Přijímání nového zákona o zpracování osobních údajů
Návrh zákona o zpracování osobních údajů byl přikázán k projednání výborům. Poté bude Poslaneckou sněmovnou projednáván ve druhém čtení, přičemž se bude nutné vypořádat s řadou pozměňovacích návrhů k původnímu vládnímu návrhu zákona.
Přehled projednávání zákona a pozměňovací návrhy jsou k dispozici zde: https://www.psp.cz/sqw/historie.sqw?o=8&t=138 Více
16. květen 2018
Facebook a osobní údaje: Cambridge Analytica
Světem hýbe kauza Cambridge Analytica – britské poradenské společnosti, která pomáhala s volební kampaní, například i Donaldu Trumpovi. Využívala k tomu osobní údaje uživatelů Facebooku tak, aby ovlivňovala voliče. Facebook tak nyní bude čelit vyšetřování ohledně zpracovávání osobních údajů svých uživatelů, včetně vyšetřování evropskými úřady. Více
9. květen 2018
Návrh zákona o zpracování osobních údajů neprošel 1. čtením
Sněmovna nesouhlasila s projednáváním tak, aby mohla s návrhem zákona vyslovit souhlas již v prvém čtení, které se konalo 18. 4. 2018.
Petiční výbor návrh zákona neprojednal, projednání zařazeno na pozvánce na jednání na 24. 4. 2018
Předložen byl již třetí pozměňovací návrh, kde předkladatelem je Jana Vildumetzová.
19. duben 2018
GDPR: Poslanci chtějí, aby neziskovky a veřejné subjekty pokuty neplatily
Hospodářská komora se vyhrazuje proti záměru lidovců a pirátů, aby neziskové organizace a veřejné subjekty nemusely platit pokuty za nedodržování ochrany osobních údajů ukládané nařízením GDPR.
Podrobnosti v tiskové zprávě dostupné zde: https://www.komora.cz/tiskova_zprava/opravdu-potrebuji-verejne-subjekty-neziskovky-unikovou-cestu-gdpr-podnikatele-pritom-budou-pokutovani-bez-pardonu-podle-hospodarske-komory-nehoraznost/
17. duben 2018
Návrh zákona o zpracování osobních údajů byl schválen vládou a zamíří do poslanecké sněmovny
Vláda projednala a schválila podobu navrhovaného zákona o zpracování osobních údajů, který zamíří do Poslanecké sněmovny.
Zákon vychází z GDPR, které pro členské státy Evropské unie umožňuje upravit určité výjimky či odchylky. Předmětem diskuzí je tak zejména možnost snížení pokut za porušení předpisů pro veřejné subjekty.
Návrh zákona je k dispozici zde: https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5
Protože návrh musí nyní projít celým legislativním procesem, pravděpodobně nebude přijat včas do 25. května 2018, kdy nabývá účinnosti samotné GDPR.
22. březen 2018
S účinností GDPR končí oznamovací povinnost správců
Vedle všech povinností, které GDPR přináší, také jedna důležitá povinnost odpadne a po účinnosti GDPR, tedy od 25. května 2018, se již nebude předem oznamovat zpracování osobních údajů u Úřadu pro ochranu osobních údajů.
Tuto povinnost pak v zásadě nahrazují pravidla pro vedení záznamů o činnostech zpracování a posouzení vlivu na ochranu osobních údajů, jejichž provádění bude klíčové pro případné prokazování souladu zpracování s GDPR.
Více informací je k dispozici zde: https://www.uoou.cz/s-nbsp-ucinnosti-gdpr-konci-oznamovaci-povinnost-spravcu/d-28855
2. březen 2018
Nové pokyny WP 29
Skupina WP 29 na svém únorovém zasedání (https://www.uoou.cz/informace-z-nbsp-unoroveho-plenarniho-zasedani-wp29/d-28761) schválila řadu nových dokumentů - pokynů k implementaci GDPR:
- pokyny pro oznamování případů bezpečnostních incidentů,
- pokyny k automatizovanému zpracování a profilování
- pokyny pojednávající o akreditaci
- metodické dokumenty k předávání osobních údajů podle čl. 45 (rozhodnutí o odpovídající ochraně), dva dokumenty k předávání podle čl. 47 (závazná podniková pravidla) a k předávání na základě výjimek podle čl. 49.
