DopadyGDPRnainformačnísystémyaevidencielektronickýchdokumentů

Ing.RobertPifflPoradcenáměstkaministravnitraproICT

Poznámkakprezentaci• Prezentacebylazpracovánavýhradněpropotřebyosobníprezentaceautorapřisoučasném

slovnímvýkladuproworkshopsArchivydne18.1.2018

• Bezpředchozíhosvoleníautoranenímožnéprezentaci,anijejíčástvyužítprojiný,nežvýšeuvedenýúčel.Prezentacecitujenikolivdoslovně,alevodpovídajícímkontextu

• Prozjednodušeníproblematikyjsouvybíránypříklady,splňujícíurčitépodmínky,nelzetedyjakkolivvyvozovat,žebynížeuvedenéplatilovždyavevšechkombinacíchrůznýchživotníchsituacíelektronickýchdokumentů

• Prezentaceobsahujevětšímnožství“slides“jakopodkladovýmateriálpronáslednéstudiumúčastníkůmakceuvedenévprvnímodstavci.Nevšechny„slides“budouprotokomentovány.

• Prezentacezohledňujestavk15.1.2018

ÚVOD

Nařízeníazákony• NováEvropskálegislativa

– existujícínařízeníeIDASaGDPR– připravovanénařízení„jednotnádigitálníbránaproposkytování

informací,postupů,asistenčníchslužebaslužebprořešeníproblémů“• Novánárodnílegislativa

– právnípředpisysouvisejícísnovýmieOPsčipem– právnípředpisysouvisejícísnařízenímeIDASaGDPR

• Zákon„oslužbáchvytvářejícíchdůvěru“+ zákon„oelektronickéidentifikaci“• Zákonoochraněosobníchúdajů– nový• Souvisejícíprávnípředpisy– četnénovelizace

Legislativa=podmínkyprocíle• NovánařízeníEUapředpisynanárodníúrovni

– vytvářízákladníajednotnépodmínkyprodosaženíefektivnějšíhofungovánízejménae-governmentu vEU

– akcelerátorapříležitostnarozvojdigitálníchslužebproobčany– efektivnívyužitínovýchnástrojůmusívéstkesníženínákladůnaISVSa

nenaopak– důslednostkontrolyefektivityIT– GDPRsohledemnazměnupřístupukochraněosobníchúdajůzajistí

bezpečnějšíITsystémy=zvýšenídůvěryobčanůkjejichvyužívání– nutnozapracovatnavzděláváníazvýšenípočítačovégramotnosti

všechvrstevobyvatelstva

PRÁVNÍPŘEDPISYPřehledvybranýchprávníchpředpisů,anebvymezujemehřiště

AktuálnísituacevČR&eIDAS• Nařízeníč.910/2014„o elektronickéidentifikacia službáchvytvářejících

důvěruproelektronickétransakce navnitřnímtrhua ozrušenísměrnice1999/93/ES“(dálejen„eIDAS“)

• KEvropskémunařízenípřipraviloMinisterstvovnitradvazákladnízastřešujícízákony:– Zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakce– Návrhzákonaoelektronickéidentifikaci

• Výslednýstavjenařízeníadvavnitrostátní„zastřešující“právnípředpisyprooblastnařízeníeIDAS

JednotnádigitálníbránaEU• NávrhNAŘÍZENÍEVROPSKÉHOPARLAMENTUARADY,kterým

sezřizujejednotnádigitálníbránaproposkytováníinformací,postupu,asistenčníchslužebaslužebprořešeníproblémůz2.5.2017– pravidlaprozřízeníaprovozjednotnédigitálníbrány– zásada„pouzejednou“– pravidlaprohlášenípřekážeknavnitřnímtrhu– předpoklad–2rokyadaptačnílhůta– on-lineřešenízákladníchživotníchsituací

JednotnádigitálníbránaEU• Bránaposkytujepřístupkinformacímo:

– právech,povinnostech,pravidlechapostupech– asistenčníchslužbáchaslužbáchprořešeníproblémůaodkazůmnatyto

služby

• SpolečnéuživatelskérozhranímusíbýtdostupnévevšechúředníchjazycíchEU

• Požadavkynaon-linepostupy• Úložištěodkazů• Zpětnávazba– tlaknarozvoje-governmentu včlenskýchstátech

AktuálnísituacevČR&GDPR• NařízeníEvropskéhoparlamentuaRady(EU)2016/679zedne27.dubna

2016oochraněfyzickýchosobvsouvislostisezpracovánímosobníchúdajůaovolnémpohybutěchtoúdajůaozrušenísměrnice95/46/ES(obecnénařízeníoochraněosobníchúdajů)

• KEvropskémunařízenípřipraviloMinisterstvovnitranávrhnanovéhozákonaoochraněosobníchúdajů– probíhávnějšípřipomínkovéřízení

• Výslednýstavbudenařízeníanovýzákonmístoč.101/2000Sb.,nařízenímáúčinnostod25.5.2018

ÚOOÚ- web• NawebuÚOOÚjesekce„ObecnénařízeníEU(GDPR)

– cesta: Titulnístránka > Základníodkazy > ObecnénařízeníEU(GDPR)• DokumentypřeloženépracovnískupinyWP29

– vodítkakprávunapřenositelnostúdajů– vodítkakfunkcipověřenceproochranuosobníchúdajů– vodítkaprourčenívedoucíhodozorovéhoúřadu

