18
1 Úvod do problematiky Ministerstvo vnitra ČR Výjezdní metodické zasedání manažerů prevence kriminality v ČR, Solenice, 20. duben 2018
1
Úvod do problematiky
Ministerstvo vnitra ČR
Výjezdní metodické zasedání manažerů prevence
kriminality v ČR, Solenice,
20. duben 2018
2
GDPR
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Článek 99
1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku
Evropské unie.
2. Toto nařízení se použije ode dne 25. května 2018.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 27. dubna 2016. Za Evropský parlament
předseda - M. SCHULZ
Za Radu
předsedkyně - J.A. HENNIS-PLASSCHAERT
3
K orientaci v dané problematice GDPR poslouží stránky Ministerstva vnitra České republiky
http://www.mvcr.cz/default.aspx
Na webových stránkách naleznete kromě právních předpisů, metodická doporučení včetně rozcestníku na metodické materiály ostatních resortů (např. pro školy, zdravotnická zařízení či knihovny), kontrolní seznamy – tzv. „checklisty“ – pro malé obce, vzorové dokumenty včetně vzorové pracovní náplně pověřence a vzorových záznamů o činnostech zpracování, modelové systémové analýzy pro obce i pro kraje, odpovědi na nejčastější otázky, zahraniční zkušenosti stejně jako odkazy na další relevantní informace a zainteresované instituce.
Základní informace pro starosty:
http://www.mvcr.cz/gdpr/clanek/video-s-informacemi-pro-starosty.aspx
4
• GDPR ChatBot je interaktivní průvodce Obecným nařízením o ochraně osobních
údajů (General Data Protection Regulation neboli GDPR). Snahou bylo vytvořit
interaktivního průvodce tímto nařízením, k čemuž slouží právě GDPR ChatBot. Ten
funguje na platformě IBM Watson, která umožňuje vytvářet učící se komunikační
nástroje.
• Nyní je GDPR ChatBot v ověřovacím provozu. https://www.spcr.cz/chatbot-gdpr
• ChatBot u otázek, které zná a má naučeny, umí odpovídat v řádu vteřin. Pokud Vám
nebude schopen odpovědět, budete přesměrováni na e-mail [email protected]
a dotaz bude neprodleně řešen s garantovanou reakcí do 3 pracovních dní. Dotazy a
odpovědi na ně pak budou přidávány do znalostní báze, čímž se bude ChatBot
neustále zdokonalovat. (Zadání např. pokuty-pověřenec)
• GDPR ChatBot byl vytvořen ve spolupráci mezi Ministerstvem vnitra ČR, Svazem
průmyslu a dopravy ČR, společnostmi IBM Česká republika a Opus consulting.
5
Rozcestník http://www.mvcr.cz/gdpr/clanek/rozcestnik.aspx
Ministerstvo vnitra koordinuje metodickou činnost ústředních správních úřadů v oblasti
ochrany osobních údajů. V každém resortu se ochrana osobních údajů promítá do praxe
specifickým způsobem, a metodická podpora ze strany příslušných ministerstev je proto
nezastupitelná. Takto vypadá rozcestník na internetové stránky ústředních správních
úřadů, které se již zhostily úkolu vytvořit na internetu vlastní informační zázemí pro
adresáty v jejich oboru působnosti.
• Úřad pro ochranu osobních údajů - GDPR (obecné nařízení)
• Ministerstvo zdravotnictví - implementace GDPR
• Ministerstvo průmyslu a obchodu - Obecné nařízení o ochraně osobních údajů -
GDPR v kostce (stručná metodika)
• Ministerstvo školství, mládeže a tělovýchovy - Metodická pomůcka k aplikaci GDPR
ve školství
• Ministerstvo školství, mládeže a tělovýchovy - Stručný návod na zabezpečení
procesů souvisejících s GDPR
• Ministerstvo kultury / Národní knihovna - Ochrana osobních údajů - Příručka pro
knihovny
6
https://www.uoou.cz/gdpr/ds-3938/p1=3938
Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů
platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému
zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady
ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a
potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji. V souladu s tím
dále obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou
složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a
domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz
na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje
proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování a
současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se
jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých
zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za
určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k
nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu
zpracování, zpracovávaných osobních údajů a používaných technologií.
7
Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro
ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení
zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení
osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.
Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a
pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a
vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.
Rubriky:
• Základní příručka Přehled základních pojmů a informací vztahujících se k
obecnému nařízení.