Dokumenty, jejichž cílem je usnadnit implementaci GDPR, jsou dostupné zde: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
27. únor 2018
GDPR a územně samosprávné celky
Ministerstvo vnitra zveřejnilo systémovou analýzu ochrany osobních údajů v krajích (dostupná zde: http://www.mvcr.cz/gdpr/clanek/systemova-analyza-kraju.aspx). Soubor dokumentů shrnuje, jaké osobní údaje jsou v krajích zpracovávány, na základě jakých titulů, v jakých systémech a zejména, kde vznikají nesoulady se současným nastavením ochrany osobních údajů a co je třeba napravit. Analýza je velice podrobná a prakticky zaměřená a přehledně shrnuje problémy, jimiž se musí samosprávné celky zabývat, a navrhuje pro ně řešení.
Pro obce Ministerstvo vnitra rovněž zveřejnilo „check-list“, který má sloužit jako základní metodika v přípravách na GDPR (dostupný zde: http://www.mvcr.cz/gdpr/clanek/kontrolni-seznamy-checklisty-pro-obce.aspx).
26. únor 2018
Předávání osobních údajů do třetích zemí (se zvláštním důrazem na USA)
Základním předpokladem předávání do třetích zemí je dodržení zásady zákonnosti, tedy je zejména potřeba mít jeden z tzv. právních titulů pro zpracování osobních údajů. Pokud tomu tak je, pak musí správce/zpracovatel postupovat jak v souladu s obecnými podmínkami Nařízení, která platí při jakémkoliv zpracování osobních údajů (tedy i v rámci EU), tak i dodatečné podmínky stanovené pro předávání do zemí mimo EU tak, aby nebyla znehodnocena úroveň ochrany fyzických osob – subjektů údajů podle tohoto Nařízení.
Zajištění dostatečné úrovně ochrany v praxi znamená především to, že je možné předávat osobní údaje pouze do těch zemí, kde je zajištěna dostatečná právní ochrana osobních údajů, resp. musí správce/zpracovatel přijmout takové instrumenty, které tuto ochranu zajistí.
Nařízení stanoví tři právní důvody pro předávání:
- rozhodnutí o odpovídající ochraně vydané EK (jmenovitě některé státy či území, zahrnujíce v to i rozhodnutí o odpovídající úrovni ochrany v USA – tzv. Privacy Shield)
- předávání založené na vhodných zárukách (např. závazné nástroje mezi orgány veřejné moci, závazná podniková pravidla, standardní smluvní doložky, schválené kodexy chování, dále pak vlastní smluvní doložky schválené dozorovým úřadem apod.); tento důvod je možné použít, pokud se jedná o předávání do země, ve které existuje účinná právní ochrana fyzických osob jakožto subjektů údajů)
- výjimky pro specifické situace (taxativně vyjmenovává Nařízení).
Program Privacy Shield funguje od srpna 2016 na principu volné registrace, což znamená, že se do něj může zaregistrovat jakákoliv společnost v USA a tato nepodléhá žádnému schválení. Je tedy pouze na zapsané společnosti, aby přijala a dodržovala všechna opatření, která jsou podle tohoto programu vyžadována (samozřejmě při možnosti zpětné kontroly ze strany federálních úřadů). Základní zásady Privacy Shield v mnohém, ne však zcela, odpovídají základním zásadám ochrany osobních údajů podle předpisů EU. Z mnohých důvodů, které na tomto místě nebudeme rozebírat, je budoucnost tohoto programu nejistá, a proto se správci/zpracovateli doporučuje mít připraven i jiný právní důvod pro předávání osobních údajů do USA, především – pokud to situace a postavení správce/zpracovatele dovoluje - závazná podniková pravidla, lze uvažovat i o schváleném kodexu chování nebo standardních smluvních doložkách.
22. únor 2018