• DokumentvangličtiněpracovnískupinyWP29– vodítkakposouzenívlivunaochranuosobníchúdajů

ÚOOÚ- web• Knařízeníužitečnédokumenty

– rejstříkkobecnémunařízenínaochranuosobníchúdajů– převodnítabulka:zákonnaochranuosobníchúdajůx obecnénařízení

naochranuosobníchúdajů• Obecnénařízeníoochraněosobníchúdajůvotázkáchaodpovědích• OdkaznawebEvropskékomise

– EuropeanCommission-JusticeandConsumers>Newsroom>Dataprotection

• StanoviskoWP29knávrhunařízeníePrivacy

Nařízeníanárodníprávo• Podlečlánku288SmlouvyofungováníEvropskéunie- nařízeníjsoupřímo

použitelnávzemíchEU.Soudnídvůrupřesňujevrozsudkuzedne14.prosince1971vevěciPoliti,žesejednáoúplnýpřímýúčinek

• Zásadapříméhoúčinkuumožňujejednotlivcůmbezprostředněsedovolávatevropskýchopatřenípřednárodnímneboevropskýmsoudem

• !!!Nařízenímajípřednostpředvnitrostátnímiprávnímipředpisy!!!

Zákonoslužbách• Zákonč.297/2016,oslužbáchvytvářejícíchdůvěruproelektronickétransakce• Zákonč.298/2016,kterýmseměníněkterézákonyvsouvislostispřijetím

zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakce,zákonč.106/1999Sb.,osvobodnémpřístupukinformacím,vezněnípozdějšíchpředpisů,azákonc.121/2000Sb.,oprávuautorském,oprávechoslužbáchvytvářejícíchdůvěruproelektronickétransakcesouvisejícíchsprávemautorskýmaozměněněkterýchzákonů(autorskýzákon),vezněnípozdějšíchpředpisů

• obapředpisyúčinnostod19.9.2016–konecpřechodnélhůtypropodepisováníapečetění„nekvalifikovanými“19.9.2018

Podepisovánídle297/2016Sb.

Pečetěnídle297/2016Sb.

Časovérazítkodle297/2016Sb.

Pozornadodržování!• Ačkolivjezákonč.297/2016Sb.jižrokplatnýaúčinnýod

19.9.2016taksestálenedodržujeuřadyorganizací!

• Řadaorganizacístáleneplnízákonemstanovenépovinnostizejména:– §5a§6ohledněpodepisováníelektronickýchdokumentů– §8a§9ohledněelektronickýchpečetí(přechodněznaček)– §11ohledněčasovýchrazítek

Zákonoelektronickéidentifikaci• Zákonč.250/2017Sb.oelektronickéidentifikaciz18.8.2017• Zákonč.251/2017Sb.,kterýmseměníněkterézákonyv

souvislostispřijetímzákonaoelektronickéidentifikaciz18.8.2017

• § 2 Prokázánítotožnostisvyužitímelektronickéidentifikace– Vyžaduje-liprávnípředpisnebovýkonpůsobnostiprokázání

totožnosti,lzeumožnitprokázánítotožnostisvyužitímelektronickéidentifikacepouzeprostřednictvímkvalifikovanéhosystémuelektronickéidentifikace (dálejen„kvalifikovanýsystém“).

ZměnazákonaoOP• Novelazákonač.328/1999Sb.oobčanskýchprůkazech

– Vyhlášenavesbírce195/2017dne10.7.2017– změnasouvisejícíchprávníchpředpisů– zavádíjednotnýeOPsčipemjakobezpečnýprostředekpodlenařízení

eIDAS– zavádísevnovele365/2000Sb.tzv.přístup se zaručenouidentitoua

možnostsubjektuúdajůzískatveškeréúdajezISVS

ZměnazákonaoISVS• Zákonč.104/2017Sb.,kterýmseměnízákonč.365/2000Sb.,

oinformačníchsystémechveřejnésprávyaozměněněkterýchdalšíchzákonů,vezněnípozdějšíchpředpisů,zákonč.181/2014Sb.,okybernetickébezpečnostiaozměněsouvisejícíchzákonů(zákonokybernetickébezpečnosti),aněkterédalšízákony– sbírkazákonůčástka39zedne5.4.2017– účinnostod1.7.2017– informačníkoncepceproorgányveřejnésprávy

ZměnazákonaoZR• Zákonč.192/2016,kterýmseměnízákonč.111/2009Sb.,o

základníchregistrech,vezněnípozdějšíchpředpisů,aněkterédalšízákony– sbírkazákonůčástka72zedne17.6.2016– účinnostod1.1.2017– dalšízměnybylyvsouvislostis„eOP“adalšísezákonemo„eID“– cílemjezajištěníNárodníhoboduproidentifikaci,vydávánístátních

identifikačníchapodpisovýchcertifikátůpro„eOP“

ZákonoarchivnictvíaSSL• Zákonč.56/2014,kterýmseměnízákonč.499/2004Sb.,o

archivnictvíaspisovéslužběaozměněněkterýchzákonů,vezněnípozdějšíchpředpisů– sbírkazákonůčástka23zedne7.4.2014

• Navazujícívyhlášky– 259/2012opodrobnostechvýkonuspisovéslužby– 645/2004provádějíněkteráustanovenízákonaoarchivnictvíaspisové

služběaozměněněkterýchzákonů– zveřejněn4.7.2017novýstandardproeSSL

• VěstníkMVčástka57/2017

ZměnanárodníhostandardueSSL• ZměnanárodníhostandarduproeSSL přináší:

– velkézjednodušenístandardu,upřesňujefáze„vzniku“dokumentu-pojemrozpracovanýdokument(koncept)

– podrobněpopisujerozhranímezisystémyeSSL aostatnímiinformačnímisystémy• on-linepropojeníaoff-linepropojení

– vznikádatovýmodel„metadat“dokumentuspisovéslužby

• Pozor– řadaorganizacínemádlouhodoběITsystémyvsouladusnárodnímstandardemprospisovéslužby!

