Ochrana osobních údajů a bezpečnost dat –

novinky v GDPR

Mgr. Jana Pattynová, LL.M.

1. února 2017

Proč je ochrana údajů tématem?

Data jsou důležitým aktivem

Riziko vysokých sankcí dle GDPR

Data jsou klíčová v digitální transformaci

ÚVOD K OCHRANĚ ÚDAJŮ

Data jako klíčové aktivum

DATA JAKO AKTIVUM

Právní titul: jak poznám, že data jsou „moje“.

Zabezpečení není jen otázka komerční

preference ale regulační požadavek,

Data jsou zdarma, ale vyžadují právní titul a zabezpečení

APLIKACE

PRÁVO EU GDPR x NIS Vertikální

regulace

ČESKÉ PRÁVO x

Zákon o

kybernetické

bezpečnosti

Novela zákona

o kybernetické

bezpečnosti

Vertikální

regulace

Finanční instituce ✓ ✓ ✓ ✓

Telekomunikační operátoři ✓ ✓ ✓ ✓

Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓

Veřejný sektor ✓ ✓ ✓ ✓

Poskytovatelé cloudu ✓ X ✓ X

E-shopy ✓ X ✓ X

Poskytovatelé služeb ✓ X X X

Výrobní společnosti ✓ X X X

Maloobchodní řetězce ✓ X X X

Právní úprava dat

Dozorový orgán a sankce

APLIKACE

GDPR

Zákon o

kybernetické

bezpečnosti

NIS

Novela zákona o kyber.

bezpečnosti

Dozorový úřad Vnitrostátní dozorový

úřad (ÚOOÚ)

Vedoucí dozorový úřad

Národní

bezpečnostní úřad

(NBÚ)

Národní bezpečnostní úřad

(NBÚ)

Maximální výše

pokut

20.000.000 Eur nebo

až 4 % celkového

světového ročního

obratu

100.000 Kč

5 mil. Kč

Účinnost 25. května 2018 1. ledna 2015 do května 2018

GDPR

GDPR

GDPR – Obecný přehled

Nařízení EU – přímo aplikovatelné

Vstoupí v účinnost 25. května 2018

Kodexy jednání a doporučení teprve budou vydány

Co je regulováno jako osobní údaje?

GDPR

Zřejmé: jméno, číslo dokladu totožností,

kreditní karta, kontaktní údaje, informace o

zdraví, lokalizační údaje, IP adresa, atd.

Ale také: jakékoli informace o nákupech, užívaných službách či

vlastněných zařízeních, (meta) data týkající se

předchozího chování při užívání služby, fotografie

údaje identifikující fyzickou osobu

Novinky v GDPR

Posílení práv

subjektů údajů

Jednoznačný souhlas ke

zpracování údajů

„Privacy by design“ a „privacy by

default“

„State of the art“ Ochrana

mladistvých

Online identifikátory

Přenositelnost údajů

Odvolání souhlasu a právo být zapomenut

GDPR V KOSTCE

Novinky v GDPR

Záznamy o činnostech zpracování

(místo registrace)

Vlastní vyhodnocení

dopadů zpracování na ochranu údajů

Notifikace neoprávněného

přístupu k osobním údajům

Pověřenec pro ochranu osobních

údajů

Konzultace s dozorovým

orgánem a kodexy chování

Hlavní dozorový orgán jako jedno

správní místo

Nové požadavky na zpracovatelské

smlouvy (vč. subdodavatelů)

Specifická pravidla pro zpracovatele

GDPR V KOSTCE

Souhlas nezletilých

SOUHLAS JAKO PRÁVNÍ TITUL

< 13

Pouze se souhlasem rodiče

13 – 15 Pouze se souhlasem rodiče,

ale může podléhat vnitrostátní úpravě

16+

Bez souhlasu rodiče

Životní cyklus údajů

SOUHLAS JAKO PRÁVNÍ TITUL

Požádat Vytvořit Aktualizovat Odstranit

Bez souhlasu

nebo zákonného

titulu technická

nemožnost

postoupit k

dalšímu kroku

Spojit údaje s:

subjektem,

účelem, časovým

rámcem

Spojit údaje s:

