18.9.2017 Seminář o GDPR - CESNET€¦ · 18.9.2017 Seminář o GDPR Čl. 4 odst. 1 GDPR veškeré fyzické osobě zejména odkaz na určitý identifikátor, například jméno,

18.9.2017 Seminář o GDPR




https://datafloq.com/read/7-trends-of-internet-of-things-in-2017/2530

https://datafloq.com/read/7-trends-of-internet-of-things-in-2017/2530


One Ring to rule them all,

One Ring to bring them all…





http://www.smartinsights.com/internet-marketing-statistics/happens-online-60-seconds/

https://pbs.twimg.com/media/C7T8TisXUAAEHiU.jpg

http://www.smartinsights.com/internet-marketing-statistics/happens-online-60-seconds/

https://pbs.twimg.com/media/C7T8TisXUAAEHiU.jpg

Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti.

Máte představu, co obsahují ty ostatní?“

Mgr. Eva Škorničková

https://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/


https://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/

GDPR se uplatní v případech, kdy je:

(bez ohledu na úplatu)





Čl. 4 odst. 1identifikovaná nebo identifikovatelná

fyzickou osobou

- fyzická osoba bez ohledu na její státní příslušnostnebo bydliště.

- OSVČ

- právnická osoba (zejména podniky vytvořené jakoprávnické osoby, včetně názvu, právní formy akontaktních údajů právnické osoby).

V14


Čl. 4 odst. 1 GDPR

veškeréfyzické

osobě

zejména odkaz na určitýidentifikátor, například jméno,identifikační číslo, lokační údaje,síťový identifikátor nebo na jedenči více zvláštních prvků fyzické,fyziologické, genetické, psychické,ekonomické, kulturní nebo společenskéidentity této fyzické osoby.

Čl. § 4 ZOOU

a) osobním údajem jakákolivinformace týkající se

subjektu

zejména na základě čísla, kódu nebojednoho či více prvků, specifickýchpro jeho fyzickou, fyziologickou,psychickou, ekonomickou, kulturnínebo sociální identitu,


veškeré (obrazové, písemné,slovní, digitální, genetické, zdravotnickéaj.),

(obsahem – např. jméno,adresa, pracovní zařazení, email aj.),

Subjekt může být identifikován:

přímo

nepřímo (např. výběr vyčleněním aj.)

jméno a příjmení

identifikační číslo

RČ

lokační údaje (geo-)

věk a datum narození

pohlaví

osobní stav

občanství

IP adresa

fotografie

prvky fyzické, fyziologické,genetické, psychické,ekonomické, kulturní nebospolečenské identity

pracovní/osobní adresa

pracovní/osobní telefonní číslo

pracovní/osobní email

ověřovací identifikační údaje

identifikační čísla vydaná státem


V30https://www.gdpr.cz/gdpr/heslo/osobni-udaje/

https://www.gdpr.cz/gdpr/heslo/osobni-udaje/

rasovém či etnickémpůvodu

vyznání

politických názorech

členství v odborech čijiných organizacích

sexuální orientaci

spáchání deliktů (trestnýčin/přestupek aj.) apotrestání za ně

genetické údaje (DNA &RNA)

biometrické údaje údaje o zdravotním stavu

V34, 35, 38



Ochrana OÚ se nevztahuje na:

(informace, které senetýkají identifikované či identifikovatelnéfyzické osoby, ani na osobní údajeanonymizované tak, že subjekt údajů nenínebo již přestal být identifikovatelným)

Čl. 4 odst. 1, V 26-27

Zpracování OÚ tak, že

Dodatečné informace musí:

a

na ně technická a organizačníidentifikované či identifikovatelné fyzické

osobě

Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základědodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě.

Výsledek pseudonymizace:

- snížení rizik pro subjekt údajů

- pomoc správcům a zpracovatelům splnit jejich povinnosti týkající seochrany údajů

- „změkčení“ některých povinností

Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předemvyloučit jakákoliv další opatření týkající se ochrany údajů. V26, 28, 29


Čl. 4 odst. 2

jakákoliv operace nebo soubor operací s osobními údaji nebo souboryosobních údajů,

, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.


Ochrana subjektu údajů se vztahujena pokud jsou tytoúdaje uloženy v evidenci nebo doní mají být vloženy.

V16, 18


- pokud jsou osobní údaje získávány odsubjektu údajů, měl by subjekt údajů býtrovněž

Čl. 5 odst. 1, V39, 58, 60


musí

- OÚ musí býtshromažďovány pro určité, výslovně vyjádřené a legitimní účely anesmějí být dále zpracovávány způsobem, který je s těmito účelyneslučitelný),

(osobní údaje musí být přiměřené a relevantníve vztahu k účelu, pro který jsou zpracovávány),

(osobní údaje musí být přesné a v případě potřebyaktualizované.