Stručnýčasovýrámec• 2016službyvytvářejícídůvěruvpraxi• 2017právnípředpisyanástrojepřipravenéMV

– NovelazákonaoeOP,zákonoeID– Do31.12.2017úpravavnitřníchsměrnicapravidelproÚeP

• 2018– 25.5.2018nařízeníGDPRvúčinnost– 1.7.2018prvnínovéeOPsčipem– 1.7.2018účinnostzákonaoeID– 29.9.2018účinnostnařízeníeIDAS,termínkÚeP zusneseníVládyČR

• oznámenésystémyeID• usnesenírealizovatmožnostÚeP

– 31.12.2018povinnýpříjemeFA vEvropskémformátuaISDOC5.2avyšší

eIDEU29.9.2018

akceptaceeIDoznámených

eIDCZ 1.7.2018zahájeníNIA

1.7.2020kdetotožnostel.pouzeNIA

ÚeP 31.12.2017interní

směrnice

28.9.2018realizovatmožnost

eFA31.12.2017interní

směrnice

31.12.2018umožnění

příjmuISDOC

2019/2020příjemEUeFA

GDPR 17letplatný101/2000Sb.

25.5.2018účinnostGDPR

BUDEVÍCEE-DOKUMENTŮSrozvojemelektronickýchslužebseměníživotnícyklusdokumentů

Problematikakřešení• Nárůst

– množstvíelektronickýchdokumentů(cojeel.dokument veIDAS)– množstvízpracováníosobníchúdajů

• Rizikaahrozby– zneužitíelektronickýchdokumentůneboosobníchúdajů– zneužitíelektronické„identity“

• Osvětaavzdělanost– musímevíceinformovat,vícemetodickypomáhat– dopadydooblastivzdělávání

Problematikakřešení• „inteligentníelektronickédokumenty“

– s ohledemnamnožstvímusímepředemanalyzovatdopady nadůvěryhodnost,autenticitu,velikost,možnostnáslednéhozpracování,bezpečnostaochranuosobníchúdajů

– e-dokumentyna„front-endu“a„back-endu“• jetřebamaximálnězefektivnitazabezpečit„back-end“provýměnu,sdílení,

zpracováníauchováváníelektronickýchdokumentůzejménaproe-governement,neboťřadaúdajůjezákonemvynucenýchanikolivdobrovolněposkytnutých

• maximálnívyužití„privacy bydesign“,přístupuzaloženéhonariziku,pseudoanonymizace aagregacepředzveřejněním,šifrováníapod.

NĚKTERÉDŮLEŽITÉPOJMY

Pochopeníterminologiejezákladkporozuměníproblémuanávrhusprávnýchřešení

NařízeníeIDASI. podmínkyprouznáváníeIDvrámcioznámenýchsystémůII. pravidlaproslužbyvytvářejícídůvěruzejménau

el.transakcíIII. právnírámecproel.podpisy,el.pečetě,el.časová razítka,

elektronickédokumenty,službyel.doporučenéhodoručováníacertifikačníslužbyproautentizaciinternetovýchstránek

eIDAS&e-dokument• Kelektronickémudokumentu

– „elektronickýmdokumentem“ jakýkoliobsahuchovávanývelektronicképodobě,zejménajakotextnebozvuková,vizuálníneboaudiovizuálnínahrávka;

– elektronickémudokumentunesmějíbýtupírányprávníúčinkyanesmíbýtodmítánjakodůkazvsoudnímasprávnímřízenípouzeztohodůvodu,žemáelektronickoupodobu

– Obecnýpojmemdokumentvzákoněč.499/2004Sb.• §2písmenoe)„dokumentem“každápísemná,obrazová,zvukovánebojinázaznamenaná

informace,aťjižvpodoběanalogovéčidigitální,kterábylavytvořenapůvodcemnebobylapůvodcidoručena;

• §2písmenoo)„metadaty“ datapopisujícísouvislosti,obsahastrukturudokumentůajejichsprávuvprůběhučasu

Elektronickédokumenty• Dokumentyjakonosičinformaceaosobníchúdajů

– pozornavlastnostipodlenárodnílegislativy:499/2004Sb.§3odst.5)„Vpřípadědokumentůvdigitálnípodoběsejejichuchovávánímrozumírovněžzajištěnívěrohodnostipůvodudokumentů,neporušitelnostijejichobsahuačitelnosti,tvorbaa správametadatnáležejícíchktěmtodokumentůmvsouladustímtozákonemapřipojeníúdajůprokazujícíchexistencidokumentuvčase.Tytovlastnostimusíbýtzachoványdodobyprovedenívýběruarchiválií.

