ݺߣ

ݺߣShare a Scribd company logo

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

Download as PPTX, PDF
P
PIERSTONE

Společnosti si často neuvědomují, s jakým množstvím dat nakládají, kde je uchovávají a jaké související povinnosti jejich zpracování představuje. GDPR však vychází ze základního předpokladu, že data jsou všude kolem nás a že se s jejich zpracováním setkáváme na každém kroku. Proto každý, kdo s daty nakládá – ať již jednotlivec, korporace, správce či zpracovatel – musí zmapovat, jakým způsobem a jaká data zpracovává, řádně je zabezpečit, musí zohledňovat práva každého jednotlivce a řádně jej o jeho právech informovat. Pokud své povinnosti poruší, může čelit pokutám přesahujícím 20 milionů EUR.

1 of 21
Downloaded 44 times
Ochrana osobních údajů a bezpečnost dat – novinky v GDPR Mgr. Jana Pattynová, LL.M. 1. února 2017
Proč je ochrana údajů tématem? Data jsou důležitým aktivem Riziko vysokých sankcí dle GDPR Data jsou klíčová v digitální transformaci ÚVOD K OCHRANĚ ÚDAJŮ
Data jako klíčové aktivum DATA JAKO AKTIVUM Právní titul: jak poznám, že data jsou „moje“. Zabezpečení není jen otázka komerční preference ale regulační požadavek, Data jsou zdarma, ale vyžadují právní titul a zabezpečení
APLIKACE PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce ✓ ✓ ✓ ✓ Telekomunikační operátoři ✓ ✓ ✓ ✓ Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓ Veřejný sektor ✓ ✓ ✓ ✓ Poskytovatelé cloudu ✓ X ✓ X E-shopy ✓ X ✓ X Poskytovatelé služeb ✓ X X X Výrobní společnosti ✓ X X X Maloobchodní řetězce ✓ X X X Právní úprava dat
Dozorový orgán a sankce APLIKACE GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad Národní bezpečnostní úřad (NBÚ) Národní bezpečnostní úřad (NBÚ) Maximální výše pokut 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018
GDPR
GDPR GDPR – Obecný přehled Nařízení EU – přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
Co je regulováno jako osobní údaje? GDPR Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách či vlastněných zařízeních, (meta) data týkající se předchozího chování při užívání služby, fotografie údaje identifikující fyzickou osobu
Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů „Privacy by design“ a „privacy by default“ „State of the art“ Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut GDPR V KOSTCE
Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele GDPR V KOSTCE
Souhlas nezletilých SOUHLAS JAKO PRÁVNÍ TITUL < 13 Pouze se souhlasem rodiče 13 – 15 Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče
Životní cyklus údajů SOUHLAS JAKO PRÁVNÍ TITUL Požádat Vytvořit Aktualizovat Odstranit Bez souhlasu nebo zákonného titulu technická nemožnost postoupit k dalšímu kroku Spojit údaje s: subjektem, účelem, časovým rámcem Spojit údaje s: účelem, časovým rámcem Odstranit údaje: všude, splnění evidence, právo být zapomenut,
Právo být zapomenut  Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány  Potvrzení osobě, že její údaje byly vymazány  Musí být zajištěno pro celý ekosystém zpracovatelů ? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků SOUHLAS JAKO PRÁVNÍ TITUL
• Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Anonymizované údaje (nevratně oddělené od osoby) • Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací • Dodatečné informace jsou uchovávány odděleně • Technická a organizační opatření zajišťují, že osoba nebude identifikována • Pouze správce může určit identifikaci Pseudonymizované údaje (dočasně oddělené od osoby) Anonymizované vs pseudonymizované údaje PSEUDONYMIZACE A ANONYMIZACE
Výhody pseudonymizovaných údajů PSEUDONYMIZACE A ANONYMIZACE Mohou být zpracovány nad rámec původně definovaného účelu Pseudonymizace splňuje požadavek ochrany soukromí již od návrhu Pseudonymizace jako bezpečnostní opatření Mírnější regulace: výjimky ohledně notifikace a dalších povinností
Hlášení dle GDPR OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů  Do 72 hodin, předepsaný minimální obsah  Výjimka:  je nepravděpodobné, že způsobí ohrožení práv a svobod osob  Pokud je riziko ohrožení práv a svobod  Bezodkladně  Výjimky:  šifrování údajů,  jiná opatření,  nepřiměřené úsilí – veřejné oznámení
Právo provádět audit PRÁVO PROVÁDĚT AUDIT Úřad pro ochranu osobních údajů Zákazník (správce) Dodavatel (zpracovatel) př. poskytovatel cloudu Subdodavatel (subzpracovatel) Subdodavatel (subzpracovatel)
Příležitosti  Transformační potenciál  Dodavatelé IT řešení  Poradenské a auditorské služby Výzvy  Zajištění souladu s GDPR  Úprava obchodního modelu  Změna statusu quo Příležitosti a výzvy GDPR PŘÍNOS GDPR
• Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Datové toky • Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik • Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora Analýza největších rizik a základní krizový plán Co by měly mít společnosti pod kontrolou?
Příprava interní a externí dokumentace implementující požadavky GDPR Co pro Vás můžeme udělat? Analýza datových toků a procesů Analýza dopadů GDPR
Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů zabývající se právem technologií, médií a komunikací. Hlavní oblasti působení: • IT smlouvy, včetně smluv na cloud produkty • Ochrana soukromí a osobních údajů • IoT • M&A transakce v technologickém sektoru • Podpora pro start-upy při vstupu na zahraniční trhy • Outsourcing • Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD) • Právo duševního vlastnictví • Média • Telekomunikační právo Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040 jana.pattynova@pierstone.com