),

, pro které jsou zpracovávány),

(technické a organizační zabezpečení osobníchúdajů).

Čl. 5 odst. 1, V39, 58, 60



Profilování je jakákoli forma

Zejména k:

- rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu,

- ekonomické situace,

- zdravotního stavu,

- osobních preferencí,

- zájmů,

- spolehlivosti,

- chování,

- místa, kde se nachází, nebo

- pohybuČl. 4 odst. 4

Profilování není zakázáno. Je však důležité, aby se dělo v předvídaných případech a nazákladě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finančnísubjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.

https://www.uoou.cz/gdpr-v-nbsp-otazkach-a-nbsp-odpovedich/d-23790/p1=4720

https://www.uoou.cz/gdpr-v-nbsp-otazkach-a-nbsp-odpovedich/d-23790/p1=4720

Aby bylo zpracování zákonné, měly by býtosobní údaje zpracovávány

nebo s ohledem na

Právní základ či legislativní opatření ≠ nutně legislativní akt přijatý parlamentem.

Právní základ či legislativní opatření musí být jasné a přesné a jejich použití by mělo býtpředvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvoraEvropské unie (dále jen „Soudní dvůr“) a Evropského soudu pro lidská práva.

Čl. 6, V 40 a 41



Souhlasu subjektu údajů

Jiný legitimní základ

Vlastní souhlas Smlouva- Vlastní plnění- Provedení

opatření před uzavřením smlouvy

Splnění právní povinnosti, která se na správce vztahuje

Zájem:- ochrana životně důležitých

zájmů subjektu údajů nebo jiné fyzické osoby

- plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce

- oprávněný zájem příslušného správce či třetí strany

Čl. 6, V40

(pro splnění této podmínky musí měl by subjektúdajů znát alespoň totožnost správce a účely zpracování, knimž jsou jeho osobní údaje určeny).

(souhlas je svobodný pouze pokud má subjektúdajů svobodnou volbu nebo může souhlas odmítnout čiodvolat, aniž by byl poškozen).

Čl. 7, V32


(ne součást smlouvy či EULA)

(prohlášení o souhlasu navržené správcemmělo být poskytnuto ve srozumitelném a snadno přístupnémznění za použití jasného a jednoduchého jazyka a nemělo byobsahovat nepřiměřené podmínky).

(Má-li subjekt údajů vyjádřit souhlas na základě žádosti podanéelektronickými prostředky,

).V 32 a 42


při návštěvě internetové stránky,

technického

prohlášení či které v této souvislosti

předem zaškrtnuté políčko

nečinnost

veškeré činnosti zpracování prováděné pro stejný účel nebo stejnéúčely

v případě více účelů by měl by být souhlas udělen pro všechnyV 32



základ v právní normě Unie nebo členského státu

stanovit účel zpracování

určit správce,

typ osobních údajů, které mají být zpracovány,

dotčené subjekty údajů,

subjekty, kterým lze osobní údaje sdělit,

účelové omezení,

doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování

dotčený subjekt údajů má právo vznést námitku proti zpracováníosobních údajů, které se týkají jeho konkrétní situace.

V45, 69


Zpracování na základě životně důležitého zájmujiné fyzické osoby má

Jde například o:

- humanitární účely,

- monitorování epidemií a jejich šíření

- případy přírodních a člověkem způsobenýchkatastrof.

V46


zohlednit přiměřené očekávání subjektu údajů na základě jeho vztahuse správcem

, včetnětoho, zda subjekt údajů může v okamžiku shromažďování osobníchúdajů důvodně očekávat, že ke zpracování pro tento účel může dojít.

Zpracování pro účely přímého marketingu.

předání osobních údajů v rámci skupiny podniků pro vnitřníadministrativní účely (OÚ o zaměstnancích i zákaznících)

V47, 48

(kdo, co, kde, kdy, jak dlouho, proč, kam?…) Účely zpracování Kategorie údajů Příjemci Doba uchování Existence práva na výmaz, omezení, námitku či stížnost Informace o zdroji Profilování/automatizované rozhodování(Řešeno již stávající právní úpravou)

(Nově řešeno GDPR).


Fyzická osoba by měla mít .

zánik účelu

odvolání souhlasu (

námitka

protiprávní zpracování

právní povinnost

údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

Čl. 17, V65


Pokud je zpracování:

má subjekt právo získat osobní údaje, které se ho týkají, a ježposkytl správci,

a předat jejinému správci, i bez souhlasu původního správce.