– elektronickédokumentymohoubýtnosičemosobníchúdajů– dodobyskartačníhořízenínelzerealizovatprávonavýmaz

eIDASx GDPR• Preambule(11)

– TotonařízeníbymělobýtuplatňovánovplnémsouladusezásadamiochranyosobníchúdajůpodlesměrniceEvropskéhoparlamentuaRady95/46/ES.Vtomtosměrubyse,sohledemnazásaduvzájemnéhouznávánístanovenouvtomtonařízení,mělaautentizaceproúčelyon-lineslužebtýkatzpracovánípouzetěchidentifikačníchúdajů,kteréjsoupřiměřené,podstatnéarozsahemúměrnéproudělenípřístupukdanéon-lineslužbě.Dálebyposkytovateléslužebvytvářejícíchdůvěruaorgánydohledumělydodržovatpožadavkystanovenévesměrnici95/46/EStýkajícísedůvěrnépovahyabezpečnostizpracování.

– vizdáleičl.5odst.1

eIDASx GDPR• Preambule(31)

– orgánydohledubymělyspolupracovatsorgányproochranuúdajů,napříkladjeinformovatovýsledcíchauditůkvalifikovanýchposkytovatelůslužebvytvářejícíchdůvěru,jestližepodlevšehodošlokporušenípravideltýkajícíchseochranyosobníchúdajů.Totoposkytováníinformacíbysemělotýkatzejménabezpečnostníchincidentuanarušeníbezpečnostiosobníchúdajů.

– ktomudálepakvizčl.14odst.4písm.f)

eIDASx GDPR• Čl.19

– 2.Kvalifikovaníanekvalifikovaníposkytovateléslužebvytvářejícíchdůvěruvyrozumíorgándohleduapřípadnédalšípříslušnésubjekty,jakojsoupříslušnývnitrostátníorgánprobezpečnostinformacíneboorgánproochranuúdajů,okaždémnarušeníbezpečnostineboztrátěintegrity,jezmajívýznamnýdopadnaposkytovanouslužbuvytvářejícídůvěrunebonauchovávanéosobníúdaje,atobezzbytečnéhoodkladuavkaždémpřípadědo24hodinodokamžiku,kdytotonarušenízjistili

– ktomutéžčl.20odst.2

AKTUÁLNÍUDÁLOSTISrpen2017– Leden2018

Aktuálnístav• Srpen/Září2017

– Ministerstvovnitravydalo:• Metodickédoporučeníkpověřenciproobce• Pověřenciochranyosobníchúdajůveslužebníchúřadech–metodickédoporučení

• Novýnávrhzákonanahrazujícízákonč.101/2000Sb.zpracovánípřipomínekzvnějšíhopřipomínkovéhořízení=vtermínuk25.5.2018patrněnebudenovýzákon

• MetodikaGDPRx eSSL• SekceGDPRnawebuMV

DOPADYGDPRGDPRneníREVOLUCEaleEVOLUCE!

Výchozístav• Zákonč.101/2000Sb.oochraněosobníchúdajů

– Správcepovinen§5• stanovitúčel,kněmužmajíbýtosobníúdajezpracovány• stanovitprostředkyazpůsobzpracováníosobníchúdajů• shromažďovatosobníúdajeodpovídajícípouzestanovenémuúčeluavrozsahu

nezbytnémpronaplněnístanovenéhoúčelu• uchovávatosobníúdajepouzepodobu,kterájenezbytnákúčeluzpracování• zpracovávatpouzevsouladusezákonem,udržovatjepřesné• zpracovávatosobníúdajepouzevsouladusúčelem….

• Kdozcelasplňujepožadavkyzákonabudemítsnadnouadaptaci,řadaorganizacíalenesplňujepožadavky!

Pojemosobníúdaj• Zákonč.101/2000Sb.

– osobnímúdajemjakákolivinformacetýkajícíseurčenéhonebourčitelnéhosubjektuúdajů.Subjektúdajůsepovažujezaurčenýnebourčitelný,jestliželzesubjektúdajůpřímočinepřímoidentifikovatzejménanazákladěčísla,kódunebojednohočivíceprvku,specifickýchprojehofyzickou,fyziologickou,psychickou,ekonomickou,kulturnínebosociálníidentitu

• NařízeníGDPR–článek4odst.1)– „osobnímiúdaji“veškeréinformaceoidentifikovanéneboidentifikovatelnéfyzické

osobě(dálejen„subjektúdajů“);identifikovatelnoufyzickouosoboujefyzickáosoba,kteroulzepřímočinepřímoidentifikovat,zejménaodkazemnaurčitýidentifikátor,napříkladjméno,identifikačníčíslo,lokačníúdaje,síťovýidentifikátornebonajedenčivícezvláštníchprvkufyzickéfyziologické,genetické,psychické,ekonomické,kulturnínebospolečenskéidentitytétofyzickéosoby;

DefinicepojmůnařízeníGDPR• Zpracování

– jakýkoliúkonnebosouborúkonůsosobnímiúdaji,kteréjsouprováděnypomocíčibezpomociautomatizovanýchpostupů,jakojeshromažďování,zaznamenávání,uspořádávání,strukturování, uchovávání,přizpůsobovánínebopozměňování,vyhledávání,konzultace,použití,sděleníprostřednictvímpřenosu,šířenínebojakékolijinézpřístupnění,srovnáníčikombinování,jakožiblokování,výmaznebolikvidace

