroky, náklady, dostupná technologie) ▪ Výjimky:
➢ údaje nezbytné pro určení ➢ výkon nebo obhajobu právních nároků ➢ nezbytnost pro plnění právní povinnosti ➢ splnění úkolu provedeného ve veřejném zájmu ➢ výkon veřejné moci
PRÁVNÍ TITULY
Zákonné výjimky – GDPR
Zpracování bez souhlasu subjektu osobních údajů = zákonné výjimky
Úprava v čl. 6 GDPR
Rozsah úpravy v nařízení může být rozšířena právem členských států
(vč. zachování dosavadního rozsahu)
Plnění smlouvy nebo jednání o jejím uzavření
Splnění právní
povinnosti správce
Ochrana životně
důležitých zájmů subjektu
údajů
Ochrana práv chráněných
zájmů správce či jiné dotčené
osoby
Splnění úkolu prováděného ve veřejném zájmu
či při výkonu veřejné moci
PRÁVNÍ TITULY
Oprávněný zájem dle GDPR ▪ Nedopadá na případy:
➢ Subjektem údajů je dítě ➢ Zpracování údajů provádí orgán veřejné moci při plnění
svých úkolů ▪ Správce má povinnost uchovávat záznamy o
posouzení vlivu na ochranu osobních údajů ▪ Povinnost správce informovat subjekt údajů ▪ Přenosy do zahraničí na základě oprávněného zájmu ▪ Příklady oprávněného zájmu:
➢ Přímý marketing nebo ochrana před podvodem ➢ Přenos dat v rámci jedné skupiny (holdingu) – vč.
zaměstnaneckých údajů ➢ Zpracování pro účely zajištění síťové bezpečnosti nebo
zamezení neoprávněným přístupům ➢ Oznamování trestných činů
PSEUDONYMIZACE A ANONYMIZACE
PSEUDONYMIZACE AANONYMIZACE
Anonymizované vs pseudonymizované údaje
Anonymizované údaje (nevratně oddělené od
osoby)
Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný
Pseudonymizované údaje
(dočasně oddělené od osoby)
Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci
Výhody pseudonymizovaných údajů
H ÚDAJŮ
Mohou být zpracovány nad rámec původně definovaného účelu
Mírnější regulace: výjimky z notifikace, dalších povinností
Pseudonymizace splňuje požadavek „privacy by design“
Pseudonymizace jako bezpečnostní opatření
SMLOUVA O ZPRACOVÁNÍ
Smlouva o zpracování údajů dle GDPR
Úprava v čl. 28 GDPR v rámci povinností zpracovatele
GDPR výslovně upravuje předávání údajů dalšímu
zpracovateli (sub- zpracovateli) – na základě
písemného povolení správce
Zaměstnanci zpracovatele
vázáni mlčenlivostí
Audity a inspekce
Povinná písemná forma (i
Zpracovatel vázán pokyny správce
Smlouva o zpracování údajů dle GDPR
▪ Povinnosti zpracovatele ve smlouvě o zpracování: ➢ Přijme veškerá nezbytná bezpečnostní opatření ➢ Dodržuje podmínky pro zapojení dalšího zpracovatele ➢ Zohledňuje povahu zpracování ➢ Povinen zajisti správci součinnost ➢ Na základě pokynů správce vymaže nebo předá zpět správci veškeré údaje ➢ Poskytuje správci veškeré informace ➢ Umožní vykonávat audity, vč. inspekcí
▪ Zpracovatel povinen poskytovat dostatečné záruky technických a organizačních zabezpečení ➢ Lze doložit schváleným kodexem chování nebo mechanismem pro
vydávání osvědčení
ZABEZPEČENÍ ÚDAJŮ
BEZPEČNOST ÚDAJŮ
Technické zabezpečení dle GDPR
správce a zpracovatel
přijmou vhodná technická a organizační
opatření, aby zajistili úroveň zabezpečení odpovídající
danému riziku
Čl. 32 GDPR obsahuje demonstrativní výčet
možných opatření
Obnova dostupnosti osobních
údajů a přístupu
k nim včas v případě
Pravidelné testování, posuzování a hodnocení
Pseudony- mizace a šifrování
fyzických čitechnických
incidentů
Neustálá důvěrnost, integrita,
dostupnost a odolnost systémů a
služeb zpracování
BEZPEČNOST ÚDAJŮ
Technická a organiz. opatření dle GDPR
Kodexy chování • Kodexy schvaluje ÚOOÚ nebo EDPB • Pomáhají správcům a zpracovatelům prokazovat technické
zabezpečení a soulad s právními předpisy
• Ustanovení orgánů, které budou udílet podnikům akreditace • Certifikáty budou platné vždy po dobu 3 let
Privacy by design/by
default
• Záměrná a standardní ochrana osobních údajů • Organizace musí implementovat technické a organizační
prostředky • Zahrnuje rovněž zaměstnanecké směrnice
Privacy impact assesment
• Posouzení vlivu na ochranu osobních údajů • Slouží k identifikaci a minimalizaci rizik při zpracování údajů