účelem, časovým

rámcem

Odstranit údaje:

všude, splnění

evidence, právo být

zapomenut,

Právo být zapomenut

Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány

Potvrzení osobě, že její údaje byly vymazány

Musí být zajištěno pro celý ekosystém zpracovatelů

? Některé údaje by mohly být uchovány k prokázání souladu, vymáhání nároků

SOUHLAS JAKO PRÁVNÍ TITUL

• Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný

Anonymizované údaje

(nevratně oddělené od osoby)

• Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací

• Dodatečné informace jsou uchovávány odděleně

• Technická a organizační opatření zajišťují, že osoba nebude identifikována

• Pouze správce může určit identifikaci

Pseudonymizované údaje

(dočasně oddělené od osoby)

Anonymizované vs pseudonymizované

údaje

PSEUDONYMIZACE A ANONYMIZACE

Výhody pseudonymizovaných údajů

PSEUDONYMIZACE A ANONYMIZACE

Mohou být zpracovány nad rámec původně definovaného

účelu

Pseudonymizace splňuje požadavek ochrany soukromí již od

návrhu

Pseudonymizace jako bezpečnostní opatření

Mírnější regulace: výjimky ohledně notifikace a dalších

povinností

Hlášení dle GDPR

OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ

Porušení

zabezpečení

osobních

údajů

Zpracovatel

oznámí

správci

Oznámení

ÚOOÚ

Oznámení

subjektu

údajů

Do 72 hodin, předepsaný minimální

obsah

Výjimka:

je nepravděpodobné, že

způsobí ohrožení práv a

svobod osob

Pokud je riziko ohrožení práv a svobod

Bezodkladně

Výjimky:

šifrování údajů,

jiná opatření,

nepřiměřené úsilí – veřejné

oznámení

Právo provádět audit

PRÁVO PROVÁDĚT AUDIT

Úřad pro ochranu

osobních údajů

Zákazník

(správce)

Dodavatel

(zpracovatel) př. poskytovatel

cloudu

Subdodavatel

(subzpracovatel)

Subdodavatel

(subzpracovatel)

Příležitosti

Transformační potenciál

Dodavatelé IT řešení

Poradenské a auditorské služby

Výzvy

Zajištění souladu s GDPR

Úprava obchodního modelu

Změna statusu quo

Příležitosti a výzvy GDPR

PŘÍNOS GDPR

• Základní mapa, odkud data přicházejí, kam jsou posílána a jak jsou tyto datové toky podloženy právně

Datové toky

• Pochopení oblastí, ve kterých společnost není schopna nebo ochotna zajistit soulad s požadavky GDPR a komunikace souvisejících rizik

• Představu základních kroků v případě krizového scénáře, zejména úniku dat, případně auditu regulátora

Analýza největších rizik a základní

krizový plán

Co by měly mít společnosti pod

kontrolou?

Příprava interní a externí dokumentace

implementující požadavky GDPR

Co pro Vás můžeme udělat?

Analýza datových toků a procesů

Analýza dopadů GDPR

Spolu s kancelářemi v Londýně, Bruselu a Moskvě, jeden z největších specializovaných týmů

zabývající se právem technologií, médií a komunikací.

Hlavní oblasti působení:

• IT smlouvy, včetně smluv na cloud produkty

• Ochrana soukromí a osobních údajů

• IoT

• M&A transakce v technologickém sektoru

• Podpora pro start-upy při vstupu na zahraniční trhy

• Outsourcing

• Pracovní právo (včetně technologických aspektů pracovních smluv a dohod, BYOD)

• Právo duševního vlastnictví

• Média

• Telekomunikační právo

Jana Pattynová

Na Příkopě 9 110 00 Praha 1

+420 777 738 040 jana.pattynova@pierstone.com