• Pseudonymizací– zpracováníosobníchúdajůtak,žejižnemohoubýtpřiřazenykonkrétnímusubjektu

údajůbezpoužitídodatečnýchinformací,pokudjsoutytododatečnéinformaceuchováványodděleněavztahujísenanětechnickáaorganizačníopatření,abybylozajištěno,ženebudoupřiřazenyidentifikovanéčiidentifikovatelnéfyzickéosobě;

Novépřístupy- GDPR• NařízeníGDPR

– přístupzaloženýnariziku• žesprávcejižodpočátkukoncipovánízpracováníosobníchúdajůmusíbrátv potaz

povahu,rozsah,kontexta účelzpracovánía přihlédnoutk pravděpodobnýmrizikůmproprávaa svobodyfyzickýchosoba tomumusípřizpůsobiti zabezpečeníosobníchúdajů

• Novépovinnosti– ohlašování(oznamování)případůporušenízabezpečeníOÚ,posuzovánívlivunazpracováníOÚ,konzultacesÚOOÚ

– principodpovědnostisprávce• odpovědnostsprávcezadodrženízásadzpracování,kteréjsouuvedenyv článku5

odst.1adoloženísouladu(kodexy,certifikace,záznamyočinnostechzpracování..)

GDPRaveřejnáspráva• Novépovinnosti

– záznamy,prokazovánísouladu,pověřenec,řešeníincidentů,DPIA

• Žádostisubjektů– nárůstžádostíovýkonpráv

• Pozornezapomenoutnazaměstnance– zpracováníúdajůzaměstnanců

• Dopadynasmlouvy(iexistující)

Záměrnáastandardníochrana• Spřihlédnutímkestavutechniky,nákladůmnaprovedení,

povaze,rozsahu,kontextuaúčelůmzpracováníikpravdě-podobnýmrizikůmproprávaasvobodyfyzickýchosob,ježssebouzpracovánínese,zavedesprávcejakvdoběurčeníprostředkůprozpracování,takvdobězpracovánísamotnéhovhodnátechnickáaorganizačníopatření,jejichžúčelemje:– provádětzásadyochranyúdajůúčinnýmzpůsobema– začlenitdozpracovánínezbytnézáruky,takabysplnilpožadavky

tohotonařízeníaochránilprávasubjektůúdajů.

Záměrnáastandardníochrana• vhodnátechnickáaorganizačníopatření:

– minimalizacezpracováníosobníchúdajů,– conejrychlejšípseudonymizace osobníchúdajů,– transparentnostsohledemnafunkceazpracováníosobníchúdajů,– umožněnísubjektůmúdajůmonitorovatzpracováníosobníchúdajůa– umožněnísprávcůmvytvářetazlepšovatbezpečnostníprvky

(zhotoviteléproduktů,služebaaplikací)

Záměrnáastandardníochrana• povinnostposuzovatvlivjednotlivýchzpracováníavyžádatsi

předběžnoukonzultaciudozorovéhoúřadu• povinnostposouzeníprosystematickéarozsáhlé

vyhodnocováníosobníchaspektů,naněmžsezakládajírozhodnutísprávnímiúčinky,prorozsáhlésystematickémonitorováníveřejněpřístupnýchprostorůarozsáhlézpracovánícitlivýchúdajů

Přístupzaloženýnariziku• Základpro nastavovánípovinnostísprávcejerizikovost

– dovozovánaz rozsahuzpracování,zpracovávanýchosobníchúdajů(citlivéúdaje)apoužívanýchtechnologií

• Spřihlédnutímkestavutechniky,nákladům,povaze,rozsahu,kontextuaúčelůmzpracováníikrůzněpravděpodobnýmarůznězávažnýmrizikůmproprávaasvobody,ježsebouzpracovánínese– zavedesprávcejakvdoběurčeníprostředkůprozpracování,takvdobě

zpracovánívhodnátechnickáaorganizačníopatřeníazačlenídozpracovánínezbytnézáruky.

Posouzenívlivu• Posouzeníjenutnézejménavtěchtopřípadech:– systematickéarozsáhlévyhodnocováníosobníchaspektůfyzickýchosob,kteréjezaloženonaautomatizovanémzpracování,včetněprofilování,ananěmžsezakládajírozhodnutísprávnímiúčinkynebomajínafyzickéosobypodobnězávažnýdopad– rozsáhlézpracovánízvláštníchkategoriíúdajů(citlivé)neboúdajůtýkajícíchserozsudkůvtrestníchvěcechatrestnýchčinů

– rozsáhlésystematickémonitorováníveřejněpřístupnýchprostorů

Předáváníúdajů- cizina• Hodnocenítřetízemě(Komise)

– zásadyprávníhostátu,standardylidskýchpráv,nezávislýdozor,mezinárodnízávazky.