Certifikace
NOVÉ POVINNOSTI SPRÁVCŮ
Nové povinnosti správců ▪ Vedení záznamů o činnostech zpracování
➢ Nahrazuje dřívější notifikační povinnost ➢ V omezenější podobě se vztahuje i na zpracovatele ➢ Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková
zpracování / nezpracovávající citlivé údaje
▪ Posouzení vlivu na ochranu osobních údajů ➢ Pro vysoce riziková zpracování (zejména – nové technologie) ➢ Demonstrativní výčet:
▪ systematické a rozsáhlé vyhodnocování osobních aspektů / profiling ▪ rozsáhlé zpracování citlivých údajů / trestních rozsudků ▪ rozsáhlé systematické monitorování veřejně přístupných prostorů
➢ Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti)
➢ Seznamy zpracovatelských operací
NOVÉ POVINNOSTI SPRÁVCŮ
Nové povinnosti správců
▪ Postup správce při provádění posouzení vlivu na ochranu: ➢ Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika ➢ Stanoví opatření, záruky a mechanismy pro eliminaci rizika ➢ Zohlední dodržování schválených kodexů chování ➢ Ve vhodných případech – stanovisko subjektu údajů ➢ Předchozí konzultace s dozor. Úřadem – pokud hrozí vysoké riziko ➢ ? Výstupu a závaznosti konzultace; doba 8 + 6 týdnů ➢ Při zpracování necitlivých údajů ve veřejném zájmu postačí provést
jednorázově před účinností GDPR ▪ Další nové povinnosti:
➢ Institut pověřence pro ochranu osobních údajů ➢ Ohlašování případů porušení zabezpečení osobních údajů
DATABREACHES
Institut pověřence
▪ Dle subjektu správce/zpracovatele: ➢ Orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
▪ Dle typu zpracování ➢ Rozsáhlé, pravidelné a systematické monitorování ➢ Rozsáhlé zpracování citlivých údajů a trestních rozsudků
▪ Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný
▪ Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře)
▪ Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana
▪ Odbornost, jmenování, přezkušování, evidence?
Povinný pro správce i zpracovatele v případech:
DATABREACHES
Hlášení dle stávající úpravy ▪ Obecná povinnost přijmout opatření proti neoprávněnému a
nahodilému přístupu k osobním údajům ▪ Notifikace data breaches povinná jen pro poskytovatele veřejně
dostupných služeb elektronických komunikací ▪ Oznámení narušení bezpečnosti osobních údajů ÚOOÚ
➢ 24 hodin ➢ Lhůta může být prodloužena ➢ Formulář
▪ Informování subjektu údajů, jehož osobní údaje byly narušením bezpečnosti zasaženy, pokud bezpečnost narušena zvlášť závažným způsobem a: ➢ Citlivé údaje / krádež identity / škoda > 500 000/ fyzická či morální újma
▪ Provedení opatření k nápravě ▪ Vedení přehledu data breaches včetně posouzení dopadu a
nápravných opatření
DATABREACHES
Hlášení dle GDPR ▪ Bude dopadat na všechny správce ▪ Povinnost zpracovatelů ohlašovat správci ▪ Oznámení porušení zabezpečení osobních údajů ÚOOÚ
➢ Bez zbytečného odkladu, pokud možno do 72 hodin ➢ Důvody případného zpoždění ➢ Předepsaný min. obsah ➢ Výjimka: je-li nepravděpodobné, že by porušení mělo za
následek riziko pro práva a svobody fyzických osob. ▪ Povinnost informovat subjekt údajů, pokud je
pravděpodobné, že porušení zabezpečení = vysoké riziko pro jeho práva a svobody ➢ Bezodkladně ➢ Výjimky:
▪ údaje učiněny nesrozumitelnými (např. šifrováním) ▪ následná opatření eliminující riziko ▪ nepřiměřené úsilí à veřejné oznámení
DATABREACHES
Hlášení dle zákona o kybernetické bezpečnosti
▪ Omezená relevance pro soukromý sektor – pouze povinné subjekty
▪ Povinnost monitorovat bezpečnost a detekovat kybernetické incidenty
▪ Povinnost hlásit bezpečnostní incidenty ➢ Národnímu CERTu /CSIRT (orgán nebo osoba zajišťující významnou
síť) ➢ Vládnímu CERTu (ostatní povinné osoby)
Právní předpis Porušená povinnost Výše sankce ZEK Oznámení data breaches
ÚOOÚ/subjektu údajů 20 mil. Kč (ČTÚ)
Zákon o ochraně osobních údajů
Přijetí a provedení opatření pro zajištění bezpečnosti zpracování osobních údajů; Vedení přehledu případů porušení ochrany osobních údajů podle ZEK
5 mil. Kč / 10 mil.