• GDPR stručně O ochraně osobních údajů stručně a jasně.
• Desatero zpracování pro správce Desatero zpracování pro správce je zestručnění
základních pravidel ochrany osobních údajů, využitelné malými správci údajů,
živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s
osobními údaji.
8
• Desatero omylů Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších
omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).
• Dokumenty k GDPR Dokumenty vztahující se k obecnému nařízení (směrnice,
návrhy zákonů, brožury).
• Otázky a odpovědi Nejčastější otázky k obecnému nařízení, na které je dotazován
Úřad pro ochranu osobních údajů.
• Pokyny Pracovní skupiny WP29 Pracovní skupina WP29 vydává a veřejně
diskutuje materiály, které mají čtenáři maximálně vysvětlit a co nejblíže ho seznámit s
jednotlivými částmi a oblastmi obecného nařízení.
• GDPR nově Důležité novinky související s GDPR, na které chce Úřad upozornit.
• Role ÚOOÚ Shrnutí role Úřadu pro ochranu osobních údajů v souvislosti s obecným
nařízením.
• Důležité odkazy V této rubrice naleznete odkazy na metodiky a instituce, kde je
oblast GDPR důležitým tématem.
9
GDPR – evoluce v ochraně osobních údajů
- Většina ustanovení platí přímo a „nepřekládá“ se do vnitrostátních zákonů – odchylky
a rozdíly jen ve vymezených oblastech.
- Cílem je zajistit jednotný právní režim v celé EU, ušetřit podnikům právní náklady na plnění různých národních předpisů.
- Povolené odchylky se ale vymezují různým způsobem (někdy vnitrostátní zákon prostě platí, jindy se oznamují dotčená ustanovení Komisi), vztah mezi nařízením a vnitrostátními předpisy může být poměrně nepřehledný.
- Nahrazuje směrnici 95/46 (ES) o ochraně osobních údajů, kterou implementoval zákon č. 101/2000 Sb.,
- Obecné nařízení vychází z definic, zásad a struktury této směrnice, nemění se ani právní tituly ke zpracování údajů, proto je řada povinností správce a práv subjektu údajů stejná nebo podobná jako podle zákona č. 101/2000 Sb.
10
Ministerstvo vnitra ve spolupráci s ÚOOÚ předložilo vládě 22. ledna 2018 návrh
adaptačního zákona, vláda jej schválila dne 21. března 2018 a tento nahradí zákon č.
101/2000 Sb., o ochraně osobní údajů.
Zákon má čtyři hlavní části:
1.) Adaptace na obecné nařízení.
2.) Transpozice větší části směrnice pro policejní a trestní zpracování.
3.) Základní pravidla ochrany údajů v oblasti národní bezpečnosti (mimo působnost
práva EU).
4.) Postavení a struktura ÚOOÚ, pravomoci a přestupky.
Změnový zákon – řada dílčích úprav různých zákonů (cca 35) kvůli nařízení nebo
směrnici.
11
Tento zákon přináší některá upřesnění a vyjasnění, např.:
- pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo
plní úkol ve veřejném zájmu, je oprávněn kvůli tomu zpracovávat osobní údaje,
- správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů
- oznamovat změny a výmazy lze aktualizací evidence,
- věk pro samostatný on-line souhlas dítěte stanoven na 15 let,
- omezení zpracování nestanoví zákonnou ohlašovací povinnost,
- prolomení některých mlčenlivostí pro kontrolní činnost ÚOOÚ,
- omezení pokut pro veřejnou sféru na současných 10 mil. Kč.
12
Tento zákon neobsahuje:
- vlastní definice základní pojmů – z práva EU,
- zpřísňování pravidel Obecného nařízení nad rámec stávajícího zákona, např.:
- kvalifikace pověřence, rozšíření povinnosti pověřence jmenovat,
- další omezení nakládání s údaji o zdravotním stavu aj.,
- další omezení přenosu osobních údajů do třetí země,
- další povinnosti provádět posuzování dopadů na ochranu soukromí,
- další přestupky (přebírají se však delikty ze zákona č.101/2000 Sb.).
KDO DODRŽUJE ZÁKON Č. 101/2000 SB, A JE PŘIPRAVEN NA OBECNÉ
NAŘÍZENÍ, JE PŘIPRAVEN I NA NOVÝ ZÁKON.