• Předávánízaloženánavhodnýchzárukách• Výjimky

– subjektúdajůbylinformovánomožnýchrizicích,kterápronějvdůsledkuabsencerozhodnutíoodpovídajícíochraněavhodnýchzárukvyplývají,aknavrhovanémupředánívydalsvůjvýslovnýsouhlas

• Předání,kteránejsouopakovaná,omezenýpočetsubjektůúdajů

– lzeuskutečnitproúčelyzávažnýchoprávněnýchzájmůsprávce,pokudnadtěmitozájmynepřevažujízájmy/právaasvobodysubjektuúdajů

Pseudonymizace• Osobníúdajejižnemohoubýtpřiřazenykonkrétnímusubjektu

údajůbezpoužitídodatečnýchinformací,uchovávanýchodděleněatechnickáaorganizačníopatřenízajišťují,ženebudoupřiřazenyidentifikované/identifikovatelnéfyzickéosobě

• Vhodnázáruka:– snižujerizikaproprávasubjektuúdajů– změkčujeněkterépovinnostisprávců(azpracovatelů):právasubjektu

údajůpodmíněnaschopnostísprávcesubjektúdajůidentifikovat

NovéfunkcevITsystémech• NařízeníGDPRupravujepodrobněji:

– právonaopravudlečlánku16,kdysubjektúdajůmáprávonato,abysprávcebezzbytečnéhoodkladuopravilnepřesnéosobníúdaje

– právonavýmazdlečlánku17,kdysubjektúdajůmáprávonato,abysprávcebezzbytečnéhoodkladuvymazalosobníúdaje,kterésedanéhosubjektuúdajůtýkají

– právonapřenositelnostdlečlánku20,kdysubjektyúdajůjsouoprávněnyzískatosobníúdaje,kteréposkytlysprávcivestrukturovaném,běžněpoužívanémastrojověčitelnémformátuapředatjejinémusprávci

– Povinnostsprávcenapomáhatuplatňovánípráv(on-line,hot-line…)

DopadynaIT• ArchitekturaITřešeníbymělakroměarchitektonickýchpostupůa

shodousNAPobsahovatsohledemnaGDPRzejménapak:

– principy„Privacy bydesign“tj.ochranusoukromíjižodnávrhu• zaměřenénasubjekt,objekt,transakci,systém• proaktivní(prevencenikolivnáprava),minimalismusdat,ochranajižvnávrhu,plnáfunkčnost,bezpečnostodzačátkudokonce,stáláotevřenost(transparentnostaviditelnost),soukromíuživatele

– kontinuálníproces– nejednáseojednorázovýsoulad,aleotrvalýděj

FázeimplementaceGDPR

Udržitelnostsystému

Zajištěníorganizačně-technickýchopatřenívčase

Implementace

Úpravysměrnic,smluv,systémůaorganizačníchopatření

Analýza

Analýzasoučasnéhostavux rozdílyod25.5.2018

DalšídopadyGDPRnaIT• Nutnozajistitvedeníněkterýchnových„agend“

– vrámcieSSL evidovat„požadavky“odsubjektuúdajů– přiobnovědatzezálohkontrolovatoprotievidenciuplatněnýchpráv

navýmaz– některéčinnostilzečástečněnebozcelaautomatizovat

• svyužitímelektronickéidentifikacelzepřipraviton-lineslužbyprořešeníněkterýchsituací

• typickyprávonapřenositelnostlzezcelaautomatizovat

– pozornazáznamyozpracování

DopadynejennaIT• Revidovánísmluvsezpracovateli/externímidodavateli

– jezcelanutnéinventarizovatveškerésmlouvy(jaknainformačnísystémy,takinajinéexterníslužbysouvisejícísčinnostmi,kdesepracujesosobnímiúdaji)

– provéstanalýzusmluvanavrhnoutzměnyvsouvislostisGDPR– možnápomocÚOOÚx pověřenec

• Revidovánísmluvsezaměstnanci– pozornaněkteréagendyvpersonalistice

Dopadynasmlouvy• Problematikarevizesmluvx GDPR

– smlouvymusíjasněnastavitpovinnostiaodpovědnostzapřípadnouškodujednotlivýchsmluvníchstransohledemnazpracováníosobníchúdajů

– proexternízpracovánídoporučenísmluvněupravit,žeexternízpracovatelzpracováváOÚvsouladusnařízenímaobecněplatnýmiprávnímipředpisy

– pozorna“zřetězení“smluv(systémovýintegrátorx skutečnýrealizátorx fyzickéumístěníatd..)

Novépožadavkynasmlouvy• DopadnadodavateleITsystémůspřístupemkúdajům• Due diligencepředuzavřením

– Dostatečnézárukyzavedenívhodnýchtechnickýcha organizačníchopatření

• Zpracovánípouzedlepokynůsprávce– VýjimkydleprávaEUačlenskýchstátů– Informováníopožadavcíchzákona

• Bezpečnostníopatření• Součinnostpřizabezpečení,hlášeníincidentů,atd.• Infomačnípovinnost• Audity,včetněprohlídeknamístě

Dopadyvsouvislostech

eSSL …

eID

Webovéslužby

DopadyGDPRx zákonč.250/2017• Zákonč.250/2017oelektronickéidentifikaci

– nenínutnéprováděthodnocenídopadů,návrhzákonaobsahovalhodnocenídopadůnaochranuosobníchúdajů

– správceNIAjeSZR,kvalifikovanýchsystémůjsoukvalifikovanísprávci– rozsáhlézpracováníosobníchúdajů,zpracovávajíauchovávájí seOÚ

• např.§21,§22…

– právonapřenositelnostosobníchúdajů• §21odst.3)„vnárodnímbodusedálemohouvéstúdaje,kteréposkytnedržitel.“