Nařízení o ochraně osobních údajů
Oznámení data breaches ÚOOÚ/subjektu údajů
Až 2 % ročního světového obratu
Kybernetický zákon Ohlášení kyberincidentu CERT
100 000 Kč
Sankce za nesplnění notifikační povinnosti
PRÁVA SUBJEKTŮ ÚDAJŮ
Práva subjektů údajů
Subjekty mají právo
především být informování o zpracování
svých osobních údajů
Další práva dovozována judikaturou – např. právo
být zapomenut
V GDPR dochází k posílení individuálních
práv s cílem zajistit větší transparentnost a lepší
přístup; důraz na srozumitelnost jazyka
PRÁVA SUBJEKTŮ ÚDAJŮ
Práva subjektů údajů v GDPR
Právo na zasílání informací o zpracování (1 měsíc, ochrana proti
kverulantům)
Komplexní a transparentní informace o zpracování
(výjimky: spec. zákon, služební
tajemství)
Právní titul zpracování a informace o
pří jů, jemcích úda době, předávání,
dobrovolnosti, profilování, právech…
Přístup, oprava a přenos údajů
Na žádost subjektu údajů vznikají správci
povinnosti
Potvrzení o zpracování údajů, poskytnutí jejich
kopie, …
PRÁVA SUBJEKTŮ ÚDAJŮ
Práva subjektů údajů v GDPR
Právo vznést námitky proti zpracování
Specifická práva ohledně využití
pro účely marketingu
Online služby - automatizovaná metoda k podání
námitek
Právo být zapomenut a právo na vymazání
Právo být zapomenut je v
legislativě novinkou v GDPR (dosud jen soudní
výklad)
Právo dožadovat se omezení
zpracování údajů
PRÁVA SUBJEKTŮ ÚDAJŮ
Omezení práv subjektů údajů vůči veřejným subjektům
Práva subjektů a údajů a povinnosti správců
mohou být zákonem omezeny – čl.23
(např. z důvodu veřejného zdraví či jiného veř. zájmu)
Právo na výmaz (být zapomenut)
(výjimka pro výkon veř. moci, veř. zájem, oblast
veřejného zdraví – čl. 17(3) b, c)
Práva na omezení
zpracování a vznést námitku – čl.18, 21
(výjimky pro zpracování ve veřejném zájmu)
Právo na přenositelnost (vyloučeno u zpracování
nezbytné pro plnění úkolu veřejného zájmu – čl. 20 (3))
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ
Předávání mimo státy EHP
Rozhodnutí Komise o standardních
smluvních doložkách
Regulovaný smluvní obsah s ohledem na
údaje, které mohoubýt předávány mimo státy
EHP
Rozhodnutí Komise (adequacy decision)
Kanada, Švýcarsko, Izrael, …
(https://goo.gl/Bqm4FS)
Úmluva 108 EU + Uruguay, Mar oko,…
Závazná podniková pravidla (BCR)
Jednotlivě udělený souhlas
Privacy Shield
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ
Předávání mimo státy EHP dle GDPR ▪ Rozhodnutí o přiměřenosti (adequacy decisions)
➢ Poměrně malá relevance; novinka – přezkum každé 4 roky ▪ Standardní smluvní doložky
➢ Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem
➢ Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 ➢ Řetězení zpracovatelů, povinnost auditu ➢ Typy standardních smluvních doložek:
▪ Správce (EU) à Správce (mimo EHP) – 2 sety doložek ▪ Správce (EU) à Zpracovatel (mimo EHP)
▪ Závazná podniková pravidla (BCR) ➢ Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU ➢ Náročný proces schvalování – konzultace a schvalování ÚOOÚ – GDPR
podrobně popisuje a zjednodušuje schvalování
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ
Předávání mimo státy EHP dle GDPR ▪ Nové samoregulační nástroje:
➢ Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření
➢ Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky – akreditace)
➢ Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -?