More Related Content

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

  • 1. Ochrana osobních údajů a bezpečnost dat – novinky v GDPR Mgr. Jana Pattynová, LL.M. 1. února 2017
  • 2. Proč je ochrana údajů tématem? Data jsou důležitým aktivem Riziko vysokých sankcí dle GDPR Data jsou klíčová v digitální transformaci ÚVOD K OCHRANĚ ÚDAJŮ
  • 3. Data jako klíčové aktivum DATA JAKO AKTIVUM Právní titul: jak poznám, že data jsou „moje“. Zabezpečení není jen otázka komerční preference ale regulační požadavek, Data jsou zdarma, ale vyžadují právní titul a zabezpečení
  • 4. APLIKACE PRÁVO EU GDPR x NIS Vertikální regulace ČESKÉ PRÁVO x Zákon o kybernetické bezpečnosti Novela zákona o kybernetické bezpečnosti Vertikální regulace Finanční instituce ✓ ✓ ✓ ✓ Telekomunikační operátoři ✓ ✓ ✓ ✓ Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓ Veřejný sektor ✓ ✓ ✓ ✓ Poskytovatelé cloudu ✓ X ✓ X E-shopy ✓ X ✓ X Poskytovatelé služeb ✓ X X X Výrobní společnosti ✓ X X X Maloobchodní řetězce ✓ X X X Právní úprava dat
  • 5. Dozorový orgán a sankce APLIKACE GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad Národní bezpečnostní úřad (NBÚ) Národní bezpečnostní úřad (NBÚ) Maximální výše pokut 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018
  • 7. GDPR GDPR – Obecný přehled Nařízení EU – přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
  • 8. Co je regulováno jako osobní údaje? GDPR Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách či vlastněných zařízeních, (meta) data týkající se předchozího chování při užívání služby, fotografie údaje identifikující fyzickou osobu
  • 9. Novinky v GDPR Posílení práv subjektů údajů Jednoznačný souhlas ke zpracování údajů „Privacy by design“ a „privacy by default“ „State of the art“ Ochrana mladistvých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut GDPR V KOSTCE
  • 10. Novinky v GDPR Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Konzultace s dozorovým orgánem a kodexy chování Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele GDPR V KOSTCE
  • 11. Souhlas nezletilých SOUHLAS JAKO PRÁVNÍ TITUL < 13 Pouze se souhlasem rodiče 13 – 15 Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče
  • 12. Životní cyklus údajů SOUHLAS JAKO PRÁVNÍ TITUL Požádat Vytvořit Aktualizovat Odstranit Bez souhlasu nebo zákonného titulu technická nemožnost postoupit k dalšímu kroku Spojit údaje s: subjektem, účelem, časovým rámcem Spojit údaje s: účelem, časovým rámcem Odstranit údaje: všude, splnění evidence, právo být zapomenut,
  • 13. Právo být zapomenut  Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány  Potvrzení osobě, že její údaje byly vymazány  Musí být zajištěno pro celý ekosystém zpracovatelů ? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků SOUHLAS JAKO PRÁVNÍ TITUL