Druhydokumentůadopady

Dokumenty

Strukturované

Automatizovanězpracovávané

Pouzeevidované

Nestrukturovatelné Fulltextovévyhledávání

GDPRaeSSL• §64příjem,označování,evidencearozdělovánídokumentů

– odst.4)„jmennýrejstřík“určenýprovyhledávání,ověřováníaautomatickézpracováníúdajůoadresáchodesílatelůaadresátechdokumentůevidovanýchvevidenci

– jmennýrejstříkmůžepomocivněkterýchpřípadech

• eSSL spodporoufulltextovéhovyhledávání• eSSL jehlavníevidenčnísystém&„řídí“skartačnířízení

– správněstanovenéskartačnílhůtyjsouzákladempronapř.uplatněníprávanavýmaz

GDPRafakturace• DopadyGDPRnafaktury

– fakturymohouobsahovataobvykleobsahujířaduosobníchúdajů• např.vystavil,dálepakadresníčást,kdopřevzalfakturuapodobně

– většinoubudezpracováníspojenosplněnímnějaképovinnosti• např.zákonoúčetnictví,daňovézákonyapodobně• nutnosprávněnastavitskartačnílhůtyadálepakprocesskartačníhořízení

– pokudbudenevhodněnastavenojenutnépočítatsmožnostíuplatněníprávanavýmaz

– vsouvislostisezpracovánímmohoubýtvrámciživotníhocyklufakturypřipojenyosobníúdajezaměstnancůzpracovatele

– uelektronickýchfakturdocházívětšinoukautomatizovanémuzpracování

PrávnídůvodyzpracováníDů

vodyzp

racování

Nazákladěsouhlasu

Plněnísmlouvy

Splněníprávnípovinnostinazákladězákonnépovinnostisoporouvprávu

Ochranaživotnědůležitýchzájmů

Veřejnýzájem,výkonveřejnémoci

DopadynaITaprocesy• RevidovatsouhlasysezpracovánímOU

– např.nelze„před-vyplňovat“nebopodmiňovatpřístupkonlineslužbám

• AnalyzovatchováníITsystémůpodletitulu– nazákladě„souhlasu“– nazákladě„smlouvy“

• pozornaexitstrategii,pokudgenerálnísouhlaspakalespoňnotifikaceanámitka

– nazákladě„právnípovinnostisprávce“• musívyplývatzprávaČRneboEU,pozornasprávněnastavenéskartačnílhůty

– veveřejnémzájmu

NováprávafyzickýchosobPráva

Právovznéstnámitku

Právonavýmaz(býtzapomenut)

Právonaopravu

Právonapřenositelnostúdajů

GDPRmávždydopadynaIT• DopadyGDPRnaITsystémy

– právonapřenositelnostúdajůdlečl.20• vněkterýchpřípadechbudenutnéupravitITsystémyabysenemuselo„dělat“ručně

– právonavýmazdlečl.17• dopadynastrategiizálohováníaobnovydat– kdebylouplatněnoprávonavýmaznelze

přiobnově„obnovit“tatodatadoproduktivníhoprostředí• nepřímédopadynaanalýzuvšechskartačníchlhůtuzpracováníuveřejnoprávních

původců

– právonapřístupkosobnímúdajůmdlečl.15• pozornapř.uSmart-Cities – zapomínásečastonadopadyochranyosobníchúdajů• pozorupředávánídotřetíchzemínebomezinárodnímorganizacím– právonainformace

ovhodnýchzárukách

Právonavýmaz& zálohy

1.• Agenda– evidenceprávnavýmaz

2.• Obnovadatdoneproduktivníhoprostředí,opětovné„smazánídatdleevidenceprávnavýmaz“

3.• Obnovadatpodlebodu2.doproduktivníhoprostředí

POVĚŘENEC

„Nevděkjeznameníslabosti.Nikdyjsemnevidělschopnélidi,kteříbybylinevděčni.“

JohannWolfgangvonGoethe

Kdojepověřenec?• DataProtection Officer - Pověřenecnaochranuosobních

údajů– smyslemtohotoinstitutujezvýšitodpovědnostsprávce,zajistitlepšíplnění

předpisůproochranuosobníchúdajůaroliprostředníkamezisprávcem,subjektemúdajůadozorovýmorgánem

– pověřenecmározvíjetkulturuochranyosobníchúdajůuvnitřorganizaceapomáhatzavádětjejíklíčovéprvky

– pověřenecnepřebíráodpovědnostzasprávce.Správcesámmusípodlečl.24(1)Obecnéhonařízenízajistitidoložit,že(jehozaměstnanci)plnípovinnostipodleObecnéhonařízení

Pověřenec• Pověřenecproochranuosobníchúdajů– článek37

– jmenovánípověřenceü správceazpracovatel

– postavenípověřenceü správceazpracovatelzajistí,abypověřenecnedostávalžádnépokynytýkajícísevýkonuúkolů

– úkolypověřence

• Proorgányveřejnémocipovinnost!

WP29– vodítkaPOOÚ• Vodítkakpověřencůmproochranuosobníchúdajů

– jmenovánípověřence– postavenípověřence– úkolypověřence– příloha– copotřebujetevědět?