13
Praktické dopady – podobné nynějším
- Standardní povinnosti správce nebo zpracovatele zachovány (bezpečnost,
technicko– organizační opatření),
- správce musí být schopen splnění svých povinností doložit,
- standardní práva subjektu údajů (na přístup, na opravu apod.) se použijí podobně
jako nyní,
- důraz na zabezpečení osobní údajů, zejména technické.
Praktické dopady – nové
- Standardní a záměrná ochrana osobních údajů, nezpracovávat zbytečně mnoho údajů
- hlášení porušení zabezpečení osobních údajů,
- posouzení vlivu na ochranu osobních údajů,
- konzultace s ÚOOÚ,
- pověřenec pro ochranu osobních údajů,
14
- více podmínek pro udělení souhlasu, např. informovat o tom, že souhlas lze odvolat,
informovanost o předání informací třetím zemím,
- věk pro on-line souhlas (v ČR 15 let),
- akreditace certifikačních orgánů,
- kodexy chování.
Hlášení porušení zabezpečení
- pokud správce zjistí, že bylo narušeno zabezpečení osobních údajů, například
hackerským útokem, nebo vloupáním, nebo ztrátou nosiče dat, musí vždy a co
nejdříve ohlásit na ÚOOÚ a navrhnout způsoby řešení rizik,
- v případě, že narušení vede k velkému riziku pro subjekty údajů (například data
nejsou šifrována), musí to oznámit subjektům údajů (případně veřejně).
15
Konzultace s ÚOOÚ
- není tak úplně nové, ÚOOÚ u rizikových zpracování může vést řízení z vlastního
podnětu již nyní, jedná se o systémový prvek,
- platí pro zpracování zahájená po květnu 2018,
- pokud zpracování přináší vysoké riziko, má správce před jeho zahájením konzultovat
s ÚOOÚ, který má na posouzení asi ¼ roku a může doporučit další opatření.
Co na veřejnou správu prakticky nedopadne
- na veřejnou správu se v rozsahu, v jakém provádí zpracování při plnění právních
povinností, úkolu ve veřejném zájmu nebo výkonu veřejné moci, nebude vztahovat
téměř nebo zcela:
- právo na výmaz nebo likvidaci se uplatní až po předepsané skartační době (čl. 17),
- právo na přenositelnost – většina zpracování je podle zákona nebo veřejného
zájmu (čl. 18), přenos na sociálních sítí z jedné do druhé ANO a NE třeba katastr nemovitostí a rejstřík trestů
- právo na námitku – jen ve výjimečných případech (čl. 21).
16
Pověřenec
- je povinný pro orgány veřejné moci a „veřejné subjekty“, povinnost jmenovat je
zákonem omezena tak, aby nešlo o takovou šíři subjektů jako „veřejné
instituce“ podle zákona o svobodném přístupu k informacím (nespadnou tam
příspěvkové organizace, obecní s.r.o. apod.),
- dále povinný pro správce, kteří provádějí rozsáhlé monitorování (mobilní operátoři,
banky), nebo zpracovávají citlivé údaje ve velkém rozsahu (např. krajské nemocnice),
- lze jmenovat jednoho pověřence pro více orgánů nebo subjektů (např. pro všechny
základní školy v regionu), záleží na rozsahu a komplexnosti zpracování,
- může to být i externí subjekt (praktické spíše pro soukromý sektor).
Pověřenec neručí za to, že údaje budou správně chráněny, má jít o „svědomí“ správce z
hlediska ochrany osobních údajů, jeho role je poradní, informační a metodická, dále
kontrolní ohledně předpisů na ochranu údajů a kontaktní pro ÚOOÚ a částečně pro
subjekty údajů. Odpovědnost je však na správci.
Má rozumět ochraně osobních údajů, ale nemusí to mít jako jedinou činnost.
17
Závěrem tedy:
Ministerstvo vnitra Obecné nařízení o ochraně osobní údajů legislativně
implementuje, ale nevykládá ani kontroluje.
Praktické vymáhání je v kompetenci ÚOOÚ.
Výklad spočívá zejména na Sboru, nyní na Pracovní skupině 29, která svá
výkladová vodítka k jednotlivým oblastem zveřejňuje a jsou k dispozici i na
www.uoou.cz.
18
Děkuji za pozornost
Mgr. Vladimír DVOŘÁK
Odbor prevence kriminality
Ministerstvo vnitra ČR
tel.: 974 832 337
email: [email protected]