  • 14. • Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Anonymizované údaje (nevratně oddělené od osoby) • Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací • Dodatečné informace jsou uchovávány odděleně • Technická a organizační opatření zajišťují, že osoba nebude identifikována • Pouze správce může určit identifikaci Pseudonymizované údaje (dočasně oddělené od osoby) Anonymizované vs pseudonymizované údaje PSEUDONYMIZACE A ANONYMIZACE
  • 15. Výhody pseudonymizovaných údajů PSEUDONYMIZACE A ANONYMIZACE Mohou být zpracovány nad rámec původně definovaného účelu Pseudonymizace splňuje požadavek ochrany soukromí již od návrhu Pseudonymizace jako bezpečnostní opatření Mírnější regulace: výjimky ohledně notifikace a dalších povinností
  • 16. Hlášení dle GDPR OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ Porušení zabezpečení osobních údajů Zpracovatel oznámí správci Oznámení ÚOOÚ Oznámení subjektu údajů  Do 72 hodin, předepsaný minimální obsah  Výjimka:  je nepravděpodobné, že způsobí ohrožení práv a svobod osob  Pokud je riziko ohrožení práv a svobod  Bezodkladně  Výjimky:  šifrování údajů,  jiná opatření,  nepřiměřené úsilí – veřejné oznámení
  • 17. Právo provádět audit PRÁVO PROVÁDĚT AUDIT Úřad pro ochranu osobních údajů Zákazník (správce) Dodavatel (zpracovatel) př. poskytovatel cloudu Subdodavatel (subzpracovatel) Subdodavatel (subzpracovatel)
  • 18. Příležitosti  Transformační potenciál  Dodavatelé IT řešení  Poradenské a auditorské služby Výzvy  Zajištění souladu s GDPR  Úprava obchodního modelu  Změna statusu quo Příležitosti a výzvy GDPR PŘÍNOS GDPR
  • 19. • Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně Datové toky • Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik • Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora Analýza největších rizik a základní krizový plán Co by měly mít společnosti pod kontrolou?
  • 20. Příprava interní a externí dokumentace implementující požadavky GDPR Co pro Vás můžeme udělat? Analýza datových toků a procesů Analýza dopadů GDPR
  • 21. Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů zabývající se právem technologií, médií a komunikací. Hlavní oblasti působení: • IT smlouvy, včetně smluv na cloud produkty • Ochrana soukromí a osobních údajů • IoT • M&A transakce v technologickém sektoru • Podpora pro start-upy při vstupu na zahraniční trhy • Outsourcing • Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD) • Právo duševního vlastnictví • Média • Telekomunikační právo Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040 jana.pattynova@pierstone.com

Editor's Notes

  • #2: 08/29/2007
  • #3: GDPR - nařízení (přímá aplikace) -účinnost a další implementace (Code of conducts, national legislation) - věcný rozsah - geografický rozsah
  • #8: GDPR - nařízení (přímá aplikace) -účinnost a další implementace (Code of conducts, national legislation) - věcný rozsah - geografický rozsah
  • #12: Nová úprava dle GDPR
  • #21: GDPR - nařízení (přímá aplikace) -účinnost a další implementace (Code of conducts, national legislation) - věcný rozsah - geografický rozsah