• kdomusímítpověřence• zdrojepropověřence• konfliktzájmů

… adalšídoporučení

Úkolypověřence• Hlavníúkolypověřence:

– Poskytováníinformacíaporadenstvísprávcůmnebozpracovatelůmazaměstnancům,kteříprovádějízpracování,ojejichpovinnostechpodletohotonařízeníadalšíchpředpisůUnienebočlenskýchstátůvoblastiochranyúdajů;

– Monitorovánísouladustímtonařízením,dalšímipředpisyUnienebočlenskýchstátůvoblastiochranyúdajůaskoncepcemisprávcenebozpracovatelevoblastiochranyosobníchúdajů,včetněrozděleníodpovědnosti,zvyšovánípovědomíaodbornépřípravypracovníkůzapojenýchdooperacízpracováníasouvisejícíchauditu;

Úkolypověřence• Dalšíúkolypověřence:

– Poskytováníporadenstvínapožádání,pokudjdeoposouzenívlivunaochranuosobníchúdajů,amonitorováníjehouplatňovánípodlečlánku35;

– Spoluprácesdozorovýmúřadem

– Působeníjakokontaktnímístoprodozorovýúřadvzáležitostechtýkajícíchsezpracování,včetněpředchozíkonzultacepodlečlánku36,apřípadněvedeníkonzultacívjakékolijinévěci.

Pověřenec• Schopnostplnitúkoly:

– postavenívorganizaci– klíčováosobapřirozvojikulturyochranydat,pomáházavádětnařízení– musímítdostatečnousamostatnostazdrojeproefektivnívýkon

funkce– dostupnost(hot-line,osobnídostupnost)– POZORnastřetzájmů– nelzeformálněobejítnapř.navedoucího

pracovníkaITapodobně!

Střetzájmů& pověřenecStřetzájmů:

– určitpracovnímístaneslučitelnásvýkonemfunkcepověřence– sestavitvnitřnípravidlakzamezenístřetuzájmů– začlenitdopravidelobecnějšívysvětlenístřetuzájmů– analyzovatpřípadnýstřetpověřencedlesmlouvy– interníx externí

Pověřenec– konfliktzájmůWP29• Existujeněkolikzárukumožňujícíchpověřencikonat

nezávisle:

– žádnépokynyodsprávcenebozpracovateletýkajícísevýkonuúkolu pověřence

– nemožnostpropuštěnínebosankcionovánívsouvislostisplněnímúkolů

– zajištěnímsprávcemnebozpracovatelem,abyžádnépověřencovyúkolynebopovinnostinevedlykestřetuzájmu

Conesmípověřenec– WP29• PověřenecdledoporučeníWP29

– pověřenecnemůževorganizacizastávatmísto,nakterémbymuselstanovovatúčelyaprostředkyzpracováníosobníchúdajů

– vkonfliktnímpostaveníuvnitřorganizacemohoutypickybýtpozicevevyššímmanagementu(výkonnýředitel,provozníředitel,finančníředitel,zdravotníředitel,vedoucímarke�ngovéhooddělení,vedoucípersonálníhooddělenínebovedoucíodděleníIT),aleipozicenanižšímstupniorganizačnístruktury,pokudvtakovémpostavenídocházíkrozhodováníoúčelechaprostředcíchzpracování

VícesouvisejícíchorganizacíSohledemnacharakternařízeníavýšeuvedenýchdoporučenýchčinností:1. „zastřešujícíorganizace“bymělaresortnímorganizacímposkytnout

minimálněmetodickouakonzultačnípodporuvsouvislostisimplementacínařízeníGDPR;

2. optimálnístanovenípočtupověřencůnaochranuosobníchúdajů(lzemítprovíceorganizací„sdíleného“pověřence,pokudtobudemožnésohledemnacharakterjehofunkce;

3. vrámcicelkulzeustejnýchtypůorganizacízavéststejnépostupy(typickynapříkladproblematikaGDPRuměstaobcí).

Shrnutíkpověřenci• PověřencinenesouosobníodpovědnostzanedodržováníGDPR– vždy

správcenebozpracovatel• Správcenebozpracovatelmajíklíčovouúlohuprovytvářenípodmínek

pověřenci• Musíbýtsnadnodosažitelnýamusíbýtschopenkomunikovatvjazyce

užívanýchorgánůdozoruasubjektemúdajů• Podlečlánku37odst.5musímítprofesníkvalityamusíbýtschopenplnit

úkolydlenařízení• „Pokynykfunkcipověřence…“WP29– z13.12.2016a“Častokladené

otázky“

Shrnutíkpověřenci• MetodikaMVČRproobceobsahujeiobecnádoporučení

– pověřeneczaměstnanec– úředníkdlezákonač.312/2002Sb.,obsazenídle§4anásledujících

– pověřenecexterní- §1746odst.2zákonač.89/2012Sb.– pozornazastupovánívdoběnepřítomnosti– musísplňovatvšechny

předpokladyizástupce

Slovozávěrem„Kdosystematickydodržujeprávnípředpisyzejménavoblastiochranyosobníchúdajů,evidencedokumentůavedeníspisovéslužby,zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakceamásprávněnastavenésmlouvysITdodavatelinebudemítproblémisohledemnavýraznýnárůstelektronickýchdokumentůasouvisejícínárůstnovýchpovinností.“

„UostatníchmůžebýtGDPRpříslovečnáposledníkapka– protonenechejtenádobupřetéci- stáleještěječasnanápravu!“

DĚKUJIVÁMZAPOZORNOST!Ing.RobertPiffl,e-mail:robert.piffl@mvcr.cz