➢ Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany ➢ Důležitý důvod veřejného zájmu ➢ Nově: legitimní zájem správce – omezené využití (převažuje zájem
subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci Cloudu, nadnárodních personálních databází)
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ
Předávání údajů do USA
▪ Platné znění již zohledňuje kritické připomínky pracovní skupiny čl. 29 ze 13. dubna 2016 ➢ komplikovanost ochranných mechanismů, nedostatečná úprava uchovávání
osobních údajů, nedostatečné zohlednění GDPR… ▪ Stejně jako Safe Harbor:
➢ Self-certification ➢ Není třeba schválení ÚOOÚ
▪ Prvky nad rámec Safe Harbor: ➢ Závazky amer. ministerstva obchodu ve vztahu ke kontrolám, vedení seznamu,
každoročním obnovám certifikace atp. ➢ Každoroční společný audit (Komise, FTC, Department of Commerce) ➢ Výslovné uvedení odpovědnosti za předávání údajů dalším stranám (onward
transfer) ➢ Proces řešení stížností – arbitrážní řízení ➢ Institut nezávislého ombudsmana (stížnosti na amer. zpravodajské služby)
DOZOR ASANKCE
Dozorové orgány dle GDPR
Vnitrostátní dozorové úřady
Vedoucí dozorový úřad Evropský sbor pro ochranu osobních údajů (EDPB)
• Vnitrostátní dozorový úřad pro každý podnik v rámci jednotlivého členského státu
• Dozorový úřad hlavní afilace
• Jedno správní místo (výlučná kompetence) pro přeshraniční zpracování
• Vnitrostátní dozorové úřady zůstávají příslušné pro vnitrostátní zpracování údajů
• Spolupráce mezi vedoucím a dotčenými vnitrostátními dozorovými úřady
• Poradní orgán pro celou EU
• Doporučení, výkladová pravidla, kodexy jednání a best practices
• Rozhoduje kompetenční spory mezi národními dozorovými orgány
DOZOR ASANKCE
Správně právní odpovědnost
ZOOÚ + směrnice
Pokuty stanovuje každý členský dle své diskrece
Oprávněným orgánem ÚOOÚ
Max. výše ukládaných pokut 10.000.000 Kč
GDPR
Pokuty stanoveny fixně v nařízení pro celou EU
Každý členský stát pokuty
samostatně (zůstane ÚOOÚ)
Až 20.000.000 € (resp. 4 % z ročního obratu)
Veřejné subjekty mohou být vyňaty/upraveny pr. předpisem
DOZOR ASANKCE
Srovnání správních sankcí
GDPR Zákon o kybernetické bezpečnosti
NIS Novela zákona o kyber. bezpečnosti
Dozorový úřad
Vnitrostátní dozorový úřad (ÚOOÚ)
Vedoucí dozorový úřad
Národní bezpečnostní úřad (NBÚ)
Národní bezpečnostní úřad (NBÚ)
Maximální výše pokut
20.000.000 EUR nebo až 4 % celkového světového ročního obratu
100.000 Kč 5 mil. Kč
Účinnost 25. května 2018 1. ledna 2015 do května 2018
DOZOR ASANKCE
Trestněprávní odpovědnost
Neoprávněné nakládání s osobními údaji
(nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty)
Porušení tajemství dopravovaných zpráv
(sazba až 2 roky / 5 let u kvalif. skutkové podstaty)
Nebezpečné
pronásledování (sazba až 3 roky)
Porušení tajemství listin a jiných dokumentů
uchovávaných v soukromí (sazba až 8 let)
Trestní odpovědnost právnických osob Trestný čin spáchaný statutárním orgánem, zaměstnancem atd. Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO
Shrnutí specifik zpracování ve veřejném zájmu
▪ Omezení účelem a další zpracování ➢ Slučitelnost účelů může být stanovena právním předpisem
▪ Právní tituly pro zpracování ➢ Zákonné výjimky, nespoléhat se na souhlas, nemožnost užití oprávněného zájmu
▪ Omezení práv subjektů ➢ Omezení v GDPR pro veřejný zájem; další omezení právním předpisem
▪ Posouzení vlivu na ochranu osobních údajů ➢ Souhrnné posouzení při zavádění zákona
▪ Pověřenec pro ochranu osobních údajů ➢ Stačí jeden pro více subjektů; povinně jmenovaný
▪ Sankce ➢ Pr. předpisem mohou být organizace veřejné moci a veřejné subjekty vyňaty, sankce jinak
upraveny
▪ One-stop-shop ➢ Obvykle se neaplikuje (pokud zpracovávají z titulu splnění úkolu veř. zájmu; čl.55 (2))
Uplatnění některých povinností v omezené míře
