GDPR Aktuality

1-4 | 5-8 | 9-12 | 13-16 | 17-20 | 21-24 | 25-28 | 29-31

Nové pokyny WP 29

Skupina WP 29 na svém únorovém zasedání (https://www.uoou.cz/informace-z-nbsp-unoroveho-plenarniho-zasedani-wp29/d-28761) schválila řadu nových dokumentů - pokynů k implementaci GDPR:

- pokyny pro oznamování případů bezpečnostních incidentů,

- pokyny k automatizovanému zpracování a profilování

- pokyny pojednávající o akreditaci

- metodické dokumenty k předávání osobních údajů podle čl. 45 (rozhodnutí o odpovídající ochraně), dva dokumenty k předávání podle čl. 47 (závazná podniková pravidla) a k předávání na základě výjimek podle čl. 49.

Dokumenty, jejichž cílem je usnadnit implementaci GDPR, jsou dostupné zde: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

27. únor 2018

GDPR a územně samosprávné celky

Ministerstvo vnitra zveřejnilo systémovou analýzu ochrany osobních údajů v krajích (dostupná zde: http://www.mvcr.cz/gdpr/clanek/systemova-analyza-kraju.aspx). Soubor dokumentů shrnuje, jaké osobní údaje jsou v krajích zpracovávány, na základě jakých titulů, v jakých systémech a zejména, kde vznikají nesoulady se současným nastavením ochrany osobních údajů a co je třeba napravit. Analýza je velice podrobná a prakticky zaměřená a přehledně shrnuje problémy, jimiž se musí samosprávné celky zabývat, a navrhuje pro ně řešení.

Pro obce Ministerstvo vnitra rovněž zveřejnilo „check-list“, který má sloužit jako základní metodika v přípravách na GDPR (dostupný zde: http://www.mvcr.cz/gdpr/clanek/kontrolni-seznamy-checklisty-pro-obce.aspx). 

26. únor 2018

Předávání osobních údajů do třetích zemí (se zvláštním důrazem na USA)

Základním předpokladem předávání do třetích zemí je dodržení zásady zákonnosti, tedy je zejména potřeba mít jeden z tzv. právních titulů pro zpracování osobních údajů. Pokud tomu tak je, pak musí správce/zpracovatel postupovat jak v souladu s obecnými podmínkami Nařízení, která platí při jakémkoliv zpracování osobních údajů (tedy i v rámci EU), tak i dodatečné podmínky stanovené pro předávání do zemí mimo EU tak, aby nebyla znehodnocena úroveň ochrany fyzických osob – subjektů údajů podle tohoto Nařízení.

Zajištění dostatečné úrovně ochrany v praxi znamená především to, že je možné předávat osobní údaje pouze do těch zemí, kde je zajištěna dostatečná právní ochrana osobních údajů, resp. musí správce/zpracovatel přijmout takové instrumenty, které tuto ochranu zajistí.

     Nařízení stanoví tři právní důvody pro předávání:

  1. rozhodnutí o odpovídající ochraně vydané EK (jmenovitě některé státy či území, zahrnujíce v to i rozhodnutí o odpovídající úrovni ochrany v USA – tzv. Privacy Shield)
  2. předávání založené na vhodných zárukách (např. závazné nástroje mezi orgány veřejné moci, závazná podniková pravidla, standardní smluvní doložky, schválené kodexy chování, dále pak vlastní smluvní doložky schválené dozorovým úřadem apod.); tento důvod je možné použít, pokud se jedná o předávání do země, ve které existuje účinná právní ochrana fyzických osob jakožto subjektů údajů)
  3. výjimky pro specifické situace (taxativně vyjmenovává Nařízení).

Program Privacy Shield funguje od srpna 2016 na principu volné registrace, což znamená, že se do něj může zaregistrovat jakákoliv společnost v USA a tato nepodléhá žádnému schválení. Je tedy pouze na zapsané společnosti, aby přijala a dodržovala všechna opatření, která jsou podle tohoto programu vyžadována (samozřejmě při možnosti zpětné kontroly ze strany federálních úřadů). Základní zásady Privacy Shield v mnohém, ne však zcela, odpovídají základním zásadám ochrany osobních údajů podle předpisů EU. Z mnohých důvodů, které na tomto místě nebudeme rozebírat, je budoucnost tohoto programu nejistá, a proto se správci/zpracovateli doporučuje mít připraven i jiný právní důvod pro předávání osobních údajů do USA, především – pokud to situace a postavení správce/zpracovatele dovoluje - závazná podniková pravidla, lze uvažovat i o schváleném kodexu chování nebo standardních smluvních doložkách.

22. únor 2018

Odpovědnost správce vs. odpovědnost zpracovatele

Správce odpovídá za dodržování povinností daných nařízením, tedy i za dodržování zásad zpracování (toto musí být správce schopen doložit).

Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat, tzv. zpracovatele, musí však vybrat takového, který poskytuje dostatečné záruky vhodných technických a organizačních opatření; tak, aby zpracování splňovalo požadavky nařízení a byla zajištěna ochrana práv subjektu údajů. Nařízení GDPR stanoví povinně písemnou smlouvu (včetně elektronické formy) nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a zpracovatelem. Obsahem smlouvy je zejména předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů a další náležitosti stanovené v čl. 28 odst. 3 nařízení. Správce se přizváním zpracovatele ke zpracování osobních údajů nezbavuje odpovědnosti za zpracování osobních údajů, platí zde tzv. sdílená odpovědnost za zpracování dat. K úniku dat (incidentu) může dojít na straně správce i zpracovatele, proto lze doporučit velmi precizně definovat odpovědnost obou zúčastněných stran ve zpracovatelské smlouvě.

Co se týče práva na náhradu újmy a odpovědnost, je správce zapojený do zpracování odpovědný za újmu, kterou způsobí zpracováním, které porušuje nařízení; zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Pokud je do zpracování zapojeno více správců nebo správce a zpracovatel, nastupuje solidární odpovědnost za porušení povinností.

22. únor 2018