Ochrana osobních údajů a bezpečnost dat – novinky v GDPR
Mgr. Jana Pattynová, LL.M.
1. února 2017
Proč je ochrana údajů tématem?
Data jsou důležitým aktivem
Riziko vysokých sankcí dle GDPR
Data jsou klíčová v digitální transformaci
ÚVOD K OCHRANĚ ÚDAJŮ
Data jako klíčové aktivumDATA JAKO AKTIVUM
Právní titul: jak poznám, že data
jsou „moje“.
Zabezpečení není jen otázka komerční
preference ale regulační
požadavek,
Data jsou zdarma, ale vyžadují právní titul a zabezpečení
APLIKACE
PRÁVO EU GDPR x NIS Vertikální regulace
ČESKÉ PRÁVO x
Zákon o kybernetic
ké bezpečnost
i
Novela zákona o
kybernetické
bezpečnosti
Vertikální regulace
Finanční instituce ✓ ✓ ✓ ✓Telekomunikační operátoři
✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb
✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓Poskytovatelé cloudu ✓ X ✓ XE-shopy ✓ X ✓ XPoskytovatelé služeb ✓ X X XVýrobní společnosti ✓ X X XMaloobchodní řetězce ✓ X X X
Právní úprava dat
Dozorový orgán a sankceAPLIKACE
GDPRZákon o
kybernetické bezpečnosti
NISNovela zákona o
kyber. bezpečnostiDozorový úřad
Vnitrostátní dozorový úřad (ÚOOÚ)
Vedoucí dozorový úřad
Národní bezpečnostní úřad (NBÚ)
Národní bezpečnostní úřad (NBÚ)
Maximální výše pokut
20.000.000 Eur nebo až 4 % celkového světového ročního obratu
100.000 Kč 5 mil. Kč
Účinnost 25. května 2018 1. ledna 2015 do května 2018
GDPR
GDPR
GDPR – Obecný přehled
Nařízení EU – přímo aplikovatelné
Vstoupí v účinnost 25. května 2018
Kodexy jednání a doporučení teprve budou vydány
Co je regulováno jako osobní údaje?
GDPR
Zřejmé: jméno, číslo dokladu
totožností, kreditní karta, kontaktní
údaje, informace o zdraví, lokalizační údaje, IP adresa,
atd.
Ale také: jakékoli informace o nákupech,
užívaných službách či vlastněných
zařízeních, (meta) data týkající se
předchozího chování při užívání služby, fotografie
údaje identifikující fyzickou osobu
Novinky v GDPR
Posílení práv subjektů údajů
Jednoznačný souhlas ke zpracování
údajů
„Privacy by design“ a
„privacy by default“
„State of the art“
Ochrana mladistvých
Online identifikátory
Přenositelnost údajů
Odvolání souhlasu a právo být
zapomenut
GDPR V KOSTCE
Novinky v GDPR
Záznamy o činnostech zpracování
(místo registrace)
Vlastní vyhodnocení
dopadů zpracování na ochranu údajů
Notifikace neoprávněného
přístupu k osobním údajům
Pověřenec pro ochranu
osobních údajů
Konzultace s dozorovým orgánem a
kodexy chování
Hlavní dozorový orgán jako jedno
správní místo
Nové požadavky na
zpracovatelské smlouvy (vč.
subdodavatelů)
Specifická pravidla pro zpracovatele
GDPR V KOSTCE
Souhlas nezletilýchSOUHLAS JAKO PRÁVNÍ
TITUL
< 13Pouze se souhlasem
rodiče13 – 15
Pouze se souhlasem rodiče, ale může
podléhat vnitrostátní úpravě
16+Bez souhlasu rodiče
Životní cyklus údajůSOUHLAS JAKO PRÁVNÍ
TITUL
Požádat Vytvořit Aktualizovat Odstranit
Bez souhlasu nebo zákonného titulu technická nemožnost postoupit k dalšímu kroku
Spojit údaje s: subjektem, účelem, časovým rámcem
Spojit údaje s: účelem, časovým rámcem
Odstranit údaje: všude, splnění evidence, právo být zapomenut,
Právo být zapomenut Všechny údaje týkající se
příslušné osoby musí být nezvratně a kompletně vymazány
Potvrzení osobě, že její údaje byly vymazány
Musí být zajištěno pro celý ekosystém zpracovatelů
? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků
SOUHLAS JAKO PRÁVNÍ TITUL
• Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný
Anonymizované údaje(nevratně oddělené
od osoby)
• Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací
• Dodatečné informace jsou uchovávány odděleně
• Technická a organizační opatření zajišťují, že osoba nebude identifikována
• Pouze správce může určit identifikaci
Pseudonymizované údaje
(dočasně oddělené od osoby)
Anonymizované vs pseudonymizované údaje
PSEUDONYMIZACE A ANONYMIZACE
Výhody pseudonymizovaných údajů
PSEUDONYMIZACE A ANONYMIZACE
Mohou být zpracovány nad rámec původně definovaného účelu
Pseudonymizace splňuje požadavek ochrany soukromí již od návrhu
Pseudonymizace jako bezpečnostní opatření
Mírnější regulace: výjimky ohledně notifikace a dalších povinností
Hlášení dle GDPR OZNAMOVÁNÍ PŘÍPADŮ
PORUŠENÍ
Porušení zabezpečení
osobních údajů
Zpracovatel oznámí správci
Oznámení ÚOOÚ
Oznámení subjektu
údajů
Do 72 hodin, předepsaný minimální obsah
Výjimka: je nepravděpodobné, že
způsobí ohrožení práv a svobod osob
Pokud je riziko ohrožení práv a svobod
Bezodkladně Výjimky:
šifrování údajů, jiná opatření, nepřiměřené úsilí – veřejné
oznámení
Právo provádět auditPRÁVO PROVÁDĚT AUDIT
Úřad pro ochranuosobních údajů
Zákazník (správce)
Dodavatel(zpracovatel)př. poskytovatel
cloudu
Subdodavatel(subzpracovatel)
Subdodavatel(subzpracovatel)
Příležitosti
Transformační potenciál Dodavatelé IT řešení Poradenské a
auditorské služby
Výzvy
Zajištění souladu s GDPR
Úprava obchodního modelu
Změna statusu quo
Příležitosti a výzvy GDPRPŘÍNOS
GDPR
• Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně
Datové toky
• Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik
• Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora
Analýza největších rizik
a základní krizový plán
Co by měly mít společnosti pod kontrolou?
Příprava interní a externí dokumentace implementující požadavky GDPR
Co pro Vás můžeme udělat?
Analýza datových toků a procesů
Analýza dopadů GDPR
Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů zabývající se právem technologií, médií a komunikací.
Hlavní oblasti působení: • IT smlouvy, včetně smluv na cloud produkty• Ochrana soukromí a osobních údajů• IoT• M&A transakce v technologickém sektoru• Podpora pro start-upy při vstupu na zahraniční trhy• Outsourcing • Pracovní právo (včetně technologických aspektů pracovních smluv a dohod,
BYOD) • Právo duševního vlastnictví• Média • Telekomunikační právo
Jana PattynováNa Příkopě 9
110 00 Praha 1+420 777 738 040