- zpracování nezbytné ve veřejném zájmu, nebo

- při výkonu veřejné moci

Čl. 20, V68


fyzická nebo právnická osoba

povahu, rozsah, kontext a účely zpracování a

riziko pro práva a svobody fyzických osob

doložit, že zpracování OÚ je prováděno v souladu s GDPR

V74


fyzická nebo právnická osoba

Správce by měl zpracováním pověřit pouze zpracovatele, kteříposkytují dostatečné záruky (odbornost, znalosti, spolehlivostaj.) =

Jedním z prvků, jimiž lze doložitdostatečné záruky:

kodex chování (Čl. 40)

schválený mechanismus pro vydávání osvědčení (Čl. 42)

Čl. 28,V81


(Čl. 30)

(Čl. 35)

(Čl. 31 a násl.)

(Čl. 33)

(Čl. 34)

(Čl. 37)

Čl. 24 a násl., V82




a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;

, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích

nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk

je-li to možné, je-li to možné, obecný

uvedených v čl. 32 odst. 1.

Výjimky:zpracování není jejich hlavní

činností a neexistuje riziko pro práva a svobody subjektu údajů Zpracování není příležitostné Nejsou zpracovány citlivé osobní údaje

Čl. 30

vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku s přihlédnutím:

Implementace prostředků, jak v době určení, tak při zpracování samotném, aby byly splněny požadavky GDPR (např. pseudonymizace, minimalizace OÚ, transparentnost aj.)

Zajištění, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Opatření zejména zajistí, aby osobní údaje

nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. (množství, rozsah, doba, dostupnost)

Čl. 25

15.6.2017 GDPR

nemusí neprodleně v situaci, kdy je zapotřebí zavést vhodnáopatření s cílem zabránit tomu, aby porušení zabezpečení osobníchúdajů pokračovalo nebo aby docházelo k podobným případůmporušení.

nemusí, pokud zajistil správce nápravu, nebo to není praktickymožné.

(). V85-87


jež by mohly mít údajů a u nichž

(biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních)

v případě

případě

popis zamýšlených operací zpracování

posouzení nezbytnosti a přiměřenosti operací z hlediska účelu ( )

Čl. 35, V84, 87, 90-94



poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům

monitorování souladu s GDPR poskytování poradenství na požádání spolupráce s dozorovým úřadem zvyšování povědomí a odborné přípravy pracovníků

zapojených do operací zpracování a souvisejících auditů působení jako kontaktní místo pro dozorový úřad

Čl. 37 a 39


https://www.gdpr.cz/wp-content/uploads/2017/09/Metodick%C3%A9-doporu%C4%8Den%C3%AD-k-%C4%8Dinnosti-obc%C3%AD.pdf

https://www.gdpr.cz/wp-content/uploads/2017/09/Metodick%C3%A9-doporu%C4%8Den%C3%AD-k-%C4%8Dinnosti-obc%C3%AD.pdf


(Teoreticky největší objem dat majících povahuOÚ. Jejich „citlivost“ ve srovnání s PO?)


provedení auditu, kde všude se pracuje s OÚ ve vztahu k GDPR

Stanovení podmínek dle GDPR (jasné srozumitelné atd.)

Stanovení účelu pro každé zpracování OÚ

Možnost nesouhlasu subjektu údajů


Neexistuje jedno pravidlo, vzor, nástroj, řešení či postup

aplikovatelný pro každou společnost a každou situaci či každou organizaci.


https://www.uoou.cz/gdpr/ds-3938/p1=3938

Dokumenty k GDPR

https://www.uoou.cz/dokumenty%2Dk%2Dgdpr/ds-4720/archiv=0&p1=3938

GDPR a role ÚOOÚ

https://www.uoou.cz/gdpr%2Da%2Drole%2Duoou/ds-4726/archiv=0&p1=3938

Pracovní skupina WP29

https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750

GDPR v otázkách a odpovědích

https://www.uoou.cz/gdpr%2Dv%2Dnbsp%2Dotazkach%2Da%2Dnbsp%2Dodpovedich/d-23790/p1=4720

Desatero omylů o GDPR

https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=4720

https://www.gdpr.cz

https://www.gdpr.cz/








NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679ze dne 27. dubna 2016

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&qid=1488972453767&from=CS

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680ze dne 27. dubna 2016

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu

těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV(JHAD)

http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016L0680

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/681ze dne 27. dubna 2016

o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti


Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY o respektování soukromého života a ochraně

osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích)

https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&qid=1488972453767&from=CS



https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation






Documents

18.9.2017 Seminář o GDPR - CESNET€¦ · 18.9.2017 Seminář o GDPR Čl. 4 odst. 1 GDPR veškeré fyzické osobě zejména odkaz na určitý identifikátor, například